Sie wussten wahrscheinlich, dass ISO 27001 in einem ersten Schritt den Anwendungsbereich definiert. Wahrscheinlich wissen Sie nicht, dass dieser auf den ersten Blick so einfache Schritt manchmal eine ganze Menge Ärger verursachen kann. Natürlich versuchen viele Unternehmen, ihre Umsetzungskosten durch Einengung des Anwendungsbereichs zu senken. Oft genug finden sie sich aber in einer Situation wieder, in der ein solcher Anwendungsbereich Probleme bereitet.
Wo ist dann das Problem?
Falls der Anwendungsbereich der ISO 27001 nicht das gesamte Unternehmen ist, so stellt sich das Problem, dass das Informationssicherheits-Managementsystem (ISMS) Schnittstellen zur „Außenwelt“ haben muss – in diesem Zusammenhang bedeutet „Außenwelt“ nicht nur die Kunden, Partner, Lieferanten usw., sondern auch die Abteilungen des Unternehmens, die außerhalb des Anwendungsbereichs liegen. Es mag komisch klingen, aber eine Abteilung, die sich außerhalb des Anwendungsbereichs befindet, sollte auf die gleiche Weise wie ein externer Lieferant behandelt werden.
Sollten Sie beispielsweise beschließen, dass sich der Anwendungsbereich nur auf Ihre IT-Abteilung erstreckt und diese Abteilung die Dienste der Abteilung nutzt, so sollte die IT-Abteilung eine Risikoeinschätzung Ihrer Einkaufsabteilung vornehmen, ob ein Risiko für die Informationen besteht, für die Ihre IT-Abteilung verantwortlich ist. Außerdem sollten die beiden Abteilungen für die geleisteten Dienste allgemeine Geschäftsbedingungen vereinbaren.
Warum sind diese Fixkosten notwendig? Man muss sich in die Zertifizierungsstelle versetzen – sie muss bescheinigen, dass Sie innerhalb Ihres Anwendungsbereichs in der Lage sind, Informationen auf sichere Art und Weise zu handhaben. Sie kann jedoch keine Ihrer Abteilungen außerhalb dieses Anwendungsbereichs prüfen. Die einzige Möglichkeit für eine solche Situation besteht darin, diese Abteilungen so zu behandeln, als ob es sich um externe Unternehmen handelt. (Bitte beachten: Zertifizierungsauditoren mögen niemals einen engen Anwendungsbereich.)
Damit hört der Ärger jedoch nicht auf. Manchmal ist ein enger Anwendungsbereich einfach nicht möglich, weil es keine Schnittstelle nach außen gibt. Wenn zum Beispiel Mitarbeiter aus beiden Abteilungen innerhalb und außerhalb des Anwendungsbereichs im gleichen Raum sitzen, so ist ein solcher Anwendungsbereich schwerlich umzusetzen. Wenn beide Mitarbeiter außerhalb und innerhalb des Anwendungsbereichs das gleiche lokale Netzwerk nutzen (ohne Segregation) und Zugriff auf verschiedene Netzwerkdienste haben, so ist ein solcher Anwendungsbereich definitiv unmöglich – es gibt keine Möglichkeit, den Informationsfluss innerhalb des Anwendungsbereichs zu kontrollieren.
Der entscheidende Punkt ist: eine Verengung Ihres ISMS-Anwendungsbereichs ist manchmal unmöglich und führt in den meisten Fällen zu unnötigem Aufwand. Was ursprünglich nicht wie eine gute Lösung erschienen, kann am Ende optimal sein – versuchen Sie, den Anwendungsbereich auf das gesamte Unternehmen auszudehnen. Die Faustregel lautet: Wenn es in Ihrem Unternehmen nicht mehr als ein paar hundert Mitarbeiter und einen oder wenige Standorte gibt, so deckt das ISMS optimalerweise das ganze Unternehmen ab.
Sollten Sie jedoch andererseits nicht das gesamte Unternehmen mit Ihrem ISMS-Anwendungsbereich abdecken können, so versuchen Sie zumindest, diesen in einer ausreichend unabhängigen Unternehmenseinheit umzusetzen. Versuchen Sie, die Beziehungen zu anderen Unternehmenseinheiten außerhalb des Anwendungsbereichs durch Definition ihrer Dienste mithilfe interner Dokumente zu lösen (Leitlinien, Verfahren usw.), die als „Vereinbarungen“ dienen – so könnten Sie die Pflichten diese Unternehmenseinheiten auf eine im täglichen Geschäftsbetrieb einsetzbaren Weise dokumentieren.
Na also – Sie haben den ersten Schritt Ihrer ISO 27001 Umsetzung erfolgreich absolviert.
Erfahren Sie in diesem kostenlosen Online-Training ISO 27001 Foundations Course mehr über die Definition des ISMS-Bereichs.