Geltungsbereich – ISMS mit Stil

Geltungsbereich

Niemand ist eine Insel. Wie im vorherigen Beitrag beschrieben, ist es wichtig zu Beginn der ISMS Implementierung den Kontext zu analysieren. In diesem Beitrag geht es um die Frage, wie sich aus dem Kontext der Geltungsbereich ableitet, welche Optionen es dabei gibt und welche Auswirkungen die verschiedenen Optionen haben.

Vorab einige weitere Überlegungen zur Gestaltung des Geltungsbereichs. Die Norm definiert als Anforderung an den Geltungsbereich, dass die internen und externen Themen, die interessierten Parteien und ihre Anforderungen, sowie Schnittstellen und Abhängigkeiten berücksichtigt werden müssen. Eine Anforderung an Größe und Struktur des Geltungsbereichs gibt es nicht. Weiter gilt zu wissen, dass sich der Aufwand der Auditierung an der Anzahl der Mitarbeiter orientiert. D.h. die Kosten für die Zertifizierung stehen in direktem Zusammenhang zur Größe des Geltungsbereichs. Unterschieden werde sollte auch zwischen dem Geltungsbereich aus Sicht der Zertifizierung und dem Geltungsbereich des ISMS bzw. dem Anwendungsbereich der Regelungen und Richtlinien. Hier ist es sinnvoll, klare und einheitliche Begrifflichkeiten zu verwenden, z.B.
Scope = die Grenzen der Zertifizierung;
Geltungsbereich = die Bereiche in denen die IS-Leitlinie Gültigkeit hat und die Richtlinien, Prozesse und Verfahren des ISMS angewandt werden;
Anwendungsbereich = die Bereiche in denen eine bestimmte Regelung/Richtlinie, Prozess oder Verfahren angewandt wird;
Diese Vorgehensweise bietet viel Flexibilität und ist aus Sicht der Norm zulässig. Zu berücksichtigen ist nur, dass der Bereich, in dem das Zertifikat Gültigkeit hat, klar dokumentiert ist.

Zurück zu unserem Beispiel aus dem vorherigen Beitrag. Die wohl konkreteste Anforderung an das ISMS kommt vom Kunden. Dem Kunden geht es um die ausgegliederte Softwareentwicklung. Der einfachste Schritt wäre, den Geltungsbereich so festzulegen, dass nur die Prozesse bzw. Geschäftsbereiche beinhaltet sind, die direkt mit der Softwareentwicklung für diesen speziellen Kunden zu tun haben. Zu berücksichtigen wären noch die Vorgaben der Geschäftsführung: Prozesse auch in anderen Unternehmen zu übernehmen, Lean Management und Time/Budget Vorgaben. Sinnvoll wäre zumindest das ISMS so zu gestalten, dass es den gesamten Bereich Softwareentwicklung umfasst, damit es im Unternehmen nicht zwei Sätze an Vorgaben und Regelungen gibt. Das würde den ersten beiden Zielen der Geschäftsführung entsprechen. Da dieser Bereich relativ homogen ist, wäre auch nicht mit zusätzlich nötiger Zeit bzw. Budget zu rechnen. Einziges Argument das gegen eine Zertifizierung der gesamten Bereichs spechen würde, wären die erhöhten Kosten des Audits, da sich der Auditaufwand an der Anzahl Mitarbeiter im Geltungsbereich orientiert. Allerdings kann man hier von einer Erhöhung des Gesamtaufwands für die Implementierung des ISMS in niedrigen einstelligen Prozentbereich ausgehen. Üblicherweise wird hier der Nutzen überwiegen, da sicher auch andere Kunden davon profitieren können und vielleicht auch neue Kunden leichter gewonnen werden können.

Bleibt die Frage zu klären, ob die anderen Unternehmensteile berücksichtigt werden sollten. Schauen wir uns die Unternehmensteil der Reihe nach an:
Projektmanagement – Die Norm fordert, dass die Informationssicherheit im Projektmanagement, ungeachtet der Art des Projektes, berücksichtigt wird. Dazu gehört Sicherheitsziele in den Projektzielen zu integrieren, eine Risikobewertung in einer frühen Phase des Projektes durchzuführen und Informationssicherheit in allen Phasen der angewandten Methode zu verankern. Da das Projektmanagement also direkte Auswirkung auf die Sicherheit im Kernprozess Softwareentwicklung hat, üblicherweise in die Kundenkommunikation involviert ist und mit vertraulichen, schützenswerten Informationen arbeitet wäre es sehr sinnvoll, das Projektmanagement in den Geltungsbereich mit aufzunehmen.
Vertrieb – Obwohl der Vertrieb natürlich ein wichtiger Unternehmensbereich ist, wird an dieser Stelle häufig nicht mit Information gearbeitet, die aus Sicht der Kernprozesse oder des Kunden, schützenswert sind. Auch ergeben sich aus der vertrieblichen Tätigkeit selten Risiken für die Vertraulickeit, Integrität und Verfügbarkeit für die Informationswerte in den Kernprozessen. (An dieser Stelle sei gesagt, dass mir das Spannungsfeld Vertrieb <-> Entwicklung bzw. IT sehr wohl bekannt ist und ich weder den einen noch den anderen Bereich höher bewerte möchte. Üblicherweise sieht nämlich jeder Bereich den anderen Bereich als Risiko 😉 Hier geht es aber rein um eine Einschätzung aus Sicht der Informationssicherheit im Kernprozess „Softwareentwicklung“.) Es würde wenig Mehrwert bedeuten den Bereich Vertrieb in die Zertifizierung aufzunehmen. Es wäre aber sicher sinnvoll den Umgang mit vertraulichen Dokumenten auch in diesem Bereich zu regeln oder sogar das gesamte Sicherheitsregelwerk im Vertrieb zur Anwendung zu bringen.
Personalverwaltung (HR) – Die Personalverwaltung ist für die Informationssicherheit im Kernprozess Softwareentwicklung wichtig. Einige Prozesse die Auswirkung auf die Informationssicherheit haben, laufen dort ab: Vertragsgestaltung, Überprüfung potentieller neuer Mitarbeiter, Mitarbeiterschulung und -sensibilisierung, Disziplinarverfahren um nur einige zu nennen. Auch wenn die Personalveraltung aus dem Scope des Zertifikats ausgeschlossen würde, müssen einige Maßnahmen aus dem Anhang A dort umgesetzt werden und würden im Audit geprüft werden. Es kann also sehr sinnvoll sein die Personalveraltung in die Zertifizierung mit aufzunehmen. Zumindest sollte die Personalverwaltung im Geltungsbereich des ISMS liegen.
Bleiben noch die Bereiche Marketing, Controlling, Finance und Geschäftsführung. Dort ergeben sich häufig keine Risiken für die Informationssicherheit (Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Information) im zu schützenden Kernprozess. Das Zertifikat würde in diesen Bereichen wenig Mehrwert bieten. Es wäre zu überlegen einige spezifische Regelungen oder sogar das gesamte ISMS-Regelwerk in diesen Bereichen zu etablieren.

Diese oder ähnliche Überlegungen sind bei der Definition des Geltungsbereichs (Scope, Zertifizierung) anzustellen. Folgende Auswirkungen sind abzuwägen:
Außenwirkung: Eine zu enge Eingrenzung des Scope könnte eine negative Außenwirkung haben und nicht die Anforderungen der interessierten Parteien erfüllen
Risikoexposition: Eine zu enge Eingrenzung des Scope könnte dazu führen, dass relevante Risiken für die Informationssicherheit übersehen werden
Kosten für die Zertifizierung: Abhängig von der Anzahl der Mitarbeiter im zu zertifzierenden Bereich steigen oder sinken die Kosten für die Zertifizierung, es könnten Mehrkosten entstehen ohne direkten Mehrwert
Aufwand für die Implementierung: Einige ISMS-Prozesse (z.B. Risikomanagement) sind im Aufwand direkt abhängig von der Größe des Scope, es könnten unnötige Kosten oder unnötige Belastung der Mitarbeiter entstehen
Häufig ist der Mittelweg der bessere Weg, d.h. Zertifizierung in den Kernbereichen die im Fokus der interessierten Parteien stehen, Gültigkeit des ISMS in allen Bereichen die Schnittstellen zu den Kernbereichen haben und die Anwendbarkeit wichtiger Regelungen (z.B. Email/Internetnutzung, Mobilegeräte und Telearbeit, Umgang mit vertraulichen Dokumenten) im gesamten Unternehmen

Im nächsten Beitrag werden zum Abschluss des Themas Geltungsbereich noch die Schnittstellen und Abhängigkeiten unseres Beispiels analysiert.