ISO 27001

ISO 27001 Notfallübung: Incident Response testen und nachweisen

Von SecDrills-Redaktion
ISO/IEC 27001 verlangt nicht nur dokumentierte Sicherheitsprozesse, sondern ihren Wirksamkeitsnachweis. Dieser Beitrag zeigt, welche Controls das Testen von Incident-Response- und Notfallprozessen fordern – und wie eine Tabletop-Übung den prüffähigen Nachweis liefert.

Was ISO 27001 zu Übungen verlangt

ISO/IEC 27001:2022 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Der Kern des Standards ist der Nachweis der Wirksamkeit: Maßnahmen müssen nicht nur existieren, sondern nachweislich funktionieren. Für die Reaktion auf Sicherheitsvorfälle und die Aufrechterhaltung des Betriebs bedeutet das: Die Prozesse müssen etabliert, geübt und bewertet sein.

Die relevanten Controls (Annex A)

  • A.5.24 – Planung und Vorbereitung des Incident-Managements: Rollen, Verantwortlichkeiten und Verfahren für Sicherheitsvorfälle festlegen.
  • A.5.25–A.5.28 – Bewertung, Reaktion, Lernen, Beweissicherung: der vollständige Incident-Lebenszyklus, inklusive Lessons Learned.
  • A.5.29 – Informationssicherheit bei Störungen: Sicherheit auch während eines Ausfalls aufrechterhalten.
  • A.5.30 – IKT-Bereitschaft für Business Continuity: Wiederanlauf­fähigkeit der IKT planen und testen.

Die Tabletop-Übung als Wirksamkeitsnachweis

Eine Tabletop-Übung spielt einen realistischen Vorfall strukturiert durch: Das Team trifft Entscheidungen, eskaliert, kommuniziert und arbeitet die Meldekette ab. So zeigt sich, ob die dokumentierten Verfahren im Ernstfall greifen – und wo sie lückenhaft sind. Genau diesen Wirksamkeitsnachweis erwartet ein ISO-27001-Auditor.

Für internes Audit und Management-Review

ISO 27001 verlangt interne Audits (Abschnitt 9.2) und ein regelmäßiges Management-Review (9.3). Der automatisch erzeugte, auditierbare Report jeder Übung liefert dafür belastbare Eingangsdaten: Teilnehmer mit Rollen, Entscheidungen, Diskussionsergebnisse, Zeitstempel und abgeleitete Maßnahmen. Über mehrere Übungen hinweg belegen Sie zudem den Reifegrad-Trend – mit Daten statt Bauchgefühl.

Häufige Fragen

Verlangt ISO 27001 Übungen?

ISO/IEC 27001:2022 verlangt über die Controls im Annex A – insbesondere A.5.24 (Planung des Incident-Managements), A.5.29 (Informationssicherheit bei Störungen) und A.5.30 (IKT-Bereitschaft für Business Continuity) – dass Reaktions- und Wiederanlaufprozesse etabliert und auf ihre Wirksamkeit geprüft werden. Eine Tabletop-Übung ist ein anerkanntes Mittel, um diese Wirksamkeit nachzuweisen.

Wie hilft eine Tabletop-Übung im ISO-27001-Audit?

Der Auditor prüft nicht nur, ob Verfahren dokumentiert sind, sondern ob sie wirksam sind. Eine geübte, dokumentierte Krisenreaktion liefert genau diesen Wirksamkeitsnachweis – strukturiert und mit Zeitstempeln, direkt für das interne Audit (Abschnitt 9.2) und das Management-Review (9.3) verwendbar.

Welche ISO-27001-Controls deckt eine Übung ab?

Vor allem den Incident-Management-Lebenszyklus (A.5.24–A.5.28) sowie A.5.29 und A.5.30 zu Continuity und IKT-Bereitschaft. Die Übung zeigt, dass Rollen, Eskalation, Kommunikation und Meldewege im Ernstfall funktionieren.

Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.

ISO-27001-Wirksamkeit nachweisen

Testen Sie Ihre Incident-Response- und Continuity-Maßnahmen in einer Tabletop-Übung – mit auditierbarem Report für internes Audit und Management-Review.

Übungsreife-Check starten