Zum Inhalt

ISMS ISO 27001 - Anwendungsbereich (Scope)🔗

Der Anwendungsbereich (Scope) legt fest, welcher Ausschnitt deiner Organisation von der ISO-27001-Zertifizierung umfasst sein soll. Typischerweise wird nicht das gesamte Unternehmen zertifiziert, sondern z. B. der IT-Bereich oder ein definierter Serviceverbund.

Nur Objekte, die du einem Scope zuordnest, tauchen später in:

  • SOA (Statement of Applicability),
  • Schutzbedarfsfeststellung (SBF),
  • Risikomanagement und
  • Audits

für diesen Scope auf.

Beispiele für Scopes🔗

Typische Scopes im ISMS-Kontext:

  • "Security 2025 - zentrale IT-Plattform"
  • "ISO 27001 - Rechenzentrumsbetrieb Standort X"
  • "Kundenportal & Backend-Systeme"
  • "Managed Services für Kunde Y"

In der Beschreibung kannst du z. B. dokumentieren:

  • organisatorische Einheiten,
  • Standorte,
  • Services / Produkte,
  • relevante Schnittstellen zu anderen Bereichen.

Neuen Scope anlegen🔗

  1. Öffne das Modul ISMS ISO 27001.
  2. Wechsle in die Kachel Anwendungsbereich.
  3. Klicke auf + Scope hinzufügen (Plus-Icon oder Drei-Punkte-Menü).
  4. Erfasse:
  5. Bezeichnung (z. B. "ISO 27001 - IT-Kernservices"),
  6. Beschreibung (Abgrenzung, Inhalte, Standorte),
  7. optional eine formale Abgrenzung (z. B. nach Organisationseinheiten),
  8. ggf. Metadaten wie Gültigkeitszeitraum oder Zertifikatslaufzeit.

Scopes sind modulübergreifende Objekte: du kannst denselben Scope später auch in anderen Modulen verwenden (z. B. BCM oder NIS 2), falls das fachlich sinnvoll ist.

Prozesse und Assets in den Scope aufnehmen🔗

Der Scope funktioniert wie ein Einkaufskorb: du legst alle Objekte hinein, die du für ISO 27001 betrachten willst.

Verknüpfbare Objekte:

  • Prozesse
  • Infrastruktur
  • Hardware
  • Software / Anwendungen
  • Dienstleister / Service Provider
  • Daten / Informationsverbünde
  • Personal

Vorgehen (Beispiel Infrastruktur):

  1. Scope öffnen.
  2. Zum Abschnitt Infrastruktur wechseln.
  3. Auf "Infrastruktur verbinden" klicken.
  4. In der Auswahlliste werden alle Infrastruktur-Objekte angezeigt, die noch nicht mit diesem Scope verknüpft sind.
  5. Ein oder mehrere Objekte auswählen und die Verbindung bestätigen.

Die gleiche Logik gilt für Hardware, Software, Dienstleister, Daten, Prozesse und Personal.

Mehrfachauswahl

In der Auswahlmaske kannst du mehrere Einträge markieren und in einem Schritt verbinden - gerade bei größeren Umfängen spart das viel Zeit.

Abhängigkeiten nutzen🔗

Wenn du im Bereich Inventarisierung bereits Abhängigkeiten gepflegt hast, z. B.:

  • welche Prozesse welche Assets nutzen,
  • welche Input-/Output-Assets mit einem System verbunden sind,

profitierst du beim Scope und später in SBF und Risikomanagement davon:

  • Du erkennst, welche Assets für einen ISO-Scope kritisch sind.
  • Du kannst Single Points of Failure identifizieren.
  • In der Schutzbedarfsfeststellung kann der Schutzbedarf über diese Abhängigkeiten auf Assets vererbt werden.

Scope in anderen Modulen wiederverwenden🔗

Ein einmal angelegter Scope kann in mehreren Modulen genutzt werden:

  • ISMS ISO 27001 (dieses Modul),
  • BCM (z. B. "Security 2025" als BCM-Scope),
  • IT-Grundschutz,
  • NIS 2.

So musst du nicht in jedem Modul von vorne anfangen, sondern kannst dieselbe Abgrenzung nutzen - mit jeweils modulspezifischen Sichten (z. B. ISO-SOA vs. BCM-BIA).

Auswirkungen eines Scopes🔗

Sobald du einen Scope definiert und befüllt hast:

  • filtert die SOA nur noch auf Controls, Dokumente und Maßnahmen, die für diesen Scope relevant sind,
  • beziehst du Schutzbedarf und Risikoanalysen klar auf den ausgewählten Geltungsbereich,
  • kannst du Audits scope-spezifisch planen und auswerten.

Änderst du den Scope (z. B. neue Systeme, zusätzliche Prozesse), solltest du prüfen, ob:

  • die SOA angepasst werden muss,
  • neue Schutzbedarfsfeststellungen notwendig sind,
  • zusätzliche Risiken bewertet werden müssen.