Scope vs Geltungsbereich für Managementsysteme

Bei Managementsystemen werden die Begriffe „Scope“ (Anwendungsbereich) und „Geltungsbereich“ oft synonym verwendet, aber es gibt einige Nuancen zu beachten.


Scope (Anwendungsbereich) vs. Geltungsbereich

Der „Scope“ oder auch als Anwendungsbereich beschrieben, bezieht sich typischerweise auf den Umfang Zertifizierung. Er definiert, welche Teile der Organisation bzw. Prozesse vom Managementsystem abgedeckt und zertifiziert werden sollen.

Der „Geltungsbereich“ beschreibt oft detaillierter, welche Prozesse, Standorte, Abteilungen etc. vom Managementsystem umfasst sind. Er kann umfassender sein als der zertifizierte Scope.

Scope-Statement: Dies ist die offizielle Beschreibung des Zertifizierungsumfangs, die auf dem ISO 27001 Zertifikat erscheint. Im Scope-Statement dürfen nur die Prozesse oder Dienstleistungen benannt werden. Nicht erlaubt sind Produkte, Standorte und Marketingaussagen.

Flexibilität: Organisationen haben bei der Definition des Scopes/Geltungsbereichs Freiheiten, müssen aber alle relevanten Aspekte berücksichtigen.

Ganzheitliche Betrachtung: Der Geltungsbereich sollte interne und externe Faktoren, Interessengruppen und Schnittstellen berücksichtigen.

Dokumentation: Der definierte Geltungsbereich muss als dokumentierte Information vorliegen. 

Anpassungsfähigkeit: Der Scope/Geltungsbereich sollte regelmäßig überprüft und bei Bedarf angepasst werden.


Praktische Überlegungen

  • Ein zu eng definierter Scope kann relevante Risiken übersehen.
  • Ein zu weit gefasster Scope kann unnötige Kosten und Aufwand verursachen.
  • Der Geltungsbereich sollte alle Bereiche umfassen, die für die Informationssicherheit relevant sind, auch wenn sie nicht direkt zertifiziert werden.
  • Bei der Zertifizierung ist es wichtig, den genauen Scope zu kommunizieren, da Stakeholder oft nur das Zertifikat sehen, aber nicht den detaillierten Geltungsbereich.

Zusammenfassend lässt sich sagen, dass der Scope die zertifizierten Bereiche definiert, während der Geltungsbereich oft umfassender ist und alle vom ISMS abgedeckten Bereiche beschreibt. Eine sorgfältige Definition beider Aspekte ist entscheidend für ein effektives ISMS und eine aussagekräftige Zertifizierung.


Wir bieten für die folgenden Managementsysteme Dienstleistungen im Bereich der Beratung und Auditierung an.

Informationssicherheit: → ISO 27001

Compliance.Management: → ISO 37301

Datenschutz: → DSGVO, ISO 27701

Business Continuity Management: → ISO 22301


Unser Partner  ↗ IT-Richtlinien.de bietet Vorlagen für Managementsysteme an.

Diese Vorlagen sind geeignet für die Zertifizierung.