ISMS-Geltungsbereich
Dieses Dokument definiert den Geltungsbereich des Informationssicherheits-Managementsystems (ISMS) für ISMS Copilot, betrieben von Better ISMS (Frankreich). Es legt die Grenzen und die Anwendbarkeit des ISMS fest, unter Berücksichtigung unseres organisatorischen Kontextes, der interessierten Parteien und der Schnittstellen zu externen Diensten.
Dieses Dokument zum Geltungsbereich folgt der ISO 27001:2022 Klausel 4.3 und wird jährlich oder bei wesentlichen Änderungen an unseren Diensten, Integrationen oder der Organisationsstruktur überprüft.
Organisation
Feld | Wert |
|---|---|
Rechtsträger | Better ISMS |
Gerichtsstand | Frankreich (EU) |
Produkt | ISMS Copilot — KI-gestützter Compliance-Assistent |
Geschäftsmodell | B2B SaaS (Abonnement-basiert) |
Benutzer | ~800 (vorwiegend in der EU ansässig, weltweit verfügbar) |
Erklärung zum ISMS-Geltungsbereich
Das ISMS gilt für die Entwicklung, den Betrieb und die Verwaltung der ISMS Copilot-Plattform — eine Cloud-gehostete, KI-gestützte SaaS-Anwendung, die Organisationen bei der Einhaltung von Informationssicherheits-Managementsystemen unterstützt.
Anwendungen und Dienste im Geltungsbereich
Komponente | Technologie | Hosting |
|---|---|---|
Frontend-Webanwendung | React, TypeScript, Vite | Vercel (globales CDN) |
Backend-Chat-Dienst | Deno, TypeScript | Fly.io (Region CDG, Paris) |
Datenbank und Authentifizierung | PostgreSQL, Supabase Auth | Supabase Cloud (EU — Frankfurt) |
Dateispeicher | S3-kompatibel | Supabase Storage (EU — Frankfurt) |
Edge-Funktionen | Deno | Supabase Edge |
Drittanbieter-Integrationen im Geltungsbereich
Integration | Zweck | Umfang im Geltungsbereich |
|---|---|---|
Anthropic (Claude) | Standard-KI-Chat-Anbieter | Datenflüsse, Schlüsselmanagement, Anbieter-Monitoring |
OpenAI (GPT-4.1) | Dokumentenerkennung | Datenflüsse, Schlüsselmanagement |
xAI (Grok) | Dokumentenformatierung | Datenflüsse, Schlüsselmanagement |
Mistral AI | Advanced Data Protection-Modus | Datenflüsse, Schlüsselmanagement, ZDR-Verifizierung |
Google (Gemini) | Alternativer KI-Chat-Anbieter | Datenflüsse, Schlüsselmanagement |
Stripe | Zahlungsabwicklung | Webhook-Sicherheit, Abonnement-Management |
ConvertAPI | Dateikonvertierung (PDF, DOCX, XLSX) | Datenflüsse, Dateiverarbeitung |
SendGrid | Sicherheitsalarm-E-Mails | Alarmzustellung |
Daten im Geltungsbereich
Datenkategorie | Im Geltungsbereich |
|---|---|
Benutzer-Chat-Nachrichten und KI-Antworten | Ja |
Hochgeladene Dateien und extrahierte Inhalte | Ja |
Benutzerkonto- und Authentifizierungsdaten | Ja |
Abonnement- und Abrechnungs-Metadaten | Ja |
Benutzereinstellungen und Workspace-Anweisungen | Ja |
Token-Verbrauch und Nutzungsdatensätze | Ja |
Anwendungsprotokolle und Fehlerberichte | Ja |
Prozesse im Geltungsbereich
Prozess | Im Geltungsbereich |
|---|---|
Software-Entwicklungslebenszyklus (SDLC) | Ja |
Änderungsmanagement und Bereitstellung (Deployment) | Ja |
Incident-Erkennung, Reaktion und Wiederherstellung | Ja |
Risikobewertung und -behandlung | Ja |
Zugriffsmanagement und Überprüfung | Ja |
Schwachstellenmanagement | Ja |
Lieferantenmanagement | Ja |
Datenschutz und Privatsphäre | Ja |
Business Continuity und Disaster Recovery | Ja |
Monitoring- und Entwicklungswerkzeuge im Geltungsbereich
Werkzeug | Zweck | Umfang im Geltungsbereich |
|---|---|---|
Sentry | Fehlerverfolgung (Frontend + Backend) | PII-Bereinigung, Protokollhygiene |
PostHog | Produktanalyse | Datenminimierung |
BetterStack | Uptime-Monitoring, Statusseite | Alarmkonfiguration |
GitHub | Quellcode, CI/CD-Pipelines | Zugriffskontrolle, Secrets-Management, Pipeline-Sicherheit |
Vercel CI/CD | Frontend-Bereitstellung | Sicherheit der Bereitstellung |
Ausschlüsse vom Geltungsbereich
Ausschluss | Begründung |
|---|---|
Physische Büroinfrastruktur | Das Team arbeitet vollständig remote; kein physisches Büro zu sichern |
Private Geräte der Mitarbeiter | BYOD-Umgebung; Sicherheitskontrollen erfolgen auf Applikations- und Plattformebene, nicht am Endgerät |
Kundenseitige Sicherheit | Kundenumgebungen, Endgeräte und interne Netzwerke liegen außerhalb der Kontrolle von ISMS Copilot |
Interne Abläufe von Drittanbietern | Die interne Sicherheit der Lieferanten wird durch deren eigene Zertifizierungen (SOC 2, ISO 27001) und unsere Lieferantenmanagement-Richtlinie geregelt |
Marketing-Website | Statische Marketing-Seite auf separater Infrastruktur; keine Verarbeitung von Benutzerdaten |
ISMS-Abgrenzungsdiagramm
Die ISMS-Grenze umfasst die Verwaltung der Schnittstellen zu externen Einheiten:
Endbenutzer verbinden sich über den Browser mit dem Frontend (Vercel), welches mit Supabase (DB/Auth/Storage/Edge-Funktionen) und dem Fly.io Chat-Service kommuniziert
Fly.io Chat-Service interagiert mit KI-Anbietern (Anthropic, OpenAI, xAI, Mistral, Gemini) und der Supabase-DB
Stripe und ConvertAPI werden über Supabase Edge-Funktionen aufgerufen
GitHub Actions verwaltet die CI/CD-Pipeline
Sentry, PostHog und BetterStack bieten Monitoring und Observability
Alle ruhenden Daten (Data at Rest) werden innerhalb der EU-Infrastruktur (Frankfurt) gespeichert. Der Backend-Chat-Dienst läuft in Paris (CDG). API-Aufrufe an KI-Anbieter können an Endpunkte außerhalb der EU übertragen werden, was in unserer Transfer-Folgenabschätzung (TIA) dokumentiert ist.
Anwendbare Standards und Frameworks
Standard | Anwendungsbereich |
|---|---|
ISO/IEC 27001:2022 | Vollständiges ISMS — alle Klauseln und anwendbaren Annex A Kontrollen |
ISO/IEC 42001:2023 | KI-Managementsystem — anwendbar auf KI-Komponenten |
DSGVO | Alle Aktivitäten zur Verarbeitung personenbezogener Daten |
SOC 2 | Trust Services Criteria — Sicherheit, Verfügbarkeit, Vertraulichkeit |
Französisches Datenschutzgesetz | Nationale Umsetzung der DSGVO |
Überprüfung des Geltungsbereichs
Dieses Dokument zum Geltungsbereich wird jährlich überprüft, wenn neue Dienste oder Integrationen hinzugefügt werden, wenn sich die Organisationsstruktur ändert, beim Eintritt in neue Märkte oder Rechtsräume und nach Ergebnissen der Managementbewertung. Änderungen am ISMS-Geltungsbereich erfordern die Genehmigung des CEO und lösen eine Überprüfung der Erklärung zur Anwendbarkeit (SoA), der Risikobewertung und der betroffenen Richtlinien aus.