Lektion 3

20 min

Organisation

Im Rahmen der „Organisation“ werden Ressourcen, Verantwortlichkeiten und die Strategie festgelegt, also der Rahmen des ISMS.

 

Informationssicherheitsbeauftragte*r / Chief Information Security Officer (CISO)

Als zentrale Rolle im ISMS sollte ein*e Informationssicherheitsbeauftragte*r benannt werden. Die verantwortliche Person ist zuständig für alle Belange der Informationssicherheit innerhalb der Institution. Bei der Benennung sind insb. zwei Faktoren zu beachten: Zum einen muss die Person über die notwendige Kompetenz verfügen. Dieser Kurs ist ein guter Anfang dafür, nachweisen lässt sie sich jedoch am besten über erlangte Zertifikate im Bereich Informationssicherheit. Der zweite wichtige Punkt ist, dass kein Interessenkonflikt bei der Rollenverteilung bestehen darf.

Typische Rollenkonflikte bestehen z.B. bei den folgenden Kombinationen:

Rolle A
Rolle B
Beispiel-Konflikt
Informationssicherheitsbeauftragte*r
IT-Leitung
Die IT-Leitung könnte bei dem Wunsch, möglichst viele neue Features zu liefern, die Informationssicherheit zu niedrig priorisieren.
Informationssicherheitsbeauftragte*r
Datenschutzbeauftragte*r
Wenn es um das Sichern und Auswerten von Loginformationen geht, ist die Informationssicherheit in der Regel daran interessiert, möglichst viele Informationen lange einsehen zu können. Das könnte im Widerspruch mit den Interessen der / des Datenschutzbeauftragten stehen.
Informationssicherheitsbeauftragte*r
Mitglied der Geschäftsleitung
Für ein Mitglied der Geschäftsleitung, könnte in der Praxis, die angemessene Verteilung der eigenen Ressourcen im Konflikt mit der Informationssicherheit stehen.

Gerade in kleineren Unternehmen ist es nicht immer möglich diese Interessenkonflikte vom Start weg zu vermeiden. In diesem Fall könnte auch ein Gremium aus mehreren Personen die Rolle der Informationssicherheitsbeauftragten übernehmen, bis jemand passendes unter den Mitarbeitern gefunden worden ist. Dabei ist es aber wichtig, das Risiko des Interessenkonflikts zu bewerten und kontinuierlich zu hinterfragen.

Typische Aufgaben

Er oder Sie:

  • stimmt die Informationssicherheitsziele mit den Unternehmenszielen ab.
  • erstellt die Leitlinie zur Informationssicherheit und stimmt diese mit der Leitungsebene ab.
  • stellt sicher, dass die abgestimmte Leitlinie zur Informationssicherheit allen Mitarbeitern bekannt gegeben wird.
  • verantwortet den Aufbau, Betrieb und Weiterentwicklung der Informationssicherheitsorganisation.
  • erstellt und schreibt das Informationssicherheitskonzept fort und passt dieses auch an neue gesetzliche Gegebenheiten an.
  • erstellt und erlässt Richtlinien und Regelungen die Informationssicherheit betreffend.
  • berät die Leitungsebene in allen Fragen der Informationssicherheit.
  • berichtet relevante die Informationssicherheit betreffende Vorkommnisse an die Leitungsebene bzw. an die im Rahmen des Informationssicherheitsmanagement des Bundes definierten Stellen.
  • berichtet der Leitungsebene regelmäßig über den aktuellen Stand der Informationssicherheit.
  • initiiert und kontrolliert die Umsetzung von Informationssicherheitsmaßnahmen.
  • koordiniert zielgruppenorientierte Sensibilisierungs- und Schulungsmaßnahmen zum Thema Informationssicherheit.
  • übernimmt die Leitung der Analyse und Nachbearbeitung von Informationssicherheitsvorfällen.