Warum die Klauseln 4–10 den Unterschied machen

Die Klauseln 4–10 der ISO 27001 legen fest, wie ein Informationssicherheits-Managementsystem (ISMS) aufgebaut, betrieben, überwacht und kontinuierlich verbessert wird. Sie definieren nicht nur, was dokumentiert werden muss — sie beschreiben den Rahmen, innerhalb dessen Informationssicherheit zur Managementdisziplin wird.

Wer diese Klauseln frühzeitig richtig umsetzt, beschleunigt die Zertifizierung, vermeidet Nacharbeiten und verknüpft Sicherheitsmaßnahmen direkt mit den Unternehmenszielen. Auditoren prüfen nicht nur, ob Dokumente existieren — sie prüfen, ob Absicht, Umsetzung und Nachweise lückenlos zusammenhängen.

Klausel 4 — Kontext der Organisation: Was festzulegen und zu dokumentieren ist

Bevor Sie Risiken bewerten oder Maßnahmen auswählen können, müssen Sie verstehen, in welchem Umfeld Ihr ISMS wirkt. Klausel 4 zwingt zur Klarheit über Ihr Geschäftsmodell, Ihr Risikoprofil und Ihre rechtlichen oder vertraglichen Verpflichtungen.

Wesentliche Handlungsschritte:

  • Interne und externe Themen identifizieren, die die Informationssicherheit beeinflussen (regulatorische Anforderungen, Bedrohungslage, Unternehmensstrategie)
  • Interessierte Parteien (Kunden, Behörden, Partner) und ihre relevanten Anforderungen bestimmen
  • Den ISMS-Geltungsbereich definieren: Organisationseinheiten, Standorte, Prozesse und Technologien

Dokumentierte Informationen:

  • ISMS-Geltungsbereich (Pflicht)
  • Kontext- und Interessenträgerregister: Themen, Anforderungen, Erwartungen (empfohlen)
  • Begründung des Geltungsbereichs mit Erläuterung von Ein- und Ausschlüssen (empfohlen)

Klausel 5 — Führung: Richtlinie und Governance-Nachweise

Informationssicherheit funktioniert nicht ohne sichtbares Engagement der Führungsebene. Klausel 5 verpflichtet das Top-Management dazu, Richtung zu geben, Verantwortlichkeiten zu regeln und das ISMS aktiv in die Geschäftsprozesse zu integrieren.

Wesentliche Handlungsschritte:

  • Eine Informationssicherheitsrichtlinie verabschieden und kommunizieren, die mit den strategischen Zielen übereinstimmt
  • ISMS-Rollen, Verantwortlichkeiten und Befugnisse zuweisen
  • Führungsengagement durch Ressourcenzuteilung, Priorisierung und Risikoakzeptanzentscheidungen nachweisen

Dokumentierte Informationen:

  • Informationssicherheitsrichtlinie (Pflicht)
  • ISMS-Governance-Charter und Rollenbeschreibungen (empfohlen)
  • Commitment-Statement der Geschäftsleitung (empfohlen)

Klausel 6 — Planung: Risiken, Ziele, SoA und Maßnahmenplan

Klausel 6 ist das analytische Herzstück des ISMS. Hier legen Sie fest, wie Sie Risiken bewerten und behandeln, welche Maßnahmen Sie auswählen und wie Sie messbare Sicherheitsziele definieren. Das Ergebnis — die Anwendbarkeitserklärung (SoA) — ist eines der zentralen Prüfdokumente beim Audit.

Wesentliche Handlungsschritte:

  • Risikobewertungsprozess definieren: Kriterien für Eintrittswahrscheinlichkeit, Auswirkung und Akzeptanz
  • Risikobehandlungsprozess festlegen: Auswahlmöglichkeiten, Genehmigung von Restrisiken
  • Initiale Risikobewertung durchführen und Risikoregister pflegen
  • Maßnahmen auswählen und SoA erstellen: Begründungen und Umsetzungsstatus dokumentieren
  • Messbare Informationssicherheitsziele und Pläne zu deren Erreichung festlegen

Dokumentierte Informationen:

  • Risikobewertungsmethodik (Pflicht)
  • Risikobehandlungsprozess (Pflicht)
  • Anwendbarkeitserklärung / SoA (Pflicht)
  • Risikobehandlungsplan (Pflicht)
  • Informationssicherheitsziele (Pflicht)
  • Ergebnisse der Risikobewertung und -behandlung als Nachweis (Pflicht)

Hinweis zur Praxis: Die SoA ist kein einmaliges Dokument. Sie muss nach jeder wesentlichen Änderung oder erneuten Risikobewertung aktualisiert werden. Auditoren prüfen, ob der Umsetzungsstatus der Maßnahmen mit dem tatsächlichen Betrieb übereinstimmt.

Klausel 7 — Unterstützung: Ressourcen, Kompetenz und Dokumentenlenkung

Ein ISMS kann nur funktionieren, wenn die notwendigen Ressourcen vorhanden sind, die richtigen Personen die richtigen Fähigkeiten mitbringen und Dokumente kontrolliert erstellt, geändert und aufbewahrt werden.

Wesentliche Handlungsschritte:

  • Ressourcen bereitstellen: Personal, Budget und Werkzeuge für Betrieb und Überwachung des ISMS
  • Kompetenzanforderungen definieren, Schulungen durchführen und Nachweise aufbewahren
  • Sensibilisierung für Richtlinien, Rollen und Konsequenzen sicherheitsrelevanten Verhaltens sicherstellen
  • Dokumentenlenkung einrichten: Erstellung, Freigabe, Änderungssteuerung, Zugang, Aufbewahrung und Verfügung

Dokumentierte Informationen:

  • Kompetenznachweise (Pflicht)
  • Gelenkte dokumentierte Informationen gemäß Standard und Organisation (Pflicht)
  • Schulungsmatrix und Einarbeitungsinhalte zur Sicherheitssensibilisierung (empfohlen)
  • Dokumentenlenkungsverfahren mit Vorlagen: Richtlinie, Standard, Verfahren, Nachweis (empfohlen)

Klausel 8 — Betrieb: Das ISMS betreiben und Nachweise sichern

Klausel 8 übersetzt Planung in gelebte Praxis. Operative Prozesse müssen gesteuert, Änderungen gemanagt und Nachweise über die Durchführung von Risikobewertungen und Maßnahmen gesichert werden.

Wesentliche Handlungsschritte:

  • Operative Aktivitäten steuern und Änderungen mit Auswirkungen auf die Informationssicherheit kontrollieren
  • Risikobewertungen in geplanten Abständen und bei wesentlichen Änderungen wiederholen
  • Ausgewählte Risikobehandlungsmaßnahmen umsetzen und betreiben

Dokumentierte Informationen:

  • Dokumentation, die Vertrauen schafft, dass Prozesse wie geplant durchgeführt werden (Pflicht, wo für effektiven Betrieb erforderlich)
  • Ergebnisse der Informationssicherheitsrisikobewertungen (Pflicht)
  • Ergebnisse der Risikobehandlung (Pflicht)
  • SOPs für Schlüsselmaßnahmen: Zugang, Backup, Schwachstellenmanagement, Incident-Handling (empfohlen)

Klausel 9 — Leistungsbewertung: Kennzahlen, Audit und Management Review

Was nicht gemessen wird, kann nicht verbessert werden. Klausel 9 verpflichtet zur systematischen Messung der ISMS-Leistung, zu regelmäßigen internen Audits und zu Management Reviews, die die Führungsebene in Verbesserungsentscheidungen einbeziehen.

Wesentliche Handlungsschritte:

  • Monitoring und Messung einrichten: KPIs/KRIs mit Methoden, Häufigkeit und Verantwortlichen
  • Interne Audits planen und durchführen; Feststellungen zeitnah bearbeiten
  • Management Reviews durchführen: Leistung, Risiken, Chancen und Ressourcen bewerten

Dokumentierte Informationen:

  • Nachweise über Monitoring, Messung, Analyse und Auswertung (Pflicht)
  • Internes Auditprogramm und Auditergebnisse (Pflicht)
  • Ergebnisse des Management Reviews (Pflicht)
  • Kennzahlenkatalog mit Zielen und Datenquellen (empfohlen)
  • Audit-Checkliste, auf Klauseln und Maßnahmen abgestimmt (empfohlen)

Klausel 10 — Verbesserung: Nichtkonformitäten und kontinuierliche Weiterentwicklung

Kein ISMS ist von Anfang an perfekt. Klausel 10 fordert einen systematischen Umgang mit Abweichungen: Ursachen analysieren, Maßnahmen umsetzen, Wirksamkeit prüfen und die gewonnenen Erkenntnisse in die kontinuierliche Verbesserung einfließen lassen.

Wesentliche Handlungsschritte:

  • Nichtkonformitäten begegnen, korrigieren und etwaige Auswirkungen managen
  • Ursachenanalyse durchführen, Korrekturmaßnahmen umsetzen und Wirksamkeit überprüfen
  • Daten aus Vorfällen, Audits, Kennzahlen und Reviews für die kontinuierliche Verbesserung nutzen

Dokumentierte Informationen:

  • Nachweise über Nichtkonformitäten und Korrekturmaßnahmen: Ursache, Maßnahmen, Wirksamkeitsprüfung (Pflicht gemäß Klausel 10.2)
  • Kontinuierliches Verbesserungsprotokoll mit Priorisierung und Status (empfohlen)

Die ersten 90 Tage: Fokussiert starten

Wenn Sie ein ISMS von Grund auf aufbauen, konzentrieren Sie sich zunächst auf diese Lieferobjekte:

  • Geltungsbereichsdefinition und übergeordnetes Kontextregister
  • Informationssicherheitsrichtlinie, von der Geschäftsführung verabschiedet
  • Risikobewertungsmethodik und -kriterien; erstes Asset- und Risikoregister
  • Anwendbarkeitserklärung (SoA) mit Maßnahmenbegründung und Umsetzungsstatus
  • Risikobehandlungsplan mit Verantwortlichen, Zeitplan und Akzeptanzkriterien
  • Definierte Sicherheitsziele mit Kennzahlen und Tracking-Ansatz
  • Kompetenznachweise für Schlüssel-ISMS-Rollen; Sensibilisierungsplan
  • Dokumentenlenkungsverfahren und Vorlagen
  • Erste Kennzahlen: Patch-Compliance, Incident-MTTR, Zugangsprüfung
  • Interner Auditplan und Management-Review-Rhythmus

Dokumentation im Überblick: Pflicht vs. Empfehlung

Pflichtdokumente gemäß Klauseln 4–10:

  • ISMS-Geltungsbereich
  • Informationssicherheitsrichtlinie
  • Risikobewertungs- und Risikobehandlungsprozess
  • Anwendbarkeitserklärung (SoA)
  • Risikobehandlungsplan
  • Informationssicherheitsziele
  • Kompetenznachweise
  • Gelenkte dokumentierte Informationen gemäß Standard und ISMS
  • Ergebnisse der Risikobewertungen und -behandlungen
  • Nachweise über Monitoring und Messung
  • Internes Auditprogramm und -ergebnisse
  • Ergebnisse des Management Reviews
  • Nachweise über Nichtkonformitäten und Korrekturmaßnahmen

Empfohlene Dokumente für effizienteren Betrieb und reibungslosere Audits:

  • Kontext- und Interessenträgerregister
  • Asset-Inventar und Datenklassifizierungsschema
  • Zugangssteuerungsstandard, Richtlinie zur akzeptablen Nutzung und Konfigurationsbaselines
  • Verfahren zur Reaktion auf Vorfälle und Vorfallsregister
  • Schwachstellenmanagement- und Patch-Verfahren; Änderungsmanagementprozess
  • Lieferantenbewertungsverfahren und Lieferanteninventar

Häufige Fehler und wie Sie sie vermeiden

  • Überdokumentation: Halten Sie Dokumente prägnant, rollenorientiert und an der Praxis ausgerichtet. Ein 40-seitiges Verfahren, das niemand liest, ist kein Nachweis — es ist Ballast
  • Maßnahmen vor Risiken: Starten Sie mit Risiken und Zielen, wählen Sie dann Maßnahmen aus. Eine SoA ohne nachvollziehbare Risikobegründung ist ein häufiger Auditmangel
  • Statische SoA: Aktualisieren Sie die SoA nach erneuten Risikobewertungen und wesentlichen Änderungen. Eine unveränderte SoA wirkt nicht glaubwürdig
  • Nicht messbare Ziele: Geben Sie Zielen Zielwerte, Verantwortliche und Datenquellen. „Informationssicherheit verbessern" ist kein Ziel — „95 % der kritischen Schwachstellen innerhalb von 72 Stunden geschlossen" ist eines

Papier-Compliance: Operative Nachweise pflegen: Tickets, Logs, Reviews — verknüpft mit Risiken und Maßnahmen. Auditoren folgen der Spur vom Dokument zum Beweis

Wie viel Dokumentation ist genug?

Dokumentieren Sie, was für einen konsistenten Betrieb, die Beweisführung und fundierte Entscheidungen notwendig ist — nicht mehr. Auditoren erwarten klare Absicht, Nachvollziehbarkeit vom Risiko über die Maßnahme bis zum Nachweis und sichtbares Führungsengagement.

Wenn ein Prozess das Risiko oder die Informationssicherheitsgarantie wesentlich beeinflusst, dokumentieren Sie ihn. Wenn nicht, halten Sie ihn schlank. Qualität vor Quantität — ein gut gepflegtes, knappes Dokument überzeugt mehr als ein umfangreiches, das niemand aktuell hält.