47 lines
2.6 KiB
Markdown
47 lines
2.6 KiB
Markdown
<!-- docId: IMS-04-02 -->
|
|
<!-- status: entwurf -->
|
|
<!-- version: 0.1 -->
|
|
<!-- owner: Patrick Motsch -->
|
|
<!-- approver: Geschäftsführung PowerOn AG -->
|
|
<!-- approvedDate: -->
|
|
<!-- nextReview: 2027-06-03 -->
|
|
<!-- classification: intern -->
|
|
<!-- isoRefs: 9001:4.3-4.4; 27001:4.3 -->
|
|
|
|
# Geltungsbereich (Scope) des IMS
|
|
|
|
**Dokumenttyp:** Grundlagendokument (Pflichtdokument ISO 9001 4.3 / ISO 27001 4.3)
|
|
|
|
## 1. Scope-Statement
|
|
|
|
> Das integrierte Managementsystem der PowerOn AG umfasst die **Entwicklung, den Betrieb, das Produktmanagement und den Support der PORTA Enterprise KI-Plattform** (Multi-Tenant-SaaS, `api.poweron.swiss`) sowie die zugehörigen unterstützenden Prozesse der gesamten PowerOn AG.
|
|
>
|
|
> Es deckt **ISO 9001:2015** (Qualitätsmanagement) und **ISO/IEC 27001:2022** (Informationssicherheit) ab.
|
|
|
|
## 2. Eingeschlossen
|
|
|
|
- Software-Entwicklung (SDLC), Release- und Change-Management.
|
|
- Betrieb der Plattform auf Infomaniak Public Cloud (Schweiz): `api.poweron.swiss`, `db.poweron.swiss`.
|
|
- Entwicklungs-/Deployment-System (Forgejo, CI/CD).
|
|
- Produktmanagement, Anforderungsmanagement, Kundensupport.
|
|
- Verwaltung von Drittdiensten/Subunternehmern (inkl. externe LLM-Provider).
|
|
- Unterstützungsprozesse: Personal/Kompetenz, Beschaffung, IT-Sicherheit, Dokumentenlenkung.
|
|
|
|
## 3. Standorte und Mittel
|
|
|
|
- Cloud-Infrastruktur: Infomaniak (Schweiz).
|
|
- Verteiltes Klein-Team; Arbeitsmittel und Remote-Zugriff gemäss [Zugriffsmanagement](../05_betrieb/02_Zugriffsmanagement_IAM_PAM.md).
|
|
|
|
## 4. Schnittstellen und Abhängigkeiten
|
|
|
|
- Externe LLM-Provider (Primär OpenAI/USA) -- Inhaltsdaten verlassen zur KI-Verarbeitung die Schweiz; abgesichert über AVV/DPA + EU-SCC und Neutralisierung. Siehe [Drittanbieter-Inventar](../05_betrieb/20260528_drittanbieter-inventar.md).
|
|
- Authentifizierungs-Dienste (Microsoft Entra, Google), E-Mail-Dienste.
|
|
|
|
## 5. Ausschlüsse / Nichtanwendbarkeit
|
|
|
|
- ISO 9001 Kap. 8.3 (Entwicklung) ist **anwendbar** (PowerOn entwickelt eigenes Produkt) -- kein Ausschluss.
|
|
- Annex-A-Controls von ISO 27001 werden nicht pauschal ausgeschlossen; Nichtanwendbarkeit wird einzeln im [SoA](../03_planung/statement-of-applicability-soa.md) begründet (z. B. rein physische Rechenzentrums-Controls, die beim Cloud-Provider liegen).
|
|
|
|
## 6. Begründung kompensierender Massnahmen
|
|
|
|
Aufgrund der kleinen Teamgrösse ist eine vollständige Funktionstrennung nicht überall möglich. Wo Controls eine grössere Organisation voraussetzen, greifen kompensierende Massnahmen (Vier-Augen-Prinzip bei Releases, Protokollierung privilegierter Zugriffe, externe Vergabe des internen Audits). Diese sind in den jeweiligen Betriebsdokumenten und im SoA dokumentiert.
|