Leben mit ISO 27001 - warum vieles gleich bleibt
"Alles wird sich bei uns ändern! Nichts wird mehr so unkompliziert sein wie früher!"
Wenn Sie vor einem Einführungsprojekt für eine ISO 27001-Zertifizierung stehen, kommen schnell Befürchtungen hoch:
- Ach Du meine Güte! - Jetzt müssen wir die gesamte Firma regulieren, jeden kleinsten Bereich!
- Es wird nicht eine einzige Stelle geben, die von der ISO 27001 unberührt bleibt und "normal" weiterarbeiten kann!
Diese Sorgen sind allerdings unbegründet.
Der Grund ist: Die ISO 27001 lässt Ihnen völlig frei, welche Bereiche Ihrer Firma Sie "informationssicher" gestalten. Und welche eben auch nicht.
Das Schlüsselwort ist hier: Anwendungsbereich (oder auch englisch: scope).
Mit dem sog. Anwendungsbereich können Sie festlegen, welche Teile Ihrer Organisation unter die Regelungen der ISO 27001 fallen sollen.
Anwendungsbereich - völlig frei auswählbar?
Jetzt werden Sie sagen "Prima, dann wird bei uns das Blumengießen im Hausmeisterbüro unser Anwendungsbereich sein, wir erhalten dafür ein Zertifikat und das Thema ist erledigt! Entwarnung für alle anderen!"
Sie werden es sich schon gedacht haben: so einfach ist es leider nicht. Zwar verbietet Ihnen die Norm ISO 27001 die obige skurille Auswahl nicht. Aber spätestens der Zertifizierungsauditor wird Sie schon fragen, ob Sie es ernst meinen.
Denn: Der Anwendungsbereich muss ein Teil Ihrer Organisation sein, in dem auch wirklich schützenswerte Informationen "fließen" - oder: "liegen".
Was genau für Sie schützenswerte Informationen sind, ist Ihnen dabei völlig freigestellt. (Wenn Kunden von Ihnen ein ISO 27001-Zertifikat verlangen, sind diese schützenswerten Informationen typischerweise sensible Daten Ihrer Kunden, zu denen Sie Zugang haben.)
Übliche Arten schützenswerter Informationen sind:
- Personenbezogene Daten (Personaldaten Ihrer eigenen Organisation oder von Organisationen, in deren Auftrag Sie arbeiten);
- geistiges Eigentum (intellectual property, Erfindungen, Sourcecode, urheberrechtlich geschützte Informationen);
- Stammdaten und Bewegungsdaten geschäftlicher Transaktionen (Aufträge, Bestellungen, Supply Chain-Daten aller Art);
- Rechtsverbindliche Nachweise aller Art.
Von schützenswerten Informationen zum Anwendungsbereich
Nachdem Sie im ersten Schritt die schützenswerten Informationen bestimmt haben, zu denen Sie Zugang haben, ist der zweite Schritt, daraus den Anwendungsbereich abzuleiten. Also diejenigen Teile Ihrer Organisation, in denen Sie Regelungen für Informationssicherheit einführen sollten.
Die ISO 27001 ist hier wieder komplett frei jeglicher Vorgaben. Die Frage ist also: wie legt man den Anwendungsbereich jetzt fest?
Unser Tipp ist: arbeiten Sie hier entlang Ihrer eigenen Wertschöpfungsprozesse.
Stellen Sie sich die Frage:
Was sind diejenigen Wertschöpfungsprozesse, in denen die schützenswerten Informationen fließen?
Typischerweise sind dies etwa:
- "Erbringung der Dienstleistung X für Kundenkreis Y"
- "Programmierung von Software"
- "Betrieb von Anlagen im Bereich Z"
oder Kombinationen davon (aber bitte den Anwendungsbereich klein halten).
Es ist auch möglich, den Anwendungsbereich völlig anders festzulegen. Beispielsweise über die Auflistung von Gebäuden, Adressen, Betriebsstandorten, Etagen oder Abteilungsnamen. Wir raten jedoch davon ab, weil das schnell sehr unflexibel wird. Bereis eine kleine Umstrukturierung sorgt dafür, dass sie in ein heilloses Wirrwarr geraten über die Frage, was denn jetzt in Ihrem Anwendungsbereich liegt.
Und nach der Auswahl des Anwendungsbereichs wissen, Sie, welche Teile Ihrer Organisation sich ab sofort um Informationssicherheit kümmern müssen. Und wen das Thema gar nicht berührt!
Unser Tipp
Bestimmen Sie sich zunächst, welche Informationen Sie überhaupt schützen möchten. Nachdem Sie hier Klarheit gewonnen haben, überlegen Sie, in welchen Wertschöpfungsprozessen diese Informationen bei Ihnen überhaupt vorkommen.
Nur diese Wertschöpfungsprozesse sind Ihr Anwendungsbereich. D.h. nur Personenkreise, die hier mitarbeiten, sind von dem ganzen Thema ISO 27001 überhaupt betroffen.
Wir haben Ihnen hier und hier noch ein paar Informationen zur Dauer und zu den Kosten einer ISO 27001-Zertifizierung aufgeschrieben.
Wenn Sie sich noch nicht sicher sind, was Ihr Anwendungsbereich sein wird, dann können Sie einfach einen kostenfreien und unverbindlichen Gesprächstermin mit uns vereinbaren. Oder Sie schreiben uns einfach rechts unten etwas in den den Chat!