Wo ist dann das Problem?<\/p>\n
Falls der Anwendungsbereich der ISO 27001 nicht das gesamte Unternehmen ist, so stellt sich das Problem, dass das Informationssicherheits-Managementsystem (ISMS) Schnittstellen zur \u201eAu\u00dfenwelt\u201c haben muss \u2013 in diesem Zusammenhang bedeutet \u201eAu\u00dfenwelt\u201c nicht nur die Kunden, Partner, Lieferanten usw., sondern auch die Abteilungen des Unternehmens, die au\u00dferhalb des Anwendungsbereichs liegen. Es mag komisch klingen, aber eine Abteilung, die sich au\u00dferhalb des Anwendungsbereichs befindet, sollte auf die gleiche Weise wie ein externer Lieferant behandelt werden.<\/p>\n
Sollten Sie beispielsweise beschlie\u00dfen, dass sich der Anwendungsbereich nur auf Ihre IT-Abteilung erstreckt und diese Abteilung die Dienste der Abteilung nutzt, so sollte die IT-Abteilung eine Risikoeinsch\u00e4tzung Ihrer Einkaufsabteilung vornehmen, ob ein Risiko f\u00fcr die Informationen besteht, f\u00fcr die Ihre IT-Abteilung verantwortlich ist. Au\u00dferdem sollten die beiden Abteilungen f\u00fcr die geleisteten Dienste allgemeine Gesch\u00e4ftsbedingungen vereinbaren.<\/p>\n
Warum sind diese Fixkosten notwendig? Man muss sich in die Zertifizierungsstelle versetzen \u2013 sie muss bescheinigen, dass Sie innerhalb Ihres Anwendungsbereichs in der Lage sind, Informationen auf sichere Art und Weise zu handhaben. Sie kann jedoch keine Ihrer Abteilungen au\u00dferhalb dieses Anwendungsbereichs pr\u00fcfen. Die einzige M\u00f6glichkeit f\u00fcr eine solche Situation besteht darin, diese Abteilungen so zu behandeln, als ob es sich um externe Unternehmen handelt. (Bitte beachten: Zertifizierungsauditoren m\u00f6gen niemals einen engen Anwendungsbereich.)<\/p>\n
Damit h\u00f6rt der \u00c4rger jedoch nicht auf. Manchmal ist ein enger Anwendungsbereich einfach nicht m\u00f6glich, weil es keine Schnittstelle nach au\u00dfen gibt. Wenn zum Beispiel Mitarbeiter aus beiden Abteilungen innerhalb und au\u00dferhalb des Anwendungsbereichs im gleichen Raum sitzen, so ist ein solcher Anwendungsbereich schwerlich umzusetzen. Wenn beide Mitarbeiter au\u00dferhalb und innerhalb des Anwendungsbereichs das gleiche lokale Netzwerk nutzen (ohne Segregation) und Zugriff auf verschiedene Netzwerkdienste haben, so ist ein solcher Anwendungsbereich definitiv unm\u00f6glich \u2013 es gibt keine M\u00f6glichkeit, den Informationsfluss innerhalb des Anwendungsbereichs zu kontrollieren.<\/p>\n
Der entscheidende Punkt ist: eine Verengung Ihres ISMS-Anwendungsbereichs ist manchmal unm\u00f6glich und f\u00fchrt in den meisten F\u00e4llen zu unn\u00f6tigem Aufwand. Was urspr\u00fcnglich nicht wie eine gute L\u00f6sung erschienen, kann am Ende optimal sein \u2013 versuchen Sie, den Anwendungsbereich auf das gesamte Unternehmen auszudehnen. Die Faustregel lautet: Wenn es in Ihrem Unternehmen nicht mehr als ein paar hundert Mitarbeiter und einen oder wenige Standorte gibt, so deckt das ISMS optimalerweise das ganze Unternehmen ab.<\/p>\n
Sollten Sie jedoch andererseits nicht das gesamte Unternehmen mit Ihrem ISMS-Anwendungsbereich abdecken k\u00f6nnen, so versuchen Sie zumindest, diesen in einer ausreichend unabh\u00e4ngigen Unternehmenseinheit umzusetzen. Versuchen Sie, die Beziehungen zu anderen Unternehmenseinheiten au\u00dferhalb des Anwendungsbereichs durch Definition ihrer Dienste mithilfe interner Dokumente zu l\u00f6sen (Leitlinien, Verfahren usw.), die als \u201eVereinbarungen\u201c dienen \u2013 so k\u00f6nnten Sie die Pflichten diese Unternehmenseinheiten auf eine im t\u00e4glichen Gesch\u00e4ftsbetrieb einsetzbaren Weise dokumentieren.<\/p>\n
Na also \u2013 Sie haben den ersten Schritt Ihrer ISO 27001 Umsetzung erfolgreich absolviert.<\/p>\n