ISO 27001 Notfallübung: Incident Response testen und nachweisen
Was ISO 27001 zu Übungen verlangt
ISO/IEC 27001:2022 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Der Kern des Standards ist der Nachweis der Wirksamkeit: Maßnahmen müssen nicht nur existieren, sondern nachweislich funktionieren. Für die Reaktion auf Sicherheitsvorfälle und die Aufrechterhaltung des Betriebs bedeutet das: Die Prozesse müssen etabliert, geübt und bewertet sein.
Die relevanten Controls (Annex A)
- A.5.24 – Planung und Vorbereitung des Incident-Managements: Rollen, Verantwortlichkeiten und Verfahren für Sicherheitsvorfälle festlegen.
- A.5.25–A.5.28 – Bewertung, Reaktion, Lernen, Beweissicherung: der vollständige Incident-Lebenszyklus, inklusive Lessons Learned.
- A.5.29 – Informationssicherheit bei Störungen: Sicherheit auch während eines Ausfalls aufrechterhalten.
- A.5.30 – IKT-Bereitschaft für Business Continuity: Wiederanlauffähigkeit der IKT planen und testen.
Die Tabletop-Übung als Wirksamkeitsnachweis
Eine Tabletop-Übung spielt einen realistischen Vorfall strukturiert durch: Das Team trifft Entscheidungen, eskaliert, kommuniziert und arbeitet die Meldekette ab. So zeigt sich, ob die dokumentierten Verfahren im Ernstfall greifen – und wo sie lückenhaft sind. Genau diesen Wirksamkeitsnachweis erwartet ein ISO-27001-Auditor.
Für internes Audit und Management-Review
ISO 27001 verlangt interne Audits (Abschnitt 9.2) und ein regelmäßiges Management-Review (9.3). Der automatisch erzeugte, auditierbare Report jeder Übung liefert dafür belastbare Eingangsdaten: Teilnehmer mit Rollen, Entscheidungen, Diskussionsergebnisse, Zeitstempel und abgeleitete Maßnahmen. Über mehrere Übungen hinweg belegen Sie zudem den Reifegrad-Trend – mit Daten statt Bauchgefühl.
Häufige Fragen
Verlangt ISO 27001 Übungen?
ISO/IEC 27001:2022 verlangt über die Controls im Annex A – insbesondere A.5.24 (Planung des Incident-Managements), A.5.29 (Informationssicherheit bei Störungen) und A.5.30 (IKT-Bereitschaft für Business Continuity) – dass Reaktions- und Wiederanlaufprozesse etabliert und auf ihre Wirksamkeit geprüft werden. Eine Tabletop-Übung ist ein anerkanntes Mittel, um diese Wirksamkeit nachzuweisen.
Wie hilft eine Tabletop-Übung im ISO-27001-Audit?
Der Auditor prüft nicht nur, ob Verfahren dokumentiert sind, sondern ob sie wirksam sind. Eine geübte, dokumentierte Krisenreaktion liefert genau diesen Wirksamkeitsnachweis – strukturiert und mit Zeitstempeln, direkt für das interne Audit (Abschnitt 9.2) und das Management-Review (9.3) verwendbar.
Welche ISO-27001-Controls deckt eine Übung ab?
Vor allem den Incident-Management-Lebenszyklus (A.5.24–A.5.28) sowie A.5.29 und A.5.30 zu Continuity und IKT-Bereitschaft. Die Übung zeigt, dass Rollen, Eskalation, Kommunikation und Meldewege im Ernstfall funktionieren.
Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.