Schulungsmodul
Schulungsmodul
Schulungsmodul
Geltungsbereich des ISMS, Grenzen & Anwendbarkeitserklärung
Verstehen Sie, wie Sie den Umfang und die Grenzen eines ISO/IEC 27001 ISMS definieren und eine Anwendbarkeitserklärung dokumentieren können.
Verstehen
Umsetzen
Verwalten
Audit
Verwandeln Sie „was im Geltungsbereich ist“ in eine vertretbare Entscheidungsgrenze und halten Sie diese im Laufe der Zeit aufrecht
Verwandeln Sie „was im Geltungsbereich ist“ in eine vertretbare Entscheidungsgrenze und halten Sie diese im Laufe der Zeit aufrecht
In ISO/IEC 27001 führen vage Umfangsdefinitionen und kopierte Anwendbarkeitsaussagen zu falscher Sicherheit und Reibung in Betrieb und Audits. Dieses Modul konzentriert sich darauf, Umfangs- und Anwendbarkeitsentscheidungen explizit, nachvollziehbar und nachhaltig zu gestalten, damit das ISMS widerspiegelt, wie die Organisation tatsächlich arbeitet.
In ISO/IEC 27001 führen vage Umfangsdefinitionen und kopierte Anwendbarkeitsaussagen zu falscher Sicherheit und Reibung in Betrieb und Audits. Dieses Modul konzentriert sich darauf, Umfangs- und Anwendbarkeitsentscheidungen explizit, nachvollziehbar und nachhaltig zu gestalten, damit das ISMS widerspiegelt, wie die Organisation tatsächlich arbeitet.
Übersicht des Schulungsmoduls
Viele Organisationen behandeln den Geltungsbereich des ISMS und die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) als Dokumentationsaufgabe, die einmal für die Zertifizierung erledigt wird. Das Ergebnis ist oft ein Geltungsbereich, der entweder zu breit ist (und nicht betrieben werden kann) oder zu eng gefasst (und irreführend), sowie eine SoA, die Kontrollen ohne klare Anwendungsentscheidungen, Begründungen oder eine realistische „implementierte“ Ansicht auflistet.
Dieses ganztägige ISO/IEC 27001-Spezialisierungsmodul zeigt, wie man etabliertes Denken zu Geltungsbereich und Abgrenzung in die spezifischen Erwartungen von ISO/IEC 27001 übersetzt: Definition dessen, was das ISMS abdeckt (und was nicht), Klärung von Schnittstellen und Abhängigkeiten und Erstellung eines SoA, das auf risikobasierte Entscheidungen rückführbar bleibt, ohne Risikomethoden oder die Implementierung von Kontrollen erneut zu lehren.
Viele Organisationen behandeln den Geltungsbereich des ISMS und die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) als Dokumentationsaufgabe, die einmal für die Zertifizierung erledigt wird. Das Ergebnis ist oft ein Geltungsbereich, der entweder zu breit ist (und nicht betrieben werden kann) oder zu eng gefasst (und irreführend), sowie eine SoA, die Kontrollen ohne klare Anwendungsentscheidungen, Begründungen oder eine realistische „implementierte“ Ansicht auflistet.
Dieses ganztägige ISO/IEC 27001-Spezialisierungsmodul zeigt, wie man etabliertes Denken zu Geltungsbereich und Abgrenzung in die spezifischen Erwartungen von ISO/IEC 27001 übersetzt: Definition dessen, was das ISMS abdeckt (und was nicht), Klärung von Schnittstellen und Abhängigkeiten und Erstellung eines SoA, das auf risikobasierte Entscheidungen rückführbar bleibt, ohne Risikomethoden oder die Implementierung von Kontrollen erneut zu lehren.
Zielpublikum
ISMS-Manager und -Koordinatoren, die für die Implementierung oder Wartung von ISO/IEC 27001 verantwortlich sind
Leiter der Informationssicherheit und Compliance, die ISMS-Grenzen über Teams und Lieferanten hinweg gestalten
IT-/Service-Verantwortliche, die zur Bestimmung des Geltungsbereichs und der Anwendbarkeit beitragen
Managementsystem-Implementierer, die ISO/IEC 27001 in eine bestehende Governance-Struktur integrieren
ISMS-Manager und -Koordinatoren, die für die Implementierung oder Wartung von ISO/IEC 27001 verantwortlich sind
Leiter der Informationssicherheit und Compliance, die ISMS-Grenzen über Teams und Lieferanten hinweg gestalten
IT-/Service-Verantwortliche, die zur Bestimmung des Geltungsbereichs und der Anwendbarkeit beitragen
Managementsystem-Implementierer, die ISO/IEC 27001 in eine bestehende Governance-Struktur integrieren
Agenda
Was ISO/IEC 27001 von „Umfang“ und „Grenzen“ erwartet
Absicht des Umfangs: glaubwürdige Abdeckung vs. falsche Zusicherung
Typische Fehlerarten: „Umfang nach Organigramm“, „Umfang nach Standort“, „Umfang nach Werkzeugen“
Anwendung der Umfanganalyse auf das ISMS (ohne die generische Methode neu zu lehren)
Übertragung des organisatorischen Kontextes, der Dienstleistungen und des Liefermodells in eine ISMS-Grenze
Schnittstellen und Abhängigkeiten: interne Teams, gemeinsame Plattformen, externe Anbieter
Erstellung einer einsatzfähigen Umfangserklärung
Was die Umfangserklärung vermitteln muss (Abdeckung, Ausschlüsse, Schnittstellen)
Umgang mit Mehrfachstandorten, Mehrfachdiensten und Gruppenstrukturen ohne Überversprechungen
Von Ergebnissen der Risikoabwehr zu Entscheidungen über die Anwendbarkeit von Kontrollen (Eingaben, nicht Methoden)
Benötigte Eingaben und Entscheidungspunkte (Risikoentscheidungen als Treiber)
„Anwendbar / nicht anwendbar“-Entscheidungen: was sie vertretbar macht
Erklärung zur Anwendbarkeit (SoA): Struktur, Mindestinhalt und Nachverfolgbarkeit
SoA als Entscheidungsaufzeichnung: Begründung, Implementierungsstatus, Referenzen
Konsistenz mit Richtlinien, operativen Kontrollen und der Beweisrealität aufrechterhalten
Erhalt des Umfangs und der SoA im Laufe der Zeit
Änderungsauslöser: organisatorische Änderungen, Lieferantenwechsel, Plattformänderungen, Vorfälle
Eigentümerschaft, Überprüfungsfrequenz und Integration in Managementroutinen
Workshop (fallbasiert, Halderstone-Standardfall)
Erstellen Sie eine Umfangsgrenze und eine Schnittstellenkarte für die Fallorganisation
Erstellen Sie einen vertretbaren Mini-SoA-Auszug mit klarer Begründung der Anwendbarkeit und Aktualisierungsauslösern
Was ISO/IEC 27001 von „Umfang“ und „Grenzen“ erwartet
Absicht des Umfangs: glaubwürdige Abdeckung vs. falsche Zusicherung
Typische Fehlerarten: „Umfang nach Organigramm“, „Umfang nach Standort“, „Umfang nach Werkzeugen“
Anwendung der Umfanganalyse auf das ISMS (ohne die generische Methode neu zu lehren)
Übertragung des organisatorischen Kontextes, der Dienstleistungen und des Liefermodells in eine ISMS-Grenze
Schnittstellen und Abhängigkeiten: interne Teams, gemeinsame Plattformen, externe Anbieter
Erstellung einer einsatzfähigen Umfangserklärung
Was die Umfangserklärung vermitteln muss (Abdeckung, Ausschlüsse, Schnittstellen)
Umgang mit Mehrfachstandorten, Mehrfachdiensten und Gruppenstrukturen ohne Überversprechungen
Von Ergebnissen der Risikoabwehr zu Entscheidungen über die Anwendbarkeit von Kontrollen (Eingaben, nicht Methoden)
Benötigte Eingaben und Entscheidungspunkte (Risikoentscheidungen als Treiber)
„Anwendbar / nicht anwendbar“-Entscheidungen: was sie vertretbar macht
Erklärung zur Anwendbarkeit (SoA): Struktur, Mindestinhalt und Nachverfolgbarkeit
SoA als Entscheidungsaufzeichnung: Begründung, Implementierungsstatus, Referenzen
Konsistenz mit Richtlinien, operativen Kontrollen und der Beweisrealität aufrechterhalten
Erhalt des Umfangs und der SoA im Laufe der Zeit
Änderungsauslöser: organisatorische Änderungen, Lieferantenwechsel, Plattformänderungen, Vorfälle
Eigentümerschaft, Überprüfungsfrequenz und Integration in Managementroutinen
Workshop (fallbasiert, Halderstone-Standardfall)
Erstellen Sie eine Umfangsgrenze und eine Schnittstellenkarte für die Fallorganisation
Erstellen Sie einen vertretbaren Mini-SoA-Auszug mit klarer Begründung der Anwendbarkeit und Aktualisierungsauslösern
Modul-ID
HAM-IS-S-01
Modultyp
Managementsystem
Domain:
Informationssicherheit
Zielgruppe:
Manager
Verfügbar in:
Englisch
Dauer:
7 Std.
Listenpreis:
CHF 550
Exkl. MwSt. Die Mehrwertsteuer kann je nach Standort und Status des Kunden anfallen.
Was Sie erhalten
Was Sie lernen
Entwerfen Sie einen ISMS-Geltungsbereich, der gemäß ISO/IEC 27001 ausgerichtet ist und der die Grenzen, Schnittstellen und Ausschlüsse klar kommuniziert.
Identifizieren und dokumentieren Sie wichtige ISMS-Schnittstellen und Abhängigkeiten, die die Anwendbarkeit der Kontrollen wesentlich beeinflussen.
Verwenden Sie Risikobehandlungsoutputs als Inputs, um explizite, vertretbare Anwendbarkeitsentscheidungen zu treffen (ohne die Risikomethode neu zu definieren).
Strukturieren Sie eine Anwendbarkeitserklärung, die Begründung, Umsetzungsstatus und nachvollziehbare Referenzen enthält.
Unterscheiden Sie „dokumentierte Anwendbarkeit“ von „operativ umgesetzt“ und managen Sie diese Lücke transparent.
Definieren Sie praktische Wartungsregeln: Verantwortung, Überprüfungsrhythmus und Änderungsauslöser für den Geltungsbereich und die Anwendbarkeitserklärung.
Entwerfen Sie einen ISMS-Geltungsbereich, der gemäß ISO/IEC 27001 ausgerichtet ist und der die Grenzen, Schnittstellen und Ausschlüsse klar kommuniziert.
Identifizieren und dokumentieren Sie wichtige ISMS-Schnittstellen und Abhängigkeiten, die die Anwendbarkeit der Kontrollen wesentlich beeinflussen.
Verwenden Sie Risikobehandlungsoutputs als Inputs, um explizite, vertretbare Anwendbarkeitsentscheidungen zu treffen (ohne die Risikomethode neu zu definieren).
Strukturieren Sie eine Anwendbarkeitserklärung, die Begründung, Umsetzungsstatus und nachvollziehbare Referenzen enthält.
Unterscheiden Sie „dokumentierte Anwendbarkeit“ von „operativ umgesetzt“ und managen Sie diese Lücke transparent.
Definieren Sie praktische Wartungsregeln: Verantwortung, Überprüfungsrhythmus und Änderungsauslöser für den Geltungsbereich und die Anwendbarkeitserklärung.
Lernmaterialien
Präsentationsfolien
Teilnehmerhandbuch
Zertifikat über die Teilnahme
Präsentationsfolien
Teilnehmerhandbuch
Zertifikat über die Teilnahme
Vorlagen & Werkzeuge
ISO/IEC 27001 ISMS Geltungsbereichsvorlage
Abgrenzungs- & Schnittstellen-Mapping-Leinwand (Dienstleistungen, Teams, Lieferanten, Plattformen)
Entscheidungscheckliste zum Geltungsbereich (häufige Stolpersteine und Vollständigkeitsprüfungen)
Anwendbarkeitserklärung Vorlage (mit Begründung + Feldern für Status der Umsetzung)
Geltungsbereichs-/SoA-Überprüfung & Änderungsprotokoll
Optionales KI-Prompts-Set zur Überwachung geltungsbereichsrelevanter Änderungssignale (Verträge, Lieferantenmitteilungen, wesentliche Plattformänderungen) — nur unterstützend, nicht entscheidungstragend
ISO/IEC 27001 ISMS Geltungsbereichsvorlage
Abgrenzungs- & Schnittstellen-Mapping-Leinwand (Dienstleistungen, Teams, Lieferanten, Plattformen)
Entscheidungscheckliste zum Geltungsbereich (häufige Stolpersteine und Vollständigkeitsprüfungen)
Anwendbarkeitserklärung Vorlage (mit Begründung + Feldern für Status der Umsetzung)
Geltungsbereichs-/SoA-Überprüfung & Änderungsprotokoll
Optionales KI-Prompts-Set zur Überwachung geltungsbereichsrelevanter Änderungssignale (Verträge, Lieferantenmitteilungen, wesentliche Plattformänderungen) — nur unterstützend, nicht entscheidungstragend
Voraussetzungen
Dieses Modul setzt voraus, dass die Teilnehmer bereits die grundlegende Logik von Kontext, Interessengruppen und Abgrenzungsentscheidungen (verwaltet von System Foundations) verstehen und mit grundlegenden dokumentierten Informationspraktiken arbeiten können.
Hilfreicher Hintergrund umfasst:
Vertrautheit mit den Dienstleistungen/Prozessen der Organisation, dem Liefermodell und den wichtigsten Lieferanten
Grundlegende Kenntnisse der Informationssicherheit (Assets/Services, allgemeine Kontrollkategorien, Konzepte der geteilten Verantwortung)
Grundlegende Logik von Risiko und Behandlung als Fähigkeit eines Managementsystems (Methode wird hier nicht gelehrt)
Dieses Modul setzt voraus, dass die Teilnehmer bereits die grundlegende Logik von Kontext, Interessengruppen und Abgrenzungsentscheidungen (verwaltet von System Foundations) verstehen und mit grundlegenden dokumentierten Informationspraktiken arbeiten können.
Hilfreicher Hintergrund umfasst:
Vertrautheit mit den Dienstleistungen/Prozessen der Organisation, dem Liefermodell und den wichtigsten Lieferanten
Grundlegende Kenntnisse der Informationssicherheit (Assets/Services, allgemeine Kontrollkategorien, Konzepte der geteilten Verantwortung)
Grundlegende Logik von Risiko und Behandlung als Fähigkeit eines Managementsystems (Methode wird hier nicht gelehrt)
Dringend empfohlene Vorbereitungsmodule
Systemgrundlagen: Kontext, Interessengruppen und Systemgrenzen
Verstehen Sie den organisatorischen Kontext, die Interessengruppen und die Systemgrenzen
7h
Systemgrundlagen: Kontext, Interessengruppen und Systemgrenzen
Verstehen Sie den organisatorischen Kontext, die Interessengruppen und die Systemgrenzen
7h
Systemgrundlagen: Kontext, Interessengruppen und Systemgrenzen
Verstehen Sie den organisatorischen Kontext, die Interessengruppen und die Systemgrenzen
7h
Hilfreiche Vorbereitungsmodule
Die folgenden Module bereiten auf ein optimales Lernerlebnis vor – sind jedoch nicht unbedingt erforderlich, um den Teilnehmern zu folgen.
Dokumentation & Wissensgrundlagen: Dokumentierte Informationen, Aufzeichnungen und Organisationswissen
Grundlagen der Kontrolle von dokumentierten Informationen, Aufzeichnungen und Wissensspeicherung für Managementsysteme
7h
Dokumentation & Wissensgrundlagen: Dokumentierte Informationen, Aufzeichnungen und Organisationswissen
Grundlagen der Kontrolle von dokumentierten Informationen, Aufzeichnungen und Wissensspeicherung für Managementsysteme
7h
Dokumentation & Wissensgrundlagen: Dokumentierte Informationen, Aufzeichnungen und Organisationswissen
Grundlagen der Kontrolle von dokumentierten Informationen, Aufzeichnungen und Wissensspeicherung für Managementsysteme
7h
Grundlagen des Risikomanagements: Konsistente Logik für Risiken und Chancen in Managementsystemen
Erlernen Sie die Grundlagen der Identifikation, Bewertung, Behandlung und Überwachung von Risiken und Chancen in Managementsystemen.
7h
Grundlagen des Risikomanagements: Konsistente Logik für Risiken und Chancen in Managementsystemen
Erlernen Sie die Grundlagen der Identifikation, Bewertung, Behandlung und Überwachung von Risiken und Chancen in Managementsystemen.
7h
Grundlagen des Risikomanagements: Konsistente Logik für Risiken und Chancen in Managementsystemen
Erlernen Sie die Grundlagen der Identifikation, Bewertung, Behandlung und Überwachung von Risiken und Chancen in Managementsystemen.
7h
Kontinuierliches Lernen
Kontinuierliches Lernen
Kontinuierliches Lernen
Folgemodule
Nach Abschluss dieses Moduls sind die folgenden Module ideal, um Ihre Kompetenz weiter zu vertiefen.
Grundlagen des Risikomanagements
Erlernen Sie die Grundlagen der Identifikation, Bewertung, Behandlung und Überwachung von Risiken und Chancen in Managementsystemen.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Grundlagen des Risikomanagements
Erlernen Sie die Grundlagen der Identifikation, Bewertung, Behandlung und Überwachung von Risiken und Chancen in Managementsystemen.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Grundlagen des Risikomanagements
Erlernen Sie die Grundlagen der Identifikation, Bewertung, Behandlung und Überwachung von Risiken und Chancen in Managementsystemen.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Dokumentation & Wissensgrundlagen
Grundlagen der Kontrolle von dokumentierten Informationen, Aufzeichnungen und Wissensspeicherung für Managementsysteme
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Dokumentation & Wissensgrundlagen
Grundlagen der Kontrolle von dokumentierten Informationen, Aufzeichnungen und Wissensspeicherung für Managementsysteme
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Dokumentation & Wissensgrundlagen
Grundlagen der Kontrolle von dokumentierten Informationen, Aufzeichnungen und Wissensspeicherung für Managementsysteme
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Richtlinienmanagement
Entwickeln Sie einen kohärenten, prüfbaren Richtlinienrahmen, der sich mit der Strategie in Einklang bringt, über verschiedene Einheiten skalierbar ist und ohne Bürokratie aktuell bleibt.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Richtlinienmanagement
Entwickeln Sie einen kohärenten, prüfbaren Richtlinienrahmen, der sich mit der Strategie in Einklang bringt, über verschiedene Einheiten skalierbar ist und ohne Bürokratie aktuell bleibt.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Richtlinienmanagement
Entwickeln Sie einen kohärenten, prüfbaren Richtlinienrahmen, der sich mit der Strategie in Einklang bringt, über verschiedene Einheiten skalierbar ist und ohne Bürokratie aktuell bleibt.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Grundlagen des Management-Reviews
Lernen Sie die Grundlagen der Planung, Durchführung und Dokumentation von Management-Reviews mit integrierten Eingaben und entscheidungsorientierten Ergebnissen.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Grundlagen des Management-Reviews
Lernen Sie die Grundlagen der Planung, Durchführung und Dokumentation von Management-Reviews mit integrierten Eingaben und entscheidungsorientierten Ergebnissen.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Grundlagen des Management-Reviews
Lernen Sie die Grundlagen der Planung, Durchführung und Dokumentation von Management-Reviews mit integrierten Eingaben und entscheidungsorientierten Ergebnissen.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Grundlagen der internen Revision
Verstehen Sie den Zweck interner Audits, die Rollenverantwortungen, Erwartungen an die Unabhängigkeit und wie Auditergebnisse in der Governance und Verbesserung genutzt werden.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Grundlagen der internen Revision
Verstehen Sie den Zweck interner Audits, die Rollenverantwortungen, Erwartungen an die Unabhängigkeit und wie Auditergebnisse in der Governance und Verbesserung genutzt werden.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Grundlagen der internen Revision
Verstehen Sie den Zweck interner Audits, die Rollenverantwortungen, Erwartungen an die Unabhängigkeit und wie Auditergebnisse in der Governance und Verbesserung genutzt werden.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.