22. November 2020

Den Anwendungsbereich klein halten: warum das wichtig ist

Von Joachim Reinke

November 22, 2020

Anwendungsbereich, ISO 27001, Scope

Den Anwendungsbereich klein zu halten ist für Ihr ISO 27001-Zertifizierungsprojekt immens wichtig. Mit der Größe des Anwendungsbereichs (engl. des Scopes) steht und fällt der Aufwand, den ein Unternehmen bis zum Zertifikat hat.

Anwendungsbereich - was ist das?

Eine ISO 27001-Zertifizierung muss nicht zwangsläufig für das gesamte Unternehmen gelten. Man kann sich aussuchen, welcher Teil (oder welche Teile) zertfiziert werden sollen. Dies nennt man den "Anwendungsbereich" (engl. den Scope) der Zertifzierung.

Wie wählt man den Anwendungsbereich aus?

Der Anwendungsbereich sollte denjenigen Wertschöpfungsprozessen in Ihrem Unternehmen folgen, die überhaupt mit schützenswerten Informationen arbeiten. Das bedeutet, dass Sie sich überlegen:

  • Mit welchen Prozessen generiert unser Unternehmen Wertschöpfung?
  • Welche Informationen in diesen Prozessen sind überhaupt schützenswert?
  • Haben wir in unseren Wertschöpfungsprozessen Informationen, die auf jeden Fall vertraulich bleiben müssen? Die auf keinen Fall verfälscht werden dürfen? Die immer verfügbar sein müssen, damit wir oder unsere Kunden arbeiten können?

Es geht also darum festzulegen, welche Ihrer Unternehmensteile "die Brötchen verdienen" und außerdem über Informationen verfügen, die Sie schützen wollen.

Wenn Sie diese Bestandsaufnahme gemacht haben, können Sie einen oder mehrere dieser Wertschöpfungsprozesse auswählen und als Anwendungsbereich für Informationssicherheit festlegen. Den Anwendungsbereich teilen Sie Ihrem Zertifizierer mit. Er steht später auch aufgedruckt auf dem Zertifikat.

Den Anwendungsbereich klein halten: warum das wichtig ist

Wenn Sie mehrere Wertschöpfungsprozesse in Ihrem Unternehmen haben, in denen sensitive Informationen fließen, versuchen Sie bitte, für Ihr Zertifizierungsprojekt nur einen davon auszuwählen.

Bitte widerstehen Sie der Versuchung, die angrenzenden Prozesse oder alle Unterstützungsprozesse ebenfalls in den Anwendungsbereich Ihres ISO 27001-Projekts zu rücken!

Der Grund ist einfach: Die Komplexität Ihres ISO 27001-Zertifizierungsprojekts steigt deutlich, je größer der Bereich ist, für den Sie Informationssicherheit herstellen wollen. Hier ein paar Erlebnisse, die wir in unseren Projekten immer wieder haben:

  • Unterschiede: Eine Regelung, die für Abteilung A passt, kann für Abteilung B abschreckend sein.
  • Geschwindigkeiten: Abteilung A sieht die Notwendigkeit von ISO 27001 ein, Abteilung B nicht. Es ergeben sich unterschiedliche Geschwindigkeiten in Ihrem Projekt.
  • Kommunikation: Abteilung A kommt mit einer Person in die Projektmeetings, Abteilung B komplett, Abteilung C gar nicht.
  • Kompetenzgerangel: Abteilung A besteht darauf, dass die Schnittstelle im Bereich Informationssicherheit zu Abteilung B so aussieht, wie sie sich das vorstellt. Abteilung B sieht es natürlich genau umgekehrt.

LAST BUT NOT LEAST:  je größer Ihr Anwendungsbereich, desto teurer sind die Zertifizierungskosten. Denn hier geht die Anzahl an Mitarbeitern im Scope und die Anzahl an Standorten als Faktoren ein.

Unser Tipp

Sie sind ja sowieso auf einem ganz neuen Terrain unterwegs - kein Grund, sich das Leben schwerer als nötig zu machen!

Wählen Sie für Ihr Zertifizierungsprojekt als Anwendungsbereich denjenigen Wertschöpfungsprozess aus, der am besten organisiert ist und am "standardmäßigsten" abläuft. Das ist Ihr Pilotprojekt.

Wenn Sie den Anwendungsbereich erweitern wollen, können Sie das jederzeit tun - am Besten beim Rezertifizierungsaudit.

Wir haben Ihnen hier und hier noch ein paar Informationen zur Dauer und zu den Kosten einer ISO 27001-Zertifizierung aufgeschrieben.

Wenn Sie sich noch nicht sicher sind, wie Sie Ihren Anwendungsbereich wählen sollten, dann können Sie einfach einen kostenfreien und unverbindlichen Gesprächstermin mit uns vereinbaren. Oder Sie schreiben uns einfach rechts unten etwas in den den Chat!

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.


Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD und die AOK.

Einen Kommentar hinterlassen

Ihre Email-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}