PowerOn/wiki
3
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
wiki/e-compliance/ims/01_kontext/geltungsbereich-scope.md

2.6 KiB
Raw Blame History

Geltungsbereich (Scope) des IMS

Dokumenttyp: Grundlagendokument (Pflichtdokument ISO 9001 4.3 / ISO 27001 4.3)

1. Scope-Statement

Das integrierte Managementsystem der PowerOn AG umfasst die Entwicklung, den Betrieb, das Produktmanagement und den Support der PORTA Enterprise KI-Plattform (Multi-Tenant-SaaS, api.poweron.swiss) sowie die zugehörigen unterstützenden Prozesse der gesamten PowerOn AG.

Es deckt ISO 9001:2015 (Qualitätsmanagement) und ISO/IEC 27001:2022 (Informationssicherheit) ab.

2. Eingeschlossen

  • Software-Entwicklung (SDLC), Release- und Change-Management.
  • Betrieb der Plattform auf Infomaniak Public Cloud (Schweiz): api.poweron.swiss, db.poweron.swiss.
  • Entwicklungs-/Deployment-System (Forgejo, CI/CD).
  • Produktmanagement, Anforderungsmanagement, Kundensupport.
  • Verwaltung von Drittdiensten/Subunternehmern (inkl. externe LLM-Provider).
  • Unterstützungsprozesse: Personal/Kompetenz, Beschaffung, IT-Sicherheit, Dokumentenlenkung.

3. Standorte und Mittel

  • Cloud-Infrastruktur: Infomaniak (Schweiz).
  • Verteiltes Klein-Team; Arbeitsmittel und Remote-Zugriff gemäss Zugriffsmanagement.

4. Schnittstellen und Abhängigkeiten

  • Externe LLM-Provider (Primär OpenAI/USA) -- Inhaltsdaten verlassen zur KI-Verarbeitung die Schweiz; abgesichert über AVV/DPA + EU-SCC und Neutralisierung. Siehe Drittanbieter-Inventar.
  • Authentifizierungs-Dienste (Microsoft Entra, Google), E-Mail-Dienste.

5. Ausschlüsse / Nichtanwendbarkeit

  • ISO 9001 Kap. 8.3 (Entwicklung) ist anwendbar (PowerOn entwickelt eigenes Produkt) -- kein Ausschluss.
  • Annex-A-Controls von ISO 27001 werden nicht pauschal ausgeschlossen; Nichtanwendbarkeit wird einzeln im SoA begründet (z. B. rein physische Rechenzentrums-Controls, die beim Cloud-Provider liegen).

6. Begründung kompensierender Massnahmen

Aufgrund der kleinen Teamgrösse ist eine vollständige Funktionstrennung nicht überall möglich. Wo Controls eine grössere Organisation voraussetzen, greifen kompensierende Massnahmen (Vier-Augen-Prinzip bei Releases, Protokollierung privilegierter Zugriffe, externe Vergabe des internen Audits). Diese sind in den jeweiligen Betriebsdokumenten und im SoA dokumentiert.