BLACK FRIDAY RABATT
Erhalten Sie 30% Rabatt auf Toolkits, Kursprüfungen, Conformio und die Jahrespläne der Company Training Academy.
Zeitlich begrenztes Angebot – endet am 2. Dezember 2024
Verwenden Sie den Promo-Code:
30OFFBLACK

Probleme bei der Festlegung des Anwendungsbereichs für ISO 27001


Sie wussten wahrscheinlich, dass ISO 27001 in einem ersten Schritt den Anwendungsbereich definiert. Wahrscheinlich wissen Sie nicht, dass dieser auf den ersten Blick so einfache Schritt manchmal eine ganze Menge Ärger verursachen kann. Natürlich versuchen viele Unternehmen, ihre Umsetzungskosten durch Einengung des Anwendungsbereichs zu senken. Oft genug finden sie sich aber in einer Situation wieder, in der ein solcher Anwendungsbereich Probleme bereitet.

Wo ist dann das Problem?

Falls der Anwendungsbereich der ISO 27001 nicht das gesamte Unternehmen ist, so stellt sich das Problem, dass das Informationssicherheits-Managementsystem (ISMS) Schnittstellen zur „Außenwelt“ haben muss – in diesem Zusammenhang bedeutet „Außenwelt“ nicht nur die Kunden, Partner, Lieferanten usw., sondern auch die Abteilungen des Unternehmens, die außerhalb des Anwendungsbereichs liegen. Es mag komisch klingen, aber eine Abteilung, die sich außerhalb des Anwendungsbereichs befindet, sollte auf die gleiche Weise wie ein externer Lieferant behandelt werden.

Sollten Sie beispielsweise beschließen, dass sich der Anwendungsbereich nur auf Ihre IT-Abteilung erstreckt und diese Abteilung die Dienste der Abteilung nutzt, so sollte die IT-Abteilung eine Risikoeinschätzung Ihrer Einkaufsabteilung vornehmen, ob ein Risiko für die Informationen besteht, für die Ihre IT-Abteilung verantwortlich ist. Außerdem sollten die beiden Abteilungen für die geleisteten Dienste allgemeine Geschäftsbedingungen vereinbaren.

Warum sind diese Fixkosten notwendig? Man muss sich in die Zertifizierungsstelle versetzen – sie muss bescheinigen, dass Sie innerhalb Ihres Anwendungsbereichs in der Lage sind, Informationen auf sichere Art und Weise zu handhaben. Sie kann jedoch keine Ihrer Abteilungen außerhalb dieses Anwendungsbereichs prüfen. Die einzige Möglichkeit für eine solche Situation besteht darin, diese Abteilungen so zu behandeln, als ob es sich um externe Unternehmen handelt. (Bitte beachten: Zertifizierungsauditoren mögen niemals einen engen Anwendungsbereich.)

Damit hört der Ärger jedoch nicht auf. Manchmal ist ein enger Anwendungsbereich einfach nicht möglich, weil es keine Schnittstelle nach außen gibt. Wenn zum Beispiel Mitarbeiter aus beiden Abteilungen innerhalb und außerhalb des Anwendungsbereichs im gleichen Raum sitzen, so ist ein solcher Anwendungsbereich schwerlich umzusetzen. Wenn beide Mitarbeiter außerhalb und innerhalb des Anwendungsbereichs das gleiche lokale Netzwerk nutzen (ohne Segregation) und Zugriff auf verschiedene Netzwerkdienste haben, so ist ein solcher Anwendungsbereich definitiv unmöglich – es gibt keine Möglichkeit, den Informationsfluss innerhalb des Anwendungsbereichs zu kontrollieren.

Der entscheidende Punkt ist: eine Verengung Ihres ISMS-Anwendungsbereichs ist manchmal unmöglich und führt in den meisten Fällen zu unnötigem Aufwand. Was ursprünglich nicht wie eine gute Lösung erschienen, kann am Ende optimal sein – versuchen Sie, den Anwendungsbereich auf das gesamte Unternehmen auszudehnen. Die Faustregel lautet: Wenn es in Ihrem Unternehmen nicht mehr als ein paar hundert Mitarbeiter und einen oder wenige Standorte gibt, so deckt das ISMS optimalerweise das ganze Unternehmen ab.

Sollten Sie jedoch andererseits nicht das gesamte Unternehmen mit Ihrem ISMS-Anwendungsbereich abdecken können, so versuchen Sie zumindest, diesen in einer ausreichend unabhängigen Unternehmenseinheit umzusetzen. Versuchen Sie, die Beziehungen zu anderen Unternehmenseinheiten außerhalb des Anwendungsbereichs durch Definition ihrer Dienste mithilfe interner Dokumente zu lösen (Leitlinien, Verfahren usw.), die als „Vereinbarungen“ dienen – so könnten Sie die Pflichten diese Unternehmenseinheiten auf eine im täglichen Geschäftsbetrieb einsetzbaren Weise dokumentieren.

Na also – Sie haben den ersten Schritt Ihrer ISO 27001 Umsetzung erfolgreich absolviert.

Erfahren Sie in diesem kostenlosen Online-Training ISO 27001 Foundations Course mehr über die Definition des ISMS-Bereichs.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.