Ein ISMS ist nur so gut wie seine Pflege. „Wir haben eine Information Security Policy" reicht im Audit nicht – der Auditor will sehen, dass sie regelmäßig (typisch jährlich) reviewt, ggf. angepasst und durch das Top-Management bestätigt wird. Dasselbe gilt für ~20 weitere Asset-Klassen: Controls, Verfahren, Risiken, Lieferanten, BCDR-Pläne.
Das ungelöste Problem in vielen Organisationen
Reviews verfallen, weil:
- Es keinen zentralen Kalender für „was wann reviewt werden muss" gibt.
- Reminder per Excel + Outlook-Termin halbherzig funktionieren – und ignoriert werden.
- Owner wechseln, Reviews verwaisen.
- Eskalation bei Versäumnis nicht definiert ist.
Der Auditor merkt das spätestens, wenn er „letzter Review-Datum" aller 80 Policies als CSV verlangt – und 30 % davon > 12 Monate sind.
Was integrierter Review-Cycle-Management leistet
- Frequenz-basierte Planung: pro Asset/Control/Policy konfigurierbar (monatlich / quartalsweise / jährlich / nach Frequenz X).
- Multi-Channel-Reminders: Mail, Slack-Webhook, Teams-Webhook, optional Push-Notification an die Web-App. Reminder-Schedule individualisierbar (z. B. 30-14-7-1 Tage vor Fälligkeit).
- Smart Escalation: bei verpasstem Review eskaliert das System nach definiertem Schema – zuerst stellvertretender Owner, dann ISMS-Manager, dann Top-Management. Kein „nett gefragt"-Loop bis zum Audit.
- Approval-Workflow: optionaler Vier-Augen-Approval auf Review-Abschluss. Wichtig für Hochrisiko-Assets (z. B. Krypto-Schlüssel-Lifecycle, Lieferanten-Sicherheits-Bewertungen).
- Dashboard und Reporting: Live-Metrik „% on-time Reviews", Trend, Workload-Verteilung pro Owner. Auditor-Export-Knopf.
Welche Entitäten abgedeckt sind
Standardmäßig: Assets, Controls, Policies, Risiken, Lieferanten/Vendors, BCDR-Pläne, Verfahren, Dokumente, Findings, Audits. Pro Tenant individualisierbar – wer eine zusätzliche Klasse pflegen will (z. B. „Schlüssel-Material"), bekommt einen eigenen Review-Type mit eigener Frequenz und eigenem Owner-Pool.
Compliance-Mapping
ISO 27001 verlangt regelmäßige Reviews explizit (Cl. 9.1, A.5.36, A.8.34 u. a.). NIS-2 fordert kontinuierliche Bewertung der Maßnahmen (Art. 21(3)). DSGVO Art. 32 verlangt regelmäßige Überprüfung der Wirksamkeit der TOMs. Ein ordentliches Review-Cycle-Management deckt alle drei in einem Workflow ab.
Realistischer Setup-Aufwand
Drei Stunden für die initiale Konfiguration der Frequenzen, eine Stunde für die Festlegung der Eskalationsregeln, zwei Stunden für die Owner-Zuweisung. Ab dann: keine manuellen Reminder mehr, der ISMS-Pflegeaufwand verschiebt sich von „administrativ erinnern" zu „inhaltlich reviewen".
Fazit
Review-Cycle-Management ist das Bindeglied zwischen „ISMS gebaut" und „ISMS lebendig". Eine Plattform-basierte Lösung mit Frequenz-Planung, Multi-Channel-Reminders, Eskalation und Reporting ersetzt Excel-Trackers und Outlook-Erinnerungen vollständig – und macht aus dem unliebsamen „Reviews stehen wieder an"-Quartalsgefühl einen kontinuierlichen, planbaren Prozess.