Kapitel 9 der ISO 27001 befasst sich mit der Überwachung, Messung, Analyse und Bewertung der Informationssicherheitsleistung eines Unternehmens. Dieses Kapitel verlangt, dass Unternehmen ein System zur Überwachung, Messung und Analyse der Informationssicherheitsleistung implementieren, um sicherzustellen, dass sie ihre Informationssicherheitsziele und -vorgaben erreichen.
Die Hauptziele von Kapitel 9 sind
1. Überwachung der Informationssicherheitsleistung: Unternehmen müssen die Leistung ihrer Informationssicherheitsmaßnahmen regelmäßig überwachen, um sicherzustellen, dass sie wirksam sind, und um Anomalien und Abweichungen zu erkennen.
2. Messung der Informationssicherheitsleistung: Unternehmen müssen eine Methode zur Messung der Informationssicherheitsleistung entwickeln und implementieren, um sicherzustellen, dass ihre Ziele und Vorgaben erreicht werden.
3. Analyse der Informationssicherheitsleistung: Unternehmen müssen die gesammelten Daten analysieren, um Trends und Muster zu erkennen und die Wirksamkeit ihrer Informationssicherheitsmaßnahmen zu bewerten.
4. Bewertung der Informationssicherheitsleistung: Unternehmen müssen ihre Informationssicherheitsleistung regelmäßig bewerten, um sicherzustellen, dass sie ihren Zielen und Vorgaben entspricht, und um Verbesserungsmöglichkeiten zu identifizieren.
Zusammenfassend lässt sich sagen, dass Kapitel 9 darauf abzielt, dass Unternehmen ein umfassendes Überwachungs- und Bewertungssystem implementieren, um sicherzustellen, dass ihre Informationssicherheitsmaßnahmen wirksam sind und dass sie ihre Ziele und Vorgaben erreichen.
Kapitel 10 der ISO 27001 behandelt das Thema “Kontinuierliche Verbesserung des Informationssicherheits-Managementsystems (ISMS)”. Dieses Kapitel legt fest, wie Organisationen sicherstellen können, dass ihr ISMS kontinuierlich überwacht und verbessert wird, um sicherzustellen, dass es wirksam bleibt und den aktuellen Anforderungen entspricht.
Im Einzelnen enthält Kapitel 10 die folgenden Abschnitte
1. Nichtkonformitäten und Korrekturmaßnahmen: In diesem Abschnitt wird erläutert, wie Organisationen Nichtkonformitäten identifizieren, untersuchen und korrigieren können, um sicherzustellen, dass sie sich nicht wiederholen.
2. Überwachung, Bewertung und interne Audits: Dieser Abschnitt befasst sich mit der Durchführung von Überwachungs- und Bewertungsprozessen sowie internen Audits, um sicherzustellen, dass das ISMS wirksam bleibt und die Anforderungen erfüllt.
3. Managementbewertung: Dieser Abschnitt beschreibt, wie das Management des ISMS eine regelmäßige Bewertung des Systems durchführt, um sicherzustellen, dass es angemessen funktioniert und kontinuierlich verbessert wird.
4. Kontinuierliche Verbesserung: Dieser Abschnitt beschreibt, wie Organisationen sicherstellen können, dass ihr ISMS kontinuierlich verbessert wird, indem sie Maßnahmen ergreifen, um Schwachstellen und Verbesserungsmöglichkeiten zu identifizieren und umzusetzen.
Zusammenfassend zielt Kapitel 10 darauf ab, sicherzustellen, dass das ISMS kontinuierlich überwacht, überprüft und verbessert wird, um zu gewährleisten, dass es angemessen und wirksam bleibt und den sich ständig ändernden Anforderungen an die Informationssicherheit entspricht.
