🔍 Was beobachte ich?

ISMS-Projekte starten mit Scope, Maßnahmen und Richtlinien. ISO 27001 Clause 4.2 – die Analyse interessierter Parteien – wird dabei oft als Formalie abgehakt: eine Liste mit Regulatoren, Kunden und Lieferanten. Was diese konkret erwarten, weiß niemand – und so richtig interessiert es auch niemanden.

🎯 Was soll eigentlich erreicht werden?

ISO 27001 Clause 4.2 verlangt: Wer sind die interessierten Parteien – und welche Anforderungen stellen sie? Externe Erwartungen sind der Ausgangspunkt – nicht das Anhängsel.

⚠️ Warum funktioniert das nicht?

Wer externe Erwartungen nicht kennt, kann sie nicht erfüllen. Ein Schlüsselkunde verlangt im Lieferantenaudit dokumentierte Patch-Fristen nach Schweregrad. Das ISMS hat einen Patch-Prozess – aber ohne SLAs, weil niemand je danach gefragt hat. Ein Versicherer fordert beim Renewal den Nachweis vollständiger MFA für privilegierte Zugänge. Das ISMS empfiehlt MFA – schreibt sie nicht vor. Das Ergebnis ist ein ISMS, das Audits bestehen kann, aber keine echte externen Erwartungen erfüllt.

💡 Was funktioniert besser?

Stakeholder-Analyse als echte Recherche, nicht als Formalie: Was erwarten Regulatoren, Schlüsselkunden und Partner konkret? Diese Anforderungen fließen dann in alle Elemente des ISMS ein: Scope, Prozesse, Vorgaben und Maßnahmen. Clause 4.2 ist nicht die Pflicht vor dem eigentlichen ISMS – sie ist sein Fundament.

📚🔍