Lektion 3

20 min

Organisation

Im Rahmen der „Organisation“ werden Ressourcen, Verantwortlichkeiten und die Strategie festgelegt, also der Rahmen des ISMS.

 

Anwendungsbereich

Nun geht es los! Zuallererst geht es beim Aufbau eines ISMS darum, den Rahmen des Managementsystems festzulegen. Also Fragen zu beantworten wie: Welche Ressourcen werden für den Aufbau und den Betrieb benötigt? Welche Rollen und Verantwortlichkeiten sollten bestimmt werden? Welche Unternehmenswerte haben wir und welche sind besonders schützenswert? Welche Sicherheitsziele verfolgen wir?

Um diese Fragen beantworten zu können, ist es wichtig den Anwendungsbereich des ISMS festzulegen.

Der Anwendungsbereich, oft auch Geltungsbereich oder Scope genannt, beschreibt in Textform, wo die Grenzen und die Anwendbarkeit des ISMS liegen. So ist es in größeren Organisationen üblich, lediglich einzelne Geschäftsbereiche zu zertifizieren, anstatt der kompletten Organisation. Aber auch in kleineren Firmen ist es möglich, einzelne Bereiche auszuschließen. Wenn z. B. der Standort im Ausland, über den lediglich Vertrieb stattfindet, nicht durch das ISMS abgedeckt ist, so muss das im Anwendungsbereich beschrieben werden.

Definition des Geltungsbereichs

Bei der Definition des Geltungsbereichs, sollte man sich die folgenden Fragen stellen:

  • Welche Produkte oder Dienstleistungen sollten aufgrund von Kundenwünschen zertifiziert werden?
  • Welche Teile des Unternehmens sollten bzw. müssen aufgrund von regulatorischen Anforderungen (z.B. dem IT-Sicherherheitsgesetz) zertifiziert sein?
  • Was erwartet die Geschäftsführung oder die Anteilseigner?

Wichtig ist: Im Geltungsbereich müssen die Produkte und Dienstleistungen explizit genannt werden, für welche die Zertifizierung gültig ist.

Beispiel 1:

Der ISMS Geltungsbereich gilt unternehmensweit, dies schließt die eigenentwickelten Softwareanwendungen „Schiffssteuerung“ und den „Schiffsnavigator“ der Werft GmbH mit ein. 

Beispiel 2:

Der ISMS Geltungsbereich umfasst die Entwicklungsabteilung der Firma Werft GmbH am Standort Hamburg. Der Kernprozess der Entwicklungsabteilung der Werft GmbH umfasst die Analyse und Verbesserung der Produkte „Schiffssteuerung“ und „Schiffsnavigator“ sowie das Generieren von Innovationen im Kontext der Organisation. Dazu gehören insbesondere die IT der Werft GmbH sowie jegliche Bereiche, in denen Tests an Produkten der Entwicklungsabteilung durchgeführt werden. Der Geltungsbereich schließt aufgrund der Relevanz für die Informationssicherheit zudem Dienstleistungen im Rahmen der Projektarbeit bei Kunden ein.

Die Beschreibung des Geltungsbereichs ist auch für die eigenen Kunden und andere interessierte Parteien des Managementsystems interessant, da hier nachvollzogen werden kann, welche Bereiche und Themen durch das ISMS abgedeckt sind und welche nicht.