ISMS Scope

[aɪ ɛs ɛm ɛs skəʊp] · auch: ISMS-Anwendungsbereich, ISMS-Geltungsbereich

Der ISMS Scope definiert die Grenzen des Informationssicherheits-Managementsystems – welche Organisationseinheiten, Standorte, Prozesse, Systeme und Informationsassets einbezogen sind – als Grundlage fuer alle ISMS-Aktivitäten und als Abgrenzung des Zertifizierungsbereichs.

Warum ISMS Scope ein Kernelement des ISO-27001-ISMS ist

ISMS Scope ist ein zentrales Element der ISO-27001-Anforderungen – entweder als explizite Norm-Anforderung (Muss-Kriterium) oder als wesentliche Kontrolle des Annex A. Im Zertifizierungsaudit wird geprueft, ob das Konzept nicht nur bekannt ist, sondern dokumentiert, implementiert und regelmässig geprueft wird. Fehlende oder unzureichend implementierte Elemente fuehren zu Nichtkonformitäten, die vor der Zertifizierung behoben werden müssen.

Wo ISMS Scope gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	Kap. 4.3	Festlegung des Anwendungsbereichs: Pflichtanforderung mit spezifischen Inhalten.
ISO 27001:2022	Kap. 4.1 / 4.2	Kontext der Organisation: Scope-Festlegung im Kontext von internen/externen Anforderungen.
ISO 17021	Kap. 9.1	Zertifizierungsumfang: ISMS-Scope als Grundlage fuer das Zertifizierungsverfahren.
NIS-2 / BSIG	§ 30	Vollständige Abdeckung aller relevanten Systeme und Prozesse als Anforderung.
DORA	Art. 4	Anwendungsbereich: Vollständige Einbeziehung aller IKT-Systeme als DORA-Anforderung.

BAM-Objektreferenz

BAM-Objekt ISO-IS-01

BeschreibungISMS-Scope-Dokumentation mit Begruendung der Abgrenzung und Schnittstellen

GitHubBAM Core →

Häufige Audit-Fehler

Konzept implementiert, aber nicht dokumentiert
Dokumentation veraltet – nicht an aktuelle Version von ISO 27001:2022 angepasst
Leitungsorgan nicht einbezogen, wo Norm es verlangt
Keine regelmässige Überprüfung der Wirksamkeit

Einordnung im ISO-27001-Gesamtrahmen

ISMS Scope ist Teil eines integrierten ISMS-Gesamtgefüges: Alle ISO-27001-Elemente – Risikobeurteilung, SoA, Risk Treatment Plan, interne Audits, Management Review, kontinuierliche Verbesserung – hängen zusammen. Wer ISMS Scope als isoliertes Element betrachtet, verpasst den systemischen Wert. Ein reifes ISMS nutzt alle Elemente als zusammenhängendes Steuerungssystem.

ISO 27001:2022 vs. 2013: Was hat sich geändert?

ISO 27001:2022 hat die Anforderungen an ISMS Scope in einigen Bereichen prazäisiert und erweitert. Die wichtigste Änderung: Der Annex A wurde von 114 auf 93 Kontrollen restrukturiert – mit neuen Kontrollen fuer Threat Intelligence, Cloud Security, ICT Readiness und Web Filtering. Organisationen, die noch auf Basis der 2013-Version zertifiziert sind, mussten bis Oktober 2025 auf die 2022-Version migrieren.

Nächste Ebene

ISMS Scope in der Praxis: ISO-27001-Anforderungen und Evidence

Was Zertifizierungsauditoren bei ISMS Scope konkret pruefen und welche Evidence benoetigt wird.

Ebene 2 lesen → Stresstest starten →