Knowledge Hub

ISO 27001 Klausel 8:Den plan in die tat umsetzen

Klausel 6 liefert den Plan, Klausel 8 setzt ihn um. Dieser Leitfaden gliedert den ISMS-Betrieb in vier Arbeitsbereiche – operativer Plan, Risikobehandlung, Korrekturmaßnahmen und allgemeine Aufgaben – und zeigt, wie Sie jeden so steuern, dass Ihr ISMS wirklich läuft und einem Stufe-2-Audit standhält.

4 Min. Lesezeit
ArticleGlobalGovernance & ComplianceISO 27001

Klausel 6 liefert Ihnen einen Plan. Klausel 8 entscheidet, ob daraus ein System wird, das Sie jede Woche betreiben – oder ein Dokument, das Sie einmal im Jahr in Panik wieder hervorholen. Die Teams, bei denen es funktioniert, behandeln ISMS-Arbeit nicht als eine einzige lange To-do-Liste, sondern teilen sie in einige wenige Arbeitsbereiche auf, jeder mit einer klaren Aufgabe und einer verantwortlichen Person. Dieser Artikel behandelt die vier, die den Großteil der Last tragen – den operativen Plan, die Risikobehandlung, die Korrekturmaßnahmen und die allgemeinen ISMS-Aufgaben.

Klausel 8 in einfachen Worten

Klausel 8 (Betrieb) ist das „Do" im Plan-Do-Check-Act-Zyklus. Sie verlangt, dass Sie die Prozesse planen, umsetzen und steuern, die Ihre Informationssicherheitsanforderungen erfüllen, und die Maßnahmen ausführen, die Sie in Klausel 6 festgelegt haben. Praktisch gesprochen ist es der Ort, an dem der Risikobehandlungsplan umgesetzt wird und an dem der tägliche Betrieb des ISMS stattfindet.

Diese Arbeit hat zwei Gestalten. Ein Teil wiederholt sich nach Plan – Zugriffsüberprüfungen, Managementbewertungen, interne Audits, die Messung Ihrer KPIs. Ein anderer Teil ist einmalig – die Einrichtung von MFA auf einem neuen System, das Schließen einer bestimmten Feststellung. Klausel 8 verlangt außerdem, genügend Nachweise aufzubewahren, die belegen, dass die Arbeit wie geplant durchgeführt wurde. Sowohl das Wiederkehrende als auch das Einmalige braucht einen Ort – und genau dafür gibt es Arbeitsbereiche (Workstreams).

Warum ein ISMS als Arbeitsbereiche besser läuft

ISMS-Arbeit ist von Natur aus gemischt – wiederkehrender Betrieb, risikogetriebene Änderungen, Audit-Feststellungen, die behoben werden müssen, und die eine oder andere Aufgabe, die nirgendwo hinpasst. Werfen Sie all das in eine einzige Liste, verschwindet die wiederkehrende Arbeit unter dem, was gerade am lautesten ruft. Teilt man sie in einige wenige feste Bereiche auf – Epics in Jira, Meilensteine in GitHub oder eigene Projekte in einem Compliance-Tool –, erhält jede Art von Aktivität ihr eigenes Zuhause, ihren eigenen Rhythmus und ihre eigene verantwortliche Person. Zugleich wird das Tool damit zu Ihrer Nachweisspur, worauf wir noch zurückkommen. Vier Arbeitsbereiche decken den größten Teil ab.

Operativer Plan

Der operative Plan enthält die wiederkehrende, kalendergesteuerte Arbeit – den Control-Betrieb, den Sie ein Jahr im Voraus planen können. Typische Einträge sind das Aktualisieren des Organigramms, die Durchführung des internen Audits, die Überprüfung von Zugriffskontrolllisten und Tests der Business Continuity. Er entspricht der betrieblichen Steuerung aus Klausel 8.1.

Was ihn gesund hält, ist ein jährlicher Zyklus. Der Plan wird einmal im Jahr fortgeschrieben und überprüft, sodass jede Periode von einer geprüften Grundlage ausgeht statt von einem leeren Blatt. Eine kleine Gewohnheit macht ihn im Alltag nutzbar – sortieren Sie den Arbeitsbereich nach Fälligkeitsdatum aufsteigend, damit das als Nächstes Fällige immer oben steht und nichts unbemerkt seinen Termin überschreitet.

Risikobehandlung

Der Arbeitsbereich Risikobehandlung enthält jedes To-do, das aus Ihrem Risikobeurteilungs- und -behandlungsprozess hervorgeht. Wenn ein Risiko oberhalb Ihrer Akzeptanzschwelle gemindert, übertragen oder vermieden werden muss, landen diese Maßnahmen hier. Das ist Klausel 8.3 in der Praxis – die Umsetzung des Risikobehandlungsplans, den Sie unter Klausel 6 aufgebaut haben. Methodik, Bewertung und Behandlungsentscheidungen behandeln wir ausführlich in unserem Leitfaden zu den Klauseln 6 und 8.

Jeder Eintrag funktioniert am besten, wenn er auf ein bestimmtes Risiko in Ihrem Register zurückverweist, eine einzelne verantwortliche Person benennt und mit einem Nachweis abschließt, dass die Maßnahme tatsächlich wirkt und nicht bloß als erledigt markiert ist. Genau dieser Nachvollziehbarkeit folgt ein Auditor – vom Risiko über die Maßnahme bis zum Beweis.

Korrekturmaßnahmen-Logbuch

Das Korrekturmaßnahmen-Logbuch erfasst Korrekturmaßnahmen, die sich aus Nichtkonformitäten, Beobachtungen und Verbesserungsmöglichkeiten ergeben – gleich, ob sie durch interne oder externe Audits, die KPI-Messung, die Managementbewertung oder eine andere Überwachungs- und Überprüfungsaktivität sichtbar werden. Es unterliegt Klausel 10.2, wird hier aber als lebendiges Logbuch geführt und nicht als jährliche Aufräumaktion.

Was es belastbar macht, ist eine einheitliche Vorlage, die zu jedem Eintrag die Klassifizierung, den Typ und die Ursache festhält – damit eine Behebung die Ursache adressiert und nicht nur das Symptom. Die vollständige Mechanik der Korrekturmaßnahmen finden Sie im Artikel zu Klausel 10.2.

ISMS-Aufgaben

Der letzte Arbeitsbereich ist der Sammelpunkt. ISMS-Aufgaben sind die einmaligen, allgemeinen Aktivitäten, die weder unter Korrekturmaßnahmen noch unter Risikobehandlung oder den wiederkehrenden operativen Plan fallen – etwa eine bestimmte Kommunikation an die oberste Leitung. Ein benannter Ort dafür verhindert, dass solche Einzelaufgaben in irgendeinem Postfach verloren gehen, und hält die anderen drei Arbeitsbereiche sauber und fokussiert.

Wie die vier zusammenspielen

Die vier stehen nicht für sich. Der operative Plan hält die Routine am Laufen und bringt Feststellungen hervor, die Risikobehandlung liefert die Änderungen, die Ihre Risikoarbeit verlangt, das Korrekturmaßnahmen-Logbuch fängt auf, was schiefgeht, und die ISMS-Aufgaben kümmern sich um den Rest. Zusammen reichen sie über Klausel 8 hinaus – die wiederkehrenden Audits und die KPI-Messung fließen in die Überwachung und Managementbewertung nach Klausel 9, und Korrekturmaßnahmen gehören zu Klausel 10. Klausel 8 ist schlicht der Ort, an dem der Betrieb stattfindet und an dem die Eingaben für diese Klauseln entstehen. Manche Teams ergänzen aus genau diesem Grund weitere Bereiche, etwa für die KPI-Messung oder die Nachverfolgung von ISMS-Änderungen und Geltungsbereichserweiterungen.

Das Tool ist Ihr Nachweis

Diese Arbeitsbereiche in einem Projekttool zu führen, sorgt für mehr als Ordnung. Klausel 8 verlangt dokumentierte Informationen, die belegen, dass Prozesse wie geplant durchgeführt wurden – und ein gut gepflegtes Board liefert genau das nebenbei. Jeder Eintrag trägt seine verantwortliche Person, seine Termine, seinen Status und seinen Abschlussnachweis, mit einer Historie, die Sie nicht im Nachhinein zusammensuchen mussten. Wenn ein Stufe-2-Auditor fragt, ob Ihr ISMS tatsächlich betrieben oder nur dokumentiert wird, ist das Board die Antwort.

Worauf Auditoren achten

Bei Stufe-2-Audits behandeln Auditoren den Betrieb als Realitätsprüfung Ihres Plans. Sie suchen nach einem operativen Plan, der wirklich in einem Zyklus läuft und nicht brachliegt, nach einem Arbeitsbereich Risikobehandlung, der mit aussagekräftigen Verantwortlichen und Terminen vorankommt, nach einem Korrekturmaßnahmen-Logbuch, das lebt und Einträge mit Nachweis abschließt, und nach einer Anwendbarkeitserklärung, die zu dem passt, was tatsächlich läuft. Leere oder verwaiste Arbeitsbereiche sagen ihnen das Gegenteil.

Wo Sie anfangen

Richten Sie die vier Bereiche in dem Tool ein, das Sie ohnehin nutzen, geben Sie jedem eine einzelne verantwortliche Person und füllen Sie den operativen Plan mit Ihren wiederkehrenden Jahresaufgaben, sortiert nach Fälligkeitsdatum. Leiten Sie neue Risikomaßnahmen in die Risikobehandlung, neue Feststellungen in das Korrekturmaßnahmen-Logbuch und alles Übrige in die ISMS-Aufgaben. Tun Sie das, hört Klausel 8 auf, der Ort zu sein, an dem eine Zertifizierung ins Stocken gerät, und wird zu dem Ort, an dem das ISMS tatsächlich läuft.

ISO 27001 · Klausel 8

Läuft Ihr ISMS wirklich?

Ein dokumentiertes ISMS ist noch kein betriebenes. Wir helfen Ihnen, Klausel 8 in gesteuerte Arbeitsbereiche zu überführen, die die Nachweise liefern, denen ein Stufe-2-Auditor folgt.

  • Von aktiven Auditoren
  • 50+ zertifizierte Kunden
  • Alle vier Arbeitsbereiche an einem Ort
Kostenloses Erstgespräch buchen