Klausel 4: Kontext

Klausel 4 – Kontext der Organisation

Bevor man irgendetwas absichert, muss man verstehen, worin man eigentlich tätig ist. Klausel 4 legt dieses Fundament: Sie klärt das Umfeld, die Beteiligten und die Grenzen des ISMS.

4.1 Verstehen der Organisation und ihres Kontextes

Die Organisation muss interne und externe Themen bestimmen, die für ihre Informationssicherheit relevant sind und das Erreichen der ISMS-Ziele beeinflussen.

• Extern: Gesetze (DSGVO, NIS-2), Markt, Wettbewerb, technische Trends, Bedrohungslage.
• Intern: Unternehmenskultur, IT-Landschaft, Personal, vorhandene Prozesse, Budget.

Ein gängiges Werkzeug dafür ist eine SWOT- oder PESTLE-Analyse.

4.2 Erfordernisse interessierter Parteien

„Interessierte Parteien" (Stakeholder) sind alle, die ein berechtigtes Interesse an der Informationssicherheit haben – und ihre Erwartungen werden zu Anforderungen an das ISMS:

4.3 Anwendungsbereich (Scope) festlegen

Hier wird die Grenze des ISMS gezogen: Welche Standorte, Organisationseinheiten, Prozesse, Dienste und Informationen sind enthalten? Der Scope berücksichtigt die Themen aus 4.1, die Erwartungen aus 4.2 und die Schnittstellen zu anderen Organisationen. Er muss als dokumentierte Information vorliegen.

Praxis-Tipp: Der Scope ist eine strategische Entscheidung. Ein zu enger Bereich („nur ein Server-Raum") wirkt unglaubwürdig; ein zu weiter überfordert das Team. Häufig startet man mit einem klar abgegrenzten, kritischen Bereich.

4.4 Das ISMS selbst

Schließlich verlangt 4.4 schlicht: Die Organisation muss ein ISMS gemäß den Anforderungen der Norm einrichten, umsetzen, aufrechterhalten und fortlaufend verbessern – inklusive der nötigen Prozesse und ihrer Wechselwirkungen. Das ist die formale Verpflichtung, die der gesamte Rest der Norm konkretisiert.