ISMS Copilot
ISO 27001 Glossar

Was ist der ISMS-Geltungsbereich (Scope) in ISO 27001?

Übersicht

Der ISMS-Geltungsbereich definiert die Grenzen und die Anwendbarkeit Ihres Informationssicherheits-Managementsystems. Gemäß ISO 27001:2022 Klausel 4.3 legt er genau fest, welche Teile Ihrer Organisation, welche Standorte, welche Systeme und welche Prozesse durch Ihr ISMS abgedeckt sind – und ebenso wichtig, was davon ausgeschlossen ist.

Der Geltungsbereich ist ein grundlegendes Dokument, das alle nachfolgenden ISMS-Aktivitäten prägt, von der Risikobewertung über die Implementierung von Kontrollen bis hin zur Audit-Vorbereitung.

Der ISMS-Geltungsbereich in der Praxis

Ihr ISMS-Geltungsbereich muss dokumentiert sein und Folgendes berücksichtigen:

  • Externe und interne Themen, die in Klausel 4.1 identifiziert wurden (Geschäftskontext, Vorschriften, Bedrohungen)

  • Anforderungen interessierter Parteien aus Klausel 4.2 (Kunden, Regulierungsbehörden, Partner)

  • Schnittstellen und Abhängigkeiten zu anderen organisatorischen Aktivitäten

Der Geltungsbereich muss interessierten Parteien zur Verfügung stehen und wird in der Regel mit Kunden, Auditoren und Zertifizierungsstellen geteilt.

Ihr Geltungsbereich bestimmt, welche Annex A-Kontrollen anwendbar sind. Ein breiterer Scope bedeutet mehr zu schützende Assets und mehr zu implementierende Kontrollen; ein engerer Scope reduziert die Komplexität, kann aber den Geschäftswert einschränken.

Komponenten des ISMS-Geltungsbereichs

Organisatorische Grenzen

Definieren Sie, welche Geschäftseinheiten, Abteilungen oder rechtlichen Einheiten einbezogen sind.

Beispiel (gesamte Organisation): "Dieses ISMS gilt für alle Geschäftsbereiche der Acme Corporation, einschließlich der Hauptzentrale, der Regionalbüros und der Remote-Belegschaft."

Beispiel (spezifische Einheit): "Dieses ISMS deckt die IT-Dienstleistungsabteilung der Acme Corporation ab, ausgenommen sind Fertigungs- und Einzelhandelsaktivitäten."

Physische Standorte

Geben Sie an, welche geografischen Standorte oder Einrichtungen abgedeckt sind.

Beispiel: "Der ISMS-Geltungsbereich umfasst unser primäres Rechenzentrum in Frankfurt, Deutschland; die Unternehmensbüros in Paris, Frankreich; und alle Homeoffice-Arbeitsplätze von Mitarbeitern innerhalb der EU."

Prozesse und Aktivitäten

Identifizieren Sie, welche Geschäftsprozesse unter das ISMS fallen.

Beispiel: "Das ISMS umfasst die Softwareentwicklung, den Betrieb der Cloud-Infrastruktur, die Verarbeitung von Kundendaten, den technischen Support und das IT-Service-Management. Davon ausgeschlossen sind die HR-Gehaltsabrechnungssysteme, die von einem Dritten verwaltet werden."

Informationswerte (Assets)

Definieren Sie die Arten von Informationen und Systemen, die durch das ISMS geschützt werden.

Beispiel: "Das ISMS schützt personenbezogene Kundendaten, proprietären Quellcode, Finanzunterlagen, Mitarbeiterinformationen und die gesamte unterstützende IT-Infrastruktur (Netzwerke, Server, Datenbanken, SaaS-Anwendungen)."

Ausschlüsse und Begründungen

Geben Sie klar an, was NICHT enthalten ist, und erläutern Sie warum.

Beispiel: "Das ISMS deckt das Fertigungswerk in Shanghai nicht ab, da es unter einem separaten ISO 9001 Qualitätsmanagementsystem mit eigenen Informationssicherheitskontrollen arbeitet, die von der lokalen Tochtergesellschaft überwacht werden."

Ausschlüsse müssen begründet sein und dürfen Ihre Fähigkeit nicht beeinträchtigen, die beabsichtigten ISMS-Ergebnisse zu erzielen oder gesetzliche/regulatorische Verpflichtungen zu erfüllen. Auditoren werden unbegründete Ausschlüsse genau prüfen.

Definition Ihres Geltungsbereichs: Wichtige Überlegungen

Geschäftskontext (Klausel 4.1)

Richten Sie den Geltungsbereich an strategischen Zielen, Risiken und Compliance-Anforderungen aus:

  • Was sind Ihre kritischen Geschäftsprozesse?

  • Welche regulatorischen Anforderungen gelten (DSGVO, HIPAA, PCI DSS)?

  • Welche Bedrohungen und Chancen beeinflussen Ihre Organisation?

Anforderungen interessierter Parteien (Klausel 4.2)

Stellen Sie sicher, dass der Scope die Bedürfnisse der Stakeholder berücksichtigt:

  • Verlangen Kunden eine ISO 27001-Zertifizierung für bestimmte Dienstleistungen?

  • Schreiben Verträge Sicherheit für bestimmte Daten oder Systeme vor?

  • Gibt es rechtliche Verpflichtungen zum Schutz spezifischer Informationsarten?

Risikobasierter Ansatz

Priorisieren Sie Hochrisikobereiche:

  • Welche Assets würden bei einer Kompromittierung den größten Schaden anrichten?

  • Wo liegen Ihre größten Schwachstellen in der Informationssicherheit?

  • Welche Prozesse verarbeiten die sensibelsten Daten?

Praktikabilität und Ressourcen

Bringen Sie Vollständigkeit mit der Umsetzbarkeit in Einklang:

  • Verfügen Sie über die Ressourcen, um Kontrollen in der gesamten Organisation zu implementieren?

  • Ist ein schrittweiser Ansatz realistischer (mit Kernleistungen beginnen, später erweitern)?

Beginnen Sie mit einem engeren Geltungsbereich, der sich auf kritische Systeme und hochwertige Prozesse konzentriert. Sie können den Scope später erweitern, wenn Ihr ISMS reift, und so eine kontinuierliche Verbesserung nachweisen.

Gängige Scope-Muster

Produkt-/Dienstleistungsbasierter Geltungsbereich

"Das ISMS gilt für Design, Entwicklung, Bereitstellung und Support unserer SaaS-Plattform für Customer Relationship Management (CRM)."

Ideal für: Softwareunternehmen, Dienstleister, spezifische Produktlinien.

Standortbasierter Geltungsbereich

"Das ISMS deckt alle Informationssicherheitsaktivitäten an unserem europäischen Hauptsitz und der zugehörigen Cloud-Infrastruktur ab."

Ideal für: Organisationen mit ausgeprägten regionalen Aktivitäten oder Compliance-Grenzen (z. B. DSGVO in der EU).

Abteilungsbasierter Geltungsbereich

"Das ISMS gilt für die IT-Abteilung und alle von ihr verwalteten Systeme, Netzwerke und Daten."

Ideal für: Organisationen am Anfang der ISMS-Implementierung oder mit föderiertem Sicherheitsmanagement.

Organisationsweiter Geltungsbereich

"Das ISMS umfasst alle Betriebe, Einrichtungen, Mitarbeiter und Informationswerte der Acme Corporation weltweit."

Ideal für: Reife Organisationen, die eine umfassende Security Governance anstreben oder ein unternehmensweites Engagement demonstrieren wollen.

Format der Geltungsbereichserklärung

Obwohl ISO 27001:2022 kein spezifisches Format vorschreibt, folgen effektive Erklärungen in der Regel dieser Struktur:

  1. Einleitung: Name der Organisation und Zweck des ISMS

  2. Einschlüsse: Erfasste Geschäftseinheiten, Standorte, Prozesse, Systeme, Datentypen

  3. Ausschlüsse: Was nicht abgedeckt ist und warum

  4. Anwendbarkeit: Für wen das ISMS gilt (Mitarbeiter, Auftragnehmer, Partner)

  5. Schnittstellen: Verbindungen zu anderen Managementsystemen oder externen Parteien

  6. Genehmigung: Autorisiert durch das Top-Management mit Datum

Beispiel einer Geltungsbereichserklärung

"Das ISMS von Acme Cloud Services gilt für Design, Entwicklung, Betrieb und Support unserer mandantenfähigen Cloud-Speicherplattform, einschließlich der gesamten zugehörigen Infrastruktur (Rechenzentren in Frankfurt und Dublin), des Personals (Engineering-, Betriebs- und Supportteams) und der Informationswerte (Kundendaten, Plattformcode, Unternehmens-IT-Systeme). Der Geltungsbereich umfasst Remote-Mitarbeiter weltweit. Ausgeschlossen: Zahlungsabwicklung durch Drittanbieter (Stripe) unter deren eigener ISO 27001-Zertifizierung. Dieses ISMS entspricht den Anforderungen von ISO 27001:2022, der DSGVO und SOC 2 Type II."

Nutzen Sie den ISMS Copilot, um eine auf Ihr Unternehmen zugeschnittene Geltungsbereichserklärung zu entwerfen, passende Einschlüsse und Ausschlüsse zu identifizieren oder Anforderungen interessierter Parteien auf Scope-Elemente abzubilden.

Überprüfung und Aktualisierung des Geltungsbereichs

Ihr Geltungsbereich ist nicht statisch. Überprüfen und aktualisieren Sie ihn:

  • Während der Managementbewertung (Klausel 9.3) in geplanten Abständen

  • Wenn wesentliche Änderungen eintreten (Fusionen, neue Dienste, regulatorische Änderungen)

  • Wenn interne Audits oder Vorfälle Lücken in der Abdeckung aufzeigen

  • Im Rahmen der kontinuierlichen Verbesserung, um den Schutz zu erweitern

Dokumentieren Sie Änderungen am Geltungsbereich, holen Sie die Genehmigung des Top-Managements ein und kommunizieren Sie Aktualisierungen an interessierte Parteien.

Auswirkungen des Geltungsbereichs auf Kontrollen

Ihr Scope bestimmt direkt:

  • Grenzen der Risikobewertung: Welche Assets und Bedrohungen zu bewerten sind (Klausel 6.1.2)

  • Anwendbare Kontrollen: Welche Annex A-Kontrollen relevant sind (Klausel 6.1.3)

  • Erklärung zur Anwendbarkeit (SoA): Was in die SoA aufzunehmen ist

  • Audit-Umfang: Was Zertifizierungsstellen bewerten werden

  • Ressourcenbedarf: Erforderliches Budget, Personal und Werkzeuge

Häufige Fehler, die vermieden werden sollten

  • Geltungsbereich zu breit für verfügbare Ressourcen, was zu unvollständiger Implementierung führt

  • Geltungsbereich zu eng, Ausschluss kritischer Systeme oder Daten

  • Vage Formulierungen, die die Grenzen unklar machen

  • Ausschluss von Hochrisikobereichen ohne triftige Begründung

  • Keine Abstimmung des Geltungsbereichs auf Kunden- oder regulatorische Anforderungen

  • Versäumnis, den Geltungsbereich bei geschäftlichen Änderungen zu aktualisieren

  • Fehlende Genehmigung durch das Top-Management

Verwandte Begriffe

War das hilfreich?