ISO 27001 - Kapitel 4 Kontext der Organisation

Der Kontext der Organisation

Als einer der wesentlichsten und ersten Schritte beim Aufbau eines ISMS nach der ISO 27001:2022 muss eine Organisation festlegen, welche internen und externen Aspekte für die eigenen Zwecke relevant sind und welche Auswirkungen diese möglicherweise auf die Informationssicherheit haben können.

Es geht also im Grunde um eine Positionsbestimmung und darum, was die Organisation selbst erreichen bzw. vermeiden möchte und die entsprechenden externen Interessen. Bei letzteren kann es sich um sehr konkrete Interessen handeln, etwa solche von Anteilseignern. Es können aber ebenso gut eher abstrakte Anforderungen sein, wie soziale und kulturelle Aspekte, oder Markterwartungen oder die Rechtsordnung.

Die Norm verweist für die Ermittlung dieser Rahmenbedingungen der Organisation auf die ISO 31000 und deren Kapitel 5.4.1

Die interessierten Parteien und ihrer Bedürfnisse und Erwartungen

Die Ergebnisse der Überlegungen sind verbindlich festzuhalten. Organisationen müssen festlegen, welche interessierten Parteien es mit Relevanz für das ISMS gibt und welche Anforderungen diese Parteien haben und wie diese Anforderungen erfüllt werden. Welche Bedürfnisse haben etwa Geldgeber, Anteilseigner und Auftraggeber an die Informationssicherheit? Was wünschen potentielle Kunden? Was ist für solche Gruppen selbstverständliche Erwartung, was hebt die eigene Organisation hervor?

Der Kreis solcher Parteien kann schnell recht groß werden. Neben offensichtlichen Parteien, wie Geschäftspartnern, Lieferanten und Banken, gibt es meist auch andere Mitspieler, die leichter übersehen werden. Es wäre aber falsch, die Interessen beispielsweise von Mitarbeitern oder Nachbarn zu übersehen. Die genannten Beispiele zeigen, dass die verschiedenen Interessen völlig unterschiedliche Natur sein können und sich nicht entsprechen müssen; sie können auch komplett entgegengesetzt sein.

Im Ergebnis müssen alle diese Parteien und ihre Interessen festgestellt werden, da nur bei Kenntnis der diversen Sicherheitsbedürfnisse eine angemessene Ausrichtung des ISMS insgesamt möglich wird. Ein passendes Sicherheitsniveau ist anders nicht zu erreichen.

Die gesamte Festlegung muss schriftlich vorliegen. Die damit zu führende Liste der interessierten Parteien und ihrer Anforderungen sollte zudem auch regelmäßig überprüft und soweit notwendig angepasst werden.

Diese festgehaltenen Interessen beeinflussen das gesamte ISMS und spielen insbesondere im Zusammenhang mit der Analyse von Risiken im Kapitel 6 eine zwingende Rolle.

Festlegung des Geltungsbereichs

Hier wird es für Organisationen ernst. Es heißt, Farbe zu bekennen. Was wird der Geltungsbereich des ISMS? Welche Parteien und Interessen werden berücksichtigt und welche nicht?

Die Grenze darf nicht willkürlich oder voreilig gezogen werden. Schnittstellen und Abhängigkeitsverhältnisse und andere Wechselwirkungen müssen in die Definition des Geltungsbereichs einfließen. Der Ausschluss bestimmter Bereiche muss sauber möglich sein. Es ist damit beispielsweise nicht möglich, eine Organisationseinheit auszublenden, auf die eine andere innerhalb des Geltungsbereichs zwingend angewiesen ist.

Schnittstellen und Übergabepunkte sind trennscharf und sauber zu definieren, was in manchen Fällen gar nicht möglich ist und in anderen nur mit einem erheblichen organisatorischen Aufwand. Man muss hier etwa nur an die weitverbreiteten gemeinsam genutzten IT-Systeme denken. Im Zweifel wird, insbesondere bei kleineren Organisationen, der Geltungsbereich alles beinhalten müssen.

Fazit: komplexe Fragen mit erheblichen Auswirkungen

Den Kontext im Sinne des Kapitels 4 der ISO 27001 korrekt zu verstehen und dann den passenden Geltungsbereich zu definieren, ist äußerst wichtig. Fehler können massive Auswirkungen haben.

Werden interessierte Parteien oder deren Interessen übersehen oder nicht mit dem ihnen angemessenen Gewicht einbezogen, kann dies sehr schnell negative Auswirkungen auf die Organisation haben. Wenn Geldgeber abspringen oder Nachbarn erfolgreich gegen Lärmbelästigung klagen, wird es unangenehm für Unternehmen.

Der allzu große Zuschnitt des Geltungsbereichs für das ISMS bedeutet aber auch mehr Aufwand und mehr Kosten. Damit besteht ein hoher Anreiz, den Geltungsbereich möglichst klein zu halten. Gleichzeitig darf aber auch kein essenzieller Teil abgeschnitten werden, der die Funktionsfähigkeit des ISMS beeinträchtigt; das macht spätestens der Auditor nicht mehr mit.

Die im Rahmen des Kapitels 4 der ISO 27001 anzustellenden Überlegungen sind damit oft deutlich schwieriger, als es auf den ersten Blick scheint. Sie sollten sehr sorgfältig und gegebenenfalls mit Unterstützung angegangen werden.