Home/ Wissensdatenbank/ ISMS/ Wie wird ein ISMS gepflegt? Kontinuierliche Verbesserung
ISMS

Wie wird ein ISMS gepflegt? Kontinuierliche Verbesserung

Viele Unternehmen investieren in die ISMS-Einführung, vernachlässigen aber die Pflege. Das Ergebnis: ein ISMS auf dem Papier, das im Alltag nicht gelebt wird. ISO 27001 fordert explizit kontinuierliche Verbesserung. Dieser Artikel zeigt, wie das in der Praxis funktioniert.

⏱ Lesedauer: ca. 10 Min. 📅 Aktualisiert: Juni 2026 ✍️ APASEC Consulting

Der PDCA-Zyklus als Grundlage der ISMS-Pflege

ISO 27001 basiert auf dem Plan-Do-Check-Act-Zyklus (PDCA). Dieser Zyklus ist keine Option, sondern das strukturelle Fundament des ISMS:

  • Plan: Risiken bewerten, Ziele setzen, Maßnahmen planen
  • Do: Maßnahmen umsetzen, Mitarbeiter schulen, Controls betreiben
  • Check: Interne Audits, KPI-Messung, Vorfallanalyse
  • Act: Verbesserungsmaßnahmen ableiten, Korrekturmaßnahmen umsetzen

Der Zyklus läuft jährlich — idealerweise auch auf Quartalsbasis für einzelne ISMS-Bereiche.

Management-Review: Pflicht und Praxis

ISO 27001 Kap. 9.3 fordert regelmäßige Management-Reviews. Das sind keine formalen Pflichtübungen, sondern strategische Steuerungsrunden:

Pflichtinhalte eines Management-Reviews:

  • Status der Maßnahmen aus dem letzten Review
  • Veränderungen im internen und externen Kontext
  • Rückmeldungen aus Audits, Überwachung und Messungen
  • Ergebnisse der Risikobeurteilung
  • Leistung der Informationssicherheit (KPIs)
  • Ressourcenbedarf für das ISMS

Empfehlung: Führen Sie Management-Reviews halbjährlich durch — nicht nur jährlich. Das erhöht die Reaktionsfähigkeit und hält das Management dauerhaft eingebunden.

Interne Audits als Qualitätssicherung

Interne Audits sind das wichtigste Instrument zur ISMS-Pflege. Sie prüfen, ob die umgesetzten Controls tatsächlich wirken und ob Richtlinien gelebt werden. Anforderungen:

  • Geplantes Auditprogramm (Jahresplan)
  • Auditoren müssen unabhängig von den auditierten Bereichen sein
  • Dokumentierte Befunde und Korrekturmaßnahmen
  • Follow-up auf offene Befunde

Praxis: Etablieren Sie ein rotierendes Auditprogramm, das alle ISMS-Bereiche über 2–3 Jahre vollständig abdeckt. Nicht jeder Bereich muss jährlich auditiert werden.

KPI-gesteuerte ISMS-Steuerung

Was nicht gemessen wird, wird nicht verbessert. Relevante KPIs für die ISMS-Pflege:

KPIMessmethodeZielwert
Anzahl SicherheitsvorfälleIncident-RegisterTrend sinkend
Patch-ComplianceSchwachstellen-Scanner>95 %
SchulungsabschlussLMS-Auswertung100 % jährlich
Offene Risiken kritischRisikoregister0 unbehandelt
Audit-Befunde offenMaßnahmen-Tracker0 überfällig

Häufige Fehler bei der ISMS-Pflege

Die häufigsten Fehler beim ISMS-Betrieb:

  • Audit-getriebene Pflege: Das ISMS wird nur vor externen Audits „aufgehübscht“.
  • Veraltete Dokumente: Richtlinien und Risikobewertungen werden nach der Einführung nie aktualisiert.
  • Keine Ressourcen: ISB hat zu viele andere Aufgaben und vernachlässigt das ISMS.
  • Fehlende Eskalation: Kritische Befunde aus Audits verschwinden im Nirgendwo, ohne Maßnahmen.

Fazit: ISMS-Pflege als Daueraufgabe

Ein ISMS lebt von Kontinuität. Die jährlichen Pflichtaufgaben — Management-Review, interne Audits, Risikoaktualisierung — müssen fest im Betriebskalender verankert sein. Unternehmen, die ihr ISMS konsequent pflegen, profitieren von stetig steigender Sicherheitsreife und einem deutlichen Vorteil bei externen Audits und Zertifizierungen.

Checkliste: Wie wird ein ISMS gepflegt? Kontinuierliche Verbesserung

  • Jährliches ISMS-Auditprogramm erstellen und verabschieden
  • Management-Review halbjährlich durchführen
  • ISMS-KPIs definieren und monatlich messen
  • Risikoregister mindestens jährlich aktualisieren
  • Alle Richtlinien nach Änderungen im Unternehmen reviewen
  • Schulungsmatrix aktuell halten und Lücken schließen
  • Korrekturmaßnahmen aus Audits fristgerecht umsetzen
  • ISMS-Scope bei Unternehmensänderungen anpassen
  • Lieferanten und Dienstleister regelmäßig bewerten
  • Kontinuierliche Verbesserung im ISMS-Handbuch dokumentieren

Häufig gestellte Fragen

ISO 27001 schreibt regelmäßige interne Audits vor, ohne eine Mindesthäufigkeit zu nennen. In der Praxis hat sich ein jährlicher Zyklus etabliert, der alle ISMS-Bereiche innerhalb von 2–3 Jahren vollständig abdeckt.

Ein Management-Review ist eine formale Überprüfung des ISMS durch die Unternehmensführung. Er bewertet die Leistung des ISMS, Risikosituationen, Ressourcenbedarf und leitet Verbesserungsmaßnahmen ab. Er ist in ISO 27001 Kap. 9.3 vorgeschrieben.

Korrekturmaßnahmen (Corrective Actions) sind Maßnahmen zur Behebung von Nichtkonformitäten oder Sicherheitsvorfällen. Sie umfassen Ursachenanalyse, konkrete Gegenmaßnahmen und Wirksamkeitsprüfung. ISO 27001 fordert ihre Dokumentation.

ISO 27001 schreibt keine maximale Gültigkeitsdauer vor. Als Best Practice gilt: Richtlinien mindestens jährlich überprüfen und bei wesentlichen Änderungen (Prozesse, IT-Systeme, Regulatorik) sofort aktualisieren.

Ein ungepflegtes ISMS verliert seine Wirksamkeit schleichend: Richtlinien bilden nicht mehr die Realität ab, Risiken werden nicht mehr erkannt, und bei einem externen Audit droht der Verlust der Zertifizierung durch Nichtkonformitäten.

Verwandte Themen

ISMSWas ist ein ISMS?ISMSISMS einführenISMSInternes Audit ISMSISMSISMS KPIsISMSISO 27001 Anforderungen

Verwandte Begriffe

ISMS pflegenISMS kontinuierliche VerbesserungPDCA ISMSManagement Review ISO 27001Internes Audit ISMSISMS KPIISMS BetriebISO 27001 RezertifizierungISMS Dokumentation aktualisierenISMS Risikoaktualisierung