Trainingsmodul
ISMS: Geltungsbereich & SoA
ISMS-Geltungsbereich und Grenzen klar definieren und eine belastbare Erklärung zur Anwendbarkeit (SoA) pflegen
Übersicht
Schwache Definitionen des Geltungsbereichs und schlecht begründete Entscheidungen zur Anwendbarkeit untergraben die Glaubwürdigkeit eines Informationssicherheitsmanagementsystems.
Dieses Trainingsmodul führt durch das Formulieren einer belastbaren Geltungsbereichsaussage, das Identifizieren von Schnittstellen und Abhängigkeiten sowie das Verknüpfen der Ergebnisse aus der Risikobehandlung mit Entscheidungen zur Anwendbarkeit von Steuerungsmassnahmen. Es zeigt, wie eine Erklärung zur Anwendbarkeit mit Begründung und Umsetzungsstand aufgebaut wird und wie Geltungsbereich und SoA über die Zeit gepflegt werden. Unterschiede zwischen dokumentierter und gelebter Umsetzung werden hervorgehoben, um Lücken zwischen Papier und Praxis zu vermeiden.
Relevante Umfelder
Dieses Modul richtet sich an Organisationen, die ein Informationssicherheitsmanagementsystem (ISMS) gemäss ISO/IEC 27001 einführen oder betreiben. Es fokussiert darauf, wie die Anforderungen des Standards in realen organisatorischen Kontexten interpretiert und praktisch angewendet werden.
Die Inhalte sind sowohl für Organisationen relevant, die eine Zertifizierung anstreben, als auch für solche, die ISO/IEC 27001 als Referenzrahmen nutzen, um Verantwortlichkeiten, Prozesse und Kontrollen im Bereich der Informationssicherheit strukturiert auszugestalten.
Zielpublikum
Personen, die ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 entwerfen, aufbauen, betreiben oder verbessern
Führungskräfte und Abteilungsleitende, die für die Wirksamkeit und Leistung eines ISMS verantwortlich sind
Personen, die für Prozesse, Politiken, Assets, Risiken und Steuerungsmassnahmen im Bereich Informationssicherheit verantwortlich sind
Auditierende von ISO/IEC 27001, die ihr Verständnis für managementseitige Best Practices vertiefen wollen (nicht Audittechnik)
Entscheidungshilfe
Ist dieses Modul für Sie das richtige?
Es passt gut für Sie, wenn Sie...
für das Definieren, Pflegen oder Verteidigen des Geltungsbereichs eines ISMS verantwortlich sind.
mit unklaren, kopierten oder instabilen Erklärungen zur Anwendbarkeit zu tun haben.
belastbare Entscheidungen zu Geltungsbereich und SoA für Audits und Sicherheitsvorfälle benötigen.
die Grenzen des ISMS mit realen organisatorischen, technischen oder Lieferantenbeziehungen abstimmen müssen.
wollen, dass Entscheidungen zum Geltungsbereich und zur Anwendbarkeit bei Veränderungen im Unternehmen gültig bleiben.
Wenn die meisten der oben genannten Punkte zutreffen, ist dieses Modul wahrscheinlich gut geeignet.
Es passt möglicherweise weniger gut für Sie, wenn Sie...
nur einen allgemeinen Überblick über ISO/IEC 27001 suchen.
einen Kurs zu Risikoanalyse oder zur Umsetzung von Steuerungsmassnahmen erwarten.
eine reine Einführung anhand von Vorlagen ohne Entscheidungslogik wünschen.
bereits einen klaren, stabilen und gut begründeten ISMS-Geltungsbereich sowie eine entsprechende SoA betreiben.
Agenda
Was ISO/IEC 27001 von Geltungsbereich und Grenzen erwartet
Wie sich die Geltungsbereichslogik auf das ISMS anwenden lässt
Wie eine operativ nutzbare Geltungsbereichsaussage aufgebaut wird
Wie aus Entscheidungen zur Risikobehandlung die Anwendbarkeit von Steuerungsmassnahmen abgeleitet wird
Wie die Erklärung zur Anwendbarkeit aufgebaut ist und nachvollziehbar bleibt
Wie Geltungsbereich und SoA über die Zeit gepflegt werden
Praxisworkshop
Details...
Was Sie lernen
Zentrale Lernergebnisse
Einen ISO/IEC 27001-konformen Geltungsbereich mit klaren Grenzen und Begründung formulieren
Schnittstellen, Abhängigkeiten und Annahmen identifizieren, die den Geltungsbereich beeinflussen
Ergebnisse aus der Risikobehandlung nutzen, um die Anwendbarkeit von Steuerungsmassnahmen festzulegen und zu begründen
Zusätzliche Fähigkeiten
Eine Erklärung zur Anwendbarkeit mit klarer Begründung und Umsetzungsstand strukturieren
Zwischen dokumentierter Anwendbarkeit und operativer Umsetzung unterscheiden, um Lücken sichtbar zu machen
Regeln und Auslöser für die Pflege festlegen, damit Geltungsbereich und SoA über die Zeit aktuell bleiben
Enthaltene Unterlagen
Lernmaterialien
Slide deck
Participant workbook
Vorlagen & Tools
Praxisnahe, wiederverwendbare Artefakte, mit denen sich die Inhalte des Moduls direkt auf die eigene Organisation anwenden lassen.
Vorlage für die ISMS-Geltungsbereichsaussage
Canvas für Schnittstellen- und Grenzabgleich
Checkliste für Geltungsbereichsentscheide
Vorlage für die Erklärung zur Anwendbarkeit
Register für Geltungsbereich, SoA und Änderungsanlässe
Bestätigung
Certificate of completion
Modul-ID
HAM-IS-S-01
Fachbereich
Normkapitel
4: Kontext der Organisation
Fähigkeitsbereiche
Zielgruppen
Manager
Sprachen
Englisch
Durchführung
Live-virtuell
Dauer
7 Std.
Listenpreis
CHF 550
Exkl. MwSt. Mehrwertsteuer kann je nach Standort und Status des Kunden anfallen.
Durchführung & Lernformat
Virtuelle Live-Lektionen
Dieses Modul wird live durchgeführt, wobei der Schwerpunkt auf Diskussionen, praktischen Anwendungen und der direkten Interaktion mit dem Dozenten liegt.
Die Sitzungen basieren auf realistischen Beispielen, verdeutlichen Konzepte im Kontext und wenden Methoden direkt auf die organisatorischen Gegebenheiten der Teilnehmer an.
Massgeschneiderte Formate
Für Organisationen mit spezifischen Einschränkungen oder Lernzielen kann das Modul in Format und Umfang angepasst werden, einschliesslich interner Durchführung und kontextbezogenem Case-Material.
Für ein optimales Lernerlebnis
Empfehlungen zur Vorbereitung
Dieses Modul ist Teil eines modularen Trainingsansatzes. Inhalte werden bewusst auf einzelne Module verteilt und nicht vollständig wiederholt, um unnötige Redundanzen zu vermeiden. Jedes Modul ist in sich abgeschlossen und kann unabhängig besucht werden. Falls bestimmte Vorkenntnisse oder Erfahrungen hilfreich sind, ist dies unten vermerkt, damit Sie selbst entscheiden können, ob eine Vorbereitung für Sie sinnvoll ist.
Vorausgesetzte Kenntnisse
Dieses Modul setzt voraus, dass die Teilnehmenden die allgemeine Logik von Kontext, Anspruchsgruppen und Grenz- bzw. Geltungsbereichsentscheiden bereits verstehen (verantwortet durch System Foundations ) und mit grundlegenden Praktiken zu dokumentierten Informationen arbeiten können.
Hilfreicher Hintergrund umfasst:
Vertrautheit mit den Dienstleistungen, Prozessen, dem Liefermodell und den wichtigsten Lieferanten des Unternehmens
Grundlegende Informationssicherheitskenntnisse (Assets/Dienstleistungen, gängige Kategorien von Steuerungsmassnahmen, Konzepte geteilter Verantwortung)
Grundlogik von Risiko und Risikobehandlung als Fähigkeit im Managementsystem (die Methode wird hier nicht vermittelt)
Vorbereitungsmodule
Foundational modules (depending on background)
Useful if you are new to the underlying concepts or want a shared baseline before attending this module.
Supporting modules (optional)
Helpful if you want to deepen related skills, but not required to participate effectively.
