Festlegung des Anwendungsbereiches ISO/IEC 27001

Im Rahmen der Zertifizierung oder Beratung gibt es immer wieder Diskussionen über die richtige Definition und Beschreibung des Anwendungsbereiches bzw. Scopes für die ISO/IEC 27001 – Kapitel 4.3.

Definition des Organisationszwecks

Jede Organisation dient einen gewissen Zweck. Es werden Dienstleistungen oder Waren verkauft. Dazu unterliegt jede Organisation bestimmten Marktbedingungen, den geltenden Gesetzen, Verordnungen, Anforderungen von Anteilseignern und vertraglichen Anforderungen. Dieser Organisationszweck oder auch Kontext der Organisation genannt ist der erste Aspekt in der Definition des Anwendungsbereiches. Informationen dazu müssen mit den Angaben im Handelsregister bzw. LEIRegister übereinstimmen. (ISO/IEC 27001- Kapitel 4.3 a, 4.3 b)

Organisatorische Abgrenzung

Jede Organisation hat bestimmte Prozesse, die zur Erfüllung des Organisationszwecks dienen. Diese Prozesse müssen definiert und dokumentiert werden. Bei den Prozessen ist es wichtig, dass diese durch das Informationsmanagementsystem (ISMS) abgedeckt sind. Die die Identifizierung der Geschäftsprozesse wird auch Aufbau- und Ablauforganisation deutlich. Diese sollte in einem Organigramm dargestellt werden. (ISO/IEC 27001- Kapitel 4.3 a)

Technische Abgrenzung

Nach dem die wichtigen Geschäftsprozesse bzw. die Organisation definiert wurden, müssen die jeweiligen Assets analysiert werden. Die eingeleiteten Maßnahmen aus dem Risikomanagement (Annex A der ISO/IEC 27001) müssen die Assets und die Verarbeitung der Informationen schützen. Unter Assets versteht die ISO/IEC verkürzt die folgenden Sachverhalte (Server, Netzwerk, Gebäude, Mitarbeiter, Prozesse, Notebooks, Smartphones, Tablets usw.) (ISO/IEC 27001- Kapitel 4.3 a)

Physische Abgrenzung

Es müssen alle Standorte, in die in Anhängigkeit mit der technischen und organisatorischen Abgrenzung stehen mit im Scope aufgeführt werden. Dazu ist wichtig, dass auch die Mitarbeiteranzahl inkl. der Freelancer dokumentiert werden. (ISO/IEC 27001- Kapitel 4.3 a)

Definition der Schnittstellen

In der Abgrenzung des Scopes (organisatorisch, technisch, physisch) tauchen Schnittstellen auf, die nicht im Anwendungsberiech des ISMS liegen. Diese Schnittstellen müssen definiert und beschrieben werden. Dabei sind die Schnittstellen aus der internen Organisation und externen Organisationen zu dokumentieren. Die Schnittstellen müssen im Lieferantenmanagement betreut werden. (ISO/IEC 27001- Kapitel 4.3 c)

Formulieren Sie einen Zertifikatstext

In der Anhängigkeit der Definition des Anwendungsbereiches muss bei einer Zertifizierung ein Zertifikatstext definiert werden. In diesem Zertifikatstext sind die folgenden Punkte zu beachten.

Keine Standorte – Diese sind im Anhang des Zertifikats aufgeführt.

Keine Nennung des Unternehmens- Das zertifizierte Unternehmen ist im Zertifikat aufgeführt.

Keine Nennung von Produkten oder Marken – Die Zertifizierung ist keine Produktzertifizierung

Keine Abkürzungen – Der Text muss für jeden verständlich sein und Abkürzungen können mehrere Bedeutungen haben.

Keine Nennung des Standards– Das Managementsystem steht auf dem Zertifikat und muss nicht erneut genannt werden. Somit ist die Nennung ISMS bzw. Informations-Sicherheits-Management-System oder ISO/IEC 27001 nicht zulässig.

Keine Nennung von Gesetzen- Es liegt nahe die DSGVO als Prozess mit aufzuführen, dies ist nicht zulässig. Es kann keine Konformität zu einem Gesetz ausgesprochen werden, sondern nur zum geprüften Managementsystem.  Für den Datenschutz gibt es Erweiterungen. (ISO/IEC 27701, ISO/IEC 27018). 

Keine Verallgemeinerungen- Sätze wie alle Prozesse sind nicht zulässig, es sollten die Kernprozesse benannt werden. 

Beispiele: Entwicklung und Betrieb von Applikationen und Cloud-Diensten

Managementberatung für IT-Prozesse und Cyber Security

Produktion von Messtechnik für die Industrie

Stationäre und ambulante medizinische Behandlung vom Menschen 

Wir bieten für die folgenden Managementsysteme Dienstleistungen im Bereich der Beratung und Auditierung an.

Informationssicherheit: → ISO 27001

Compliance.Management: → ISO 37301

Datenschutz: → DSGVO, ISO 27701

Business Continuity Management: → ISO 22301

Unser Partner  ↗ IT-Richtlinien.de bietet Vorlagen für Managementsysteme an.

Diese Vorlagen sind geeignet für die Zertifizierung. 

Vorheriger Beitrag Scope vs Geltungsbereich für Managementsysteme
Nächster Beitrag Der Screening-Prozess in der ISO 27001