Übersicht: ISO 27001 Anforderung 10.2
- Einführung
- Was ist eine Nichtkonformität in ISO 27001?
- Was ist der Unterschied zwischen leichten und schweren Nichtkonformitäten?
- Beispiele für geringfügige und schwerwiegende Nichtkonformitäten
- Was sind Korrekturmaßnahmen im Rahmen von ISO 27001?
- Prozess der Nichtkonformität und Korrekturmaßnahmen
- Was werden die Auditoren bei der Validierung von Klausel 10.1 prüfen?
- Fazit
ISO 27001 ist eine internationale Norm, die die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) festlegt. Ein ISMS ist ein Rahmenwerk für das Management von Informationssicherheitsrisiken und den Schutz von Informationswerten.
Klausel 10.1 der ISO 27001 verlangt von Organisationen, dass sie Nichtkonformitäten identifizieren, untersuchen und beheben. Eine Nichtkonformität ist eine Abweichung von den Anforderungen des ISMS.
In diesem Artikel werden die Anforderungen der ISO 27001-Klausel 10.1 erörtert und Anleitungen zur Umsetzung eines Prozesses für Nichtkonformität und Korrekturmaßnahmen gegeben, um eine ISO 27001-Zertifizierung zu erreichen oder aufrechtzuerhalten.
Was ist eine Nichtkonformität in ISO 27001?
Nichtkonformitäten können durch eine Vielzahl von Mitteln festgestellt werden, z. B. durch interne Audits , Management Reviews und Kundenfeedback. Sobald eine Nichtkonformität festgestellt wurde, sollte die Organisation diese untersuchen, um die Grundursache und mögliche Auswirkungen auf die Informationssicherheit zu ermitteln.
Was ist der Unterschied zwischen leichten und schweren Nichtkonformitäten?
Der Unterschied zwischen geringfügigen und schwerwiegenden Nichtkonformitäten liegt in der Schwere der Auswirkungen auf das Informationssicherheits-Managementsystem der Organisation.
Geringfügige Nichtkonformitäten sind solche, die keine wesentlichen Auswirkungen auf die Wirksamkeit des ISMS haben. Es kann sich um isolierte Vorfälle oder einmalige Vorkommnisse handeln. Geringfügige Nichtkonformitäten können relativ schnell und einfach behoben werden und erfordern nicht unbedingt sofortige Abhilfemaßnahmen.
Schwerwiegende Nichtkonformitäten sind dagegen solche, die sich erheblich auf die Wirksamkeit des ISMS auswirken. Es kann sich um systemische Probleme handeln, die zu ernsthaften Risiken für die Informationssicherheit führen können. Schwerwiegende Nichtkonformitäten erfordern sofortige Korrekturmaßnahmen, um das Risiko zu mindern und weitere Probleme zu verhindern.
Die folgende Tabelle fasst die wichtigsten Unterschiede zwischen geringfügigen und schwerwiegenden Nichtkonformitäten zusammen:
Merkmal | Leichte Nichtkonformität | Schwere Nichtkonformität |
Schwere der Auswirkung | Hat keinen wesentlichen Einfluss auf die Wirksamkeit des ISMS. | Hat eine erhebliche Auswirkung auf die Wirksamkeit des ISMS. |
Wahrscheinlichkeit des Auftretens | Isolierter Vorfall oder einmaliges Vorkommnis. | Systemisches Problem, das zu ernsthaften Informationssicherheitsrisiken führen könnte. |
Zeit bis zur Lösung | Relativ schnell und einfach. | Sofortige Abhilfemaßnahmen erforderlich. |
Auswirkung auf die Zertifizierung | Sollte die Zertifizierung nicht beeinträchtigen. | Kann die Zertifizierung beeinträchtigen. |
Es ist wichtig zu beachten, dass der Schweregrad einer Nichtkonformität je nach den spezifischen Umständen der Organisation variieren kann. So kann beispielsweise eine geringfügige Nichtkonformität für eine Organisation eine schwerwiegende Nichtkonformität für eine andere Organisation sein.
Hier sind einige Beispiele für geringfügige und schwerwiegende Nichtkonformitäten:
- Geringfügige Nichtkonformität: Eine Sicherheitsrichtlinie ist nicht auf dem neuesten Stand.
- Größere Nichtkonformität: Eine Firewall ist falsch konfiguriert, so dass Unbefugte Zugang zum Netzwerk der Organisation haben.
- Geringfügige Nichtkonformität: Ein Benutzerkonto wird nicht ordnungsgemäß deaktiviert, wenn ein Mitarbeiter die Organisation verlässt.
- Schwerwiegende Nichtkonformität: Aufgrund mangelnder Sicherheitskontrollen kommt es zu einer Datenpanne.
- Geringfügige Nichtkonformität: Eine Sicherheitsschulung wird nicht pünktlich durchgeführt.
- Größere Nichteinhaltung: Die Mitarbeiter halten sich nicht an die Sicherheitsverfahren, wie z. B. die Verwendung sicherer Passwörter und die Vermeidung von Phishing-E-Mails.
Organisationen sollten über ein Verfahren zur Identifizierung, Meldung und Behebung von kleineren und größeren Mängeln verfügen. Dieser Prozess sollte dokumentiert und an alle Mitarbeiter weitergegeben werden.
Durch die unverzügliche Behebung von Verstößen können Organisationen die Gesamteffektivität ihres ISMS verbessern und ihre Informationswerte schützen.
Was sind Korrekturmaßnahmen im Rahmen von ISO 27001?
Sobald die Grundursache einer Nichtkonformität festgestellt wurde, sollte die Organisation Korrekturmaßnahmen ergreifen, um die Ursache zu beseitigen und ein erneutes Auftreten zu verhindern. Korrekturmaßnahmen können die Änderung von Richtlinien und Verfahren, die Schulung von Mitarbeitern oder die Implementierung neuer Sicherheitskontrollen beinhalten.
Prozess der Nichtkonformität und Korrekturmaßnahmen
Im Folgenden wird ein allgemeiner Überblick über den Prozess der Nichtkonformität und der Korrekturmaßnahmen gegeben:
- Identifizieren Sie die Nichtkonformität: Dies kann auf verschiedene Weise geschehen, z. B. durch interne Audits, Managementbewertungen und Kundenfeedback.
- Untersuchen Sie die Nichtkonformität: Bestimmen Sie die Ursache der Nichtkonformität und mögliche Auswirkungen auf die Informationssicherheit.
- Festlegung von Korrekturmaßnahmen: Ermittlung der Schritte, die unternommen werden müssen, um die Ursache der Nichtkonformität zu beseitigen und ein erneutes Auftreten des Problems zu verhindern.
- Umsetzung der Korrekturmaßnahmen: Ergreifen Sie die Schritte, die in Schritt 3 festgelegt wurden.
- Überprüfen Sie die Wirksamkeit der Korrekturmaßnahme: Nachdem die Korrekturmaßnahme umgesetzt wurde, überprüfen Sie, ob die Ursache der Nichtkonformität beseitigt wurde und ob sie sich nicht wiederholt.
Blitzschnell zur ISO 27001-Zertifizierung
Reduzieren Sie den manuellen Aufwand um bis zu 75 %
Reduzieren Sie Ihre Vorbereitungszeit für Re-Audits um bis zu 30 %

Was werden die Auditoren bei der Validierung von Klausel 10.1 (Nichtkonformität und Abhilfemaßnahmen) prüfen?
Zur Vorbereitung auf das externe Audit ist es hilfreich, die üblichen Bereiche, Themen und Fragen zu verstehen, die ein Auditor stellen oder prüfen könnte. Die folgende Liste gibt einen Überblick über mögliche Bereiche, die Auditoren bei der Validierung von Klausel 10.1 der ISO 27001 prüfen können:
- Ob die Organisation über einen Prozess zur Identifizierung, Untersuchung und Behebung von Nichtkonformitäten verfügt.
- Ob der Prozess dokumentiert ist und den Mitarbeitern mitgeteilt wird.
- Ob die Organisation die Verantwortung für jeden Schritt des Prozesses zugewiesen hat.
- Ob die Organisation die Wirksamkeit des Prozesses überwacht.
- ob die Organisation geeignete Korrekturmaßnahmen ergreift, um die Ursachen von Nichtkonformitäten zu beseitigen und zu verhindern, dass sie erneut auftreten.
Im Einzelnen prüft der Prüfer Folgendes:
- Identifizierung von Nichtkonformitäten: Verfügt die Organisation über ein Verfahren zur Identifizierung von Nichtkonformitäten? Dieser Prozess kann interne Audits, Managementbewertungen, Mitarbeiterfeedback und Kundenfeedback umfassen.
- Untersuchung von Nichtkonformitäten: Verfügt die Organisation über ein Verfahren zur Untersuchung von Nichtkonformitäten? Dieser Prozess sollte die Grundursache der Nichtkonformität und mögliche Auswirkungen auf die Informationssicherheit ermitteln.
- Korrekturmaßnahmen: Verfügt die Organisation über einen Prozess zur Festlegung und Umsetzung von Korrekturmaßnahmen? Korrekturmaßnahmen sollten ergriffen werden, um die Ursache der Nichtkonformität zu beseitigen und ein erneutes Auftreten zu verhindern.
- Verifizierung der Korrekturmaßnahmen: Überprüft die Organisation die Wirksamkeit der Korrekturmaßnahmen? Dies kann die Überwachung des Prozesses, das Testen der Kontrollen oder die Durchführung von Folgeaudits beinhalten.
Der Prüfer wird auch die Aufzeichnungen der Organisation über Nichtkonformitäten und Abhilfemaßnahmen überprüfen.
Hier sind einige zusätzliche Fragen, die der Prüfer stellen kann:
- Wie stellt die Organisation Nichtkonformitäten fest?
- Wie untersucht die Organisation Nichtkonformitäten?
- Wie legt die Organisation Korrekturmaßnahmen fest?
- Wie setzt die Organisation die Korrekturmaßnahmen um?
- Wie verifiziert die Organisation die Wirksamkeit der Korrekturmaßnahmen?
- Was sind einige Beispiele für Nichtkonformitäten, die die Organisation identifiziert und behoben hat?
- Was sind Beispiele für Korrekturmaßnahmen, die die Organisation umgesetzt hat?
Durch die Beantwortung dieser Fragen und die Durchsicht der Aufzeichnungen der Organisation kann der Auditor die Wirksamkeit des Prozesses für Nichtkonformität und Korrekturmaßnahmen der Organisation bewerten.
Die Vorbereitung auf diese Fragen erleichtert daher den Auditprozess und erhöht die Chancen auf ein erfolgreiches Bestehen des externen ISO 27001-Audits.
Ihr ISO 27001-Zertifizierungsprozess leicht gemacht.
Erhalten Sie Ihre ISO 27001-Zertifizierung in nur 3 Monaten.

Fazit
Der Prozess der Nichtkonformität und der Korrekturmaßnahmen ist ein wesentlicher Bestandteil eines ISMS. Durch die Identifizierung und Behebung von Nichtkonformitäten können Unternehmen die Wirksamkeit ihres ISMS verbessern und das Risiko von Informationssicherheitsvorfällen verringern.
Zusätzliche Tipps für die Implementierung eines Prozesses für Nichtkonformität und Korrekturmaßnahmen
- Stellen Sie sicher, dass der Prozess klar definiert und dokumentiert ist. Dies wird dazu beitragen, dass alle Nichtkonformitäten auf einheitliche Weise behandelt werden.
- Weisen Sie die Verantwortung für jeden Schritt des Prozesses zu. Auf diese Weise wird sichergestellt, dass Nichtkonformitäten umgehend und effektiv behoben werden.
- Vermitteln Sie den Prozess an alle Mitarbeiter. Dadurch wird sichergestellt, dass sich jeder seiner Rolle in diesem Prozess bewusst ist.
- Überwachen Sie die Wirksamkeit des Prozesses. Auf diese Weise lassen sich alle verbesserungswürdigen Bereiche ermitteln.
Wenn Sie diese Tipps befolgen, können Unternehmen einen Prozess zur Behebung von Nichtkonformitäten und Korrekturmaßnahmen einführen, der ihnen hilft, die Sicherheit ihrer Informationsbestände zu verbessern.
Bis zu 50%
Günstiger als externe Berater
Bis zu 300%
Erhöhen Sie Ihre Opt-in-Rate mit Consent & Preference Management
3 Monate
In nur drei Monaten bereit für den Audit
100%
Bislang haben alle unsere Kunden beim ersten Versuch bestanden
Spart bis zu 100 Std.
an manueller Arbeit für die ISO 27001-Zertifizierung oder Label für eine Zertifizierung nach TISAX®
Viele namhafte Marken vertrauen auf uns
P I C
PRIVACY
Externer DSB
Audit und Risikoanalyse
Betroffenenanfragen
Online-Trainings
Cookie & Preference Manager
Beratung durch zertifizierte Experten
INFOSEC
Vorbereitung auf ISO 27001
Aufbau eines ISMS
Cybersecurity
Asset-Management
Risikominimierung
Internes Audit
COMPLIANCE
Digitales Whistleblowing-System
Whistleblowing-Support
Compliance-Audit
Risikominimierung
Online-Trainings
Geprüfte Vorlagen
ISO 27001:2022 Anforderungen
ISO 27001 Anhang A
A.5 Informationssicherheitsrichtlinien A.6 Organisation der Informationssicherheit A.9 Zugangssteuerung |
A.14 Anschaffung, Entwicklung und Instandhaltung von Systemen |
Bereits Unternehmen vertrauen uns





TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.