(nach ISO/IEC 27001:2022)

Der Anwendungsbereich des Informationssicherheitsmanagementsystems definiert, welche Teile der Organisation, welche Prozesse, Standorte, Informationswerte und Technologien vom ISMS erfasst werden. Ein klar abgegrenzter und nachvollziehbar begründeter Geltungsbereich ist entscheidend für die Wirksamkeit, Prüfbarkeit und Akzeptanz des ISMS. Diese Klausel stellt sicher, dass der Scope systematisch festgelegt, dokumentiert und regelmäßig überprüft wird.

Zweck der Klausel

Klausel 4.3 soll gewährleisten, dass der Anwendungsbereich des ISMS eindeutig definiert ist und alle relevanten internen und externen Einflussfaktoren berücksichtigt. Ziel ist es, einen realistischen, risikobasierten und auditfähigen Geltungsbereich festzulegen, der die Informationssicherheitsziele der Organisation unterstützt.

Anforderungen und Maßnahmen

1. Berücksichtigung des organisatorischen Kontextes

Bei der Festlegung des Anwendungsbereichs müssen die Ergebnisse aus Klausel 4.1 berücksichtigt werden, insbesondere:

• interne Strukturen und Geschäftsprozesse
• externe Rahmenbedingungen und Abhängigkeiten
• strategische Ausrichtung der Organisation
• technologische und organisatorische Gegebenheiten

Der Scope muss zum Kontext der Organisation passen.

2. Berücksichtigung interessierter Parteien

Die Anforderungen aus Klausel 4.2 müssen einbezogen werden:

• gesetzliche und regulatorische Verpflichtungen
• vertragliche Anforderungen von Kunden oder Partnern
• Erwartungen von Behörden oder Zertifizierungsstellen
• interne Management- und Governance-Anforderungen

Bindende Anforderungen dürfen nicht ausgeschlossen werden.

3. Festlegung organisatorischer Grenzen

Der Anwendungsbereich muss organisatorisch klar abgegrenzt sein, zum Beispiel:

• bestimmte Unternehmensbereiche oder Abteilungen
• definierte Geschäftsprozesse oder Dienstleistungen
• Ein- oder Ausschluss von Tochtergesellschaften
• Zuständigkeiten und Verantwortlichkeiten

Die Abgrenzung muss nachvollziehbar begründet sein.

4. Festlegung räumlicher und technischer Grenzen

Auch räumliche und technische Aspekte sind zu berücksichtigen:

• Standorte, Niederlassungen oder Rechenzentren
• IT-Systeme, Anwendungen und Infrastrukturen
• Cloud-Dienste oder ausgelagerte Services
• Netzwerke und Kommunikationssysteme

Der Scope muss alle relevanten Informationswerte abdecken.

5. Umgang mit Auslagerungen und Schnittstellen

Auslagerungen und externe Abhängigkeiten müssen berücksichtigt werden:

• Einbindung ausgelagerter Prozesse oder IT-Dienste
• Definition von Schnittstellen zu nicht im Scope liegenden Bereichen
• klare Verantwortlichkeiten
• Berücksichtigung im Risikomanagement

Auslagerungen entbinden nicht von Verantwortung.

6. Ausschlüsse und deren Begründung

Ausschlüsse aus dem Anwendungsbereich müssen:

• klar definiert sein
• sachlich und risikobasiert begründet werden
• keine bindenden Anforderungen verletzen
• transparent dokumentiert werden

Unzulässige oder willkürliche Ausschlüsse sind nicht erlaubt.

7. Dokumentation des Anwendungsbereichs

Der Anwendungsbereich muss dokumentiert sein, insbesondere:

• Beschreibung des Geltungsbereichs
• enthaltene und ausgeschlossene Bereiche
• Begründungen für Abgrenzungen
• Bezug zu Kontext und interessierten Parteien

Die Dokumentation ist ein zentrales Auditdokument.

8. Überprüfung und Aktualisierung des Anwendungsbereichs

Der Scope ist regelmäßig zu überprüfen:

• bei organisatorischen oder strategischen Änderungen
• bei neuen gesetzlichen oder vertraglichen Anforderungen
• bei wesentlichen Änderungen von Prozessen oder Systemen
• im Rahmen von Managementbewertungen

So bleibt der Anwendungsbereich aktuell und wirksam.

Zusammenfassung

Klausel 4.3 fordert, dass Organisationen den Anwendungsbereich ihres Informationssicherheitsmanagementsystems klar, nachvollziehbar und risikobasiert festlegen. Durch die Berücksichtigung des organisatorischen Kontextes, der Anforderungen interessierter Parteien sowie organisatorischer, räumlicher und technischer Grenzen wird sichergestellt, dass das ISMS vollständig, wirksam und auditfähig ist. Der definierte Anwendungsbereich bildet die Grundlage für alle weiteren Anforderungen der ISO/IEC 27001:2022.