ISO 27001-Anforderung 4.3 – Bestimmung des Umfangs des ISMS

So legen Sie den Umfang des ISMS fest

Es wird viel logischer sein, die im Umfang enthaltene Aktivität in Betracht zu ziehen, sobald Sie die Arbeiten für 4.1 und 4.2 abgeschlossen haben. Sie werden wahrscheinlich die Organisation, Tochtergesellschaften, Abteilungen, Abteilungen, Produkte, Dienstleistungen, physischen Standorte, mobilen Mitarbeiter, Regionen, Systeme und Prozesse für Ihren Anwendungsbereich in Betracht ziehen, da die Informationssicherungs- und Risikobewertungsarbeit den Teilen Ihrer Organisation folgen wird, die dies benötigen geschützt werden.

Denken Sie auch daran, was die mächtigen Stakeholder-Interessenten erwarten werden. Welche Auswirkungen hätte es für diese mächtigen Interessengruppen, wenn Sie darüber nachdenken würden, einen Teil der Organisation aus dem Geltungsbereich herauszunehmen? Müssten Sie auch mehrere Systeme betreiben und am Ende die Mitarbeiter darüber verwirren, was in ihrer Arbeitsweise innerhalb und außerhalb des Rahmens liegt?

Welche Teile des Unternehmens müssen die für Sie wertvollen Informationsbestände erstellen, darauf zugreifen oder verarbeiten? Diese müssten mit ziemlicher Sicherheit in den Geltungsbereich fallen, wenn der Druck von außen durch Kunden ausgeübt würde, ihre Informationssicherheitsanforderungen zu erfüllen. Beispielsweise könnten Sie sich auf Ihre Produktentwicklung und -bereitstellung konzentrieren, müssten sich aber dennoch auch mit den Menschen, Prozessen usw. befassen, die damit einhergehen. Denken Sie auch darüber nach, was Sie kontrollieren oder beeinflussen können und was nicht.

Es kann Minuten dauern, bis diese Arbeit erledigt ist, oder in einem größeren Unternehmen, in dem es politisch und praktisch schwierig sein kann, einen kontrollierbaren Umfang festzulegen, kann es erheblich länger dauern. Auch ISO-Zertifizierungsstellen wie UKAS streben stärker in Richtung einer „gesamten Organisation“ an, und leistungsstarke Kunden werden dies im Allgemeinen auch erwarten.

So dokumentieren Sie „außerhalb des Geltungsbereichs“

Sie sollten auch die Bereiche, die außerhalb des Geltungsbereichs des ISMS liegen, sorgfältig beachten, zusammen mit den wichtigsten Schnittstellen und Abhängigkeiten zwischen Aktivitäten, die von der Organisation durchgeführt werden, und denen, die von anderen Organisationen durchgeführt werden. Vereinfacht ausgedrückt stellen wir uns vor, Sie sind Softwareentwickler und verlassen sich auf die Auslagerung des Rechenzentrums, um den Service für Kunden zu hosten.

Sie würden wahrscheinlich klarstellen, dass der Geltungsbereich für Ihre 4.3 der innerhalb Ihrer Organisation für die Menschen und die Software selbst ist, würden aber die Grenzen und Aktivitäten des Rechenzentrums außerhalb Ihres kontrollierten Geltungsbereichs legen – schließlich würden Sie erwarten, dass diese auch aufrechterhalten werden ihr eigenes vertrauenswürdiges ISMS.

Das Gleiche gilt für physisches Eigentum – wenn Sie bei bestimmten Arbeiten auf einen Vermieter angewiesen sind (z. B. Verladung, Absperrungen und Empfangskontrolle), kann dies eine Grenze bilden, bei der die Sicherheit des physischen Standorts selbst außerhalb Ihres Einflussbereichs liegt und Sie dies tun würden Arbeiten Sie Ihre ISMS-Aktivitäten innerhalb dieser Eigenschaft. Von Ihnen wird jedoch weiterhin erwartet, dass Sie den Lieferanten im Rahmen Ihrer Lieferantenrichtlinien in Anhang A 15 verwalten und sicherstellen, dass seine Praktiken mindestens den Anforderungen Ihres ISMS und Ihrer Risikobereitschaft entsprechen, aber das ist eine andere Zeit.

Weitere zu berücksichtigende Punkte

• Aufbauend auf dem obigen Punkt: Welche Auswirkungen hätte es für die Mitarbeiter, wenn Sie Teile aus dem Geltungsbereich herauslassen würden? Würden einige ihrer Arbeiten in den Geltungsbereich fallen und andere außerhalb des Geltungsbereichs? Wenn ja, gibt es zusätzliche Risiken und Komplikationen, die dazu führen könnten, dass die Praktiken (z. B.) verwechselt werden, die Arbeit nicht geschützt wird und eine größere Bedrohung durch die Verfolgung zweier unterschiedlicher Ansätze entsteht?
• Gibt es Möglichkeiten, die Dinge anders zu beschreiben, z. B. einige Außenstellen als Tele-/Remote-Mitarbeiter zu behandeln und nicht als physische Räumlichkeiten oder Standorte?
• Eine frühzeitige Vereinfachung oder Einschränkung des Umfangs könnte sinnvoll sein, wenn Sie die Informationsgrenzen effektiv segmentieren und nachweisen können, dass die Risiken angegangen werden. Wenn Sie jedoch das Ziel haben, später etwas hinzuzufügen, bedenken Sie, dass eine wesentliche Änderung des Umfangs die Notwendigkeit einer weiteren Prüfung auslösen kann, je nachdem, was, wann, wie und ob es auf interne Ziele oder externen Druck zurückzuführen ist.