BSI/200-2/Organisation

topic - Kurzbeschreibung

Leitungsebene

Verantwortung und Aufgaben

Ob eine Institution ein gutes einführt und kontinuierlich weiterentwickelt, hängt im Wesentlichen davon ab, wie die oberste Leitungsebene ihre Aufgaben und ihre Verantwortung wahrnimmt.

Pflichten

• Kennen der Risiken bei Verletzung der Informationssicherheit
• Rahmen setzen und grundlegende Entscheidungen zum Umgang mit diesen Risiken treffen
• Initiieren, steuern und kontrollieren des Sicherheitsprozesses
• Ermöglichen, dass Informationssicherheit in alle Prozesse und Projekte der Institution integriert wird
• Ressourcen (Personal, Budget, Zeit) für das Sicherheitsmanagement bereitstellen
• Kosten und Nutzen abwägen
• Als Vorbild durch sicherheitsgemäßes Verhalten wirken

Gesamtverantwortung

Die oberste Leitungsebene trägt die Gesamtverantwortung für ein angemessenes ISMS.

• Auch, wenn sie operative Aufgaben delegiert und die Mitarbeiter zu sicherheitsbewusstem Verhalten anhält, entbindet sie dies nicht von der Gesamtverantwortung.

Informationssicherheitsbeauftragte

Informationssicherheitsbeauftragte - Personen, die im Auftrag der Leitungsebene die Aufgabe Informationssicherheit koordinieren und vorantreiben

Beschreibung

Informationssicherheitsbeauftragte (ISB)

• Von der Institutionsleitung ernannt
• Im Auftrag der Leitungsebene
• Aufgabe Informationssicherheit koordinieren
• Innerhalb der Einrichtung vorantreiben

Zuständigkeit

• Alle Fragen rund um die Informationssicherheit der Institution
• Um Zuständigkeiten und Verantwortung für operative Aufgaben eindeutig zuordnen zu können, ist ein Informationssicherheitsbeauftragter (ISB) zu ernennen.

Aufgaben

Umsetzung der Security Policies

Aufgaben

• unternehmensweite Verantwortung für die Erstellung, Entwicklung und Kontrolle der Sicherheitsrichtlinien
• Berichtspflicht aller Maßnahmen zur IT-Sicherheit gegenüber der Geschäftsführung und den Mitarbeitern
• Koordination der IT-Sicherheitsziele mit den Unternehmenszielen und Abstimmung mit den einzelnen Unternehmensbereichen
• Festlegung der Sicherheitsaufgaben für die nachgeordneten Unternehmensbereiche
• Weisungsbefugnis in Fragen der IT-Sicherheit
• Kontrolle der IT-Sicherheitsmaßnahmen auf Korrektheit, Nachvollziehbarkeit, Fortschritt und Effektivität
• Koordination von unternehmensweiten Ausbildungs- und Sensibilisierungsprogrammen für die Mitarbeiter

Zuständigkeiten und Aufgaben

• Sicherheitsprozess steuern und koordinieren
• Leitung bei der Erstellung der Sicherheitsleitlinie unterstützen
• Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien koordinieren
• Realisierungspläne für Sicherheitsmaßnahmen anzufertigen sowie ihre Umsetzung zu initiieren und zu überprüfen
• Leitungsebene und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit zu berichten
• sicherheitsrelevante Projekte zu koordinieren
• sicherheitsrelevante Vorfälle zu untersuchen
• Sensibilisierungen und Schulungen zur Informationssicherheit zu initiieren und zu koordinieren

Anforderungen

Erfahrung und Wissen

• Informationstechnik
• Informationssicherheit
• Projektmanagement
• Geschäftsprozesse der Institution

Unabhängigkeit

Stabsstelle

Zur Wahrung der Unabhängigkeit sollte der ISB direkt der obersten Leitung zugeordnet sein

• Eine Integration in die IT-Abteilung kann zu Rollenkonflikten führen, da der ISB seine Verpflichtung zur Kontrolle der Sicherheitsmaßnahmen nicht frei von Beeinflussung wahrnehmen kann.
• Auch eine Personalunion mit dem Datenschutzbeauftragten ist nicht unkritisch.
• Sollte dies der Fall sein, müssen die Schnittstellen dieser beiden Aufgaben klar definiert werden, um Rollenkonflikte zu vermeiden.

Ressourcen

Ein ISB benötigt darüber hinaus ausreichend Ressourcen und Zeit für erforderliche Fortbildungen.

• Es muss einen direkten Berichtsweg zur Leitung geben, um in Konfliktfällen schnell entscheiden zu können.

Je nach Größe des Unternehmens oder der Behörde kann es auch weitere ISB etwa für verschiedene Bereiche, Standorte oder auch große Projektvorhaben der Institution geben.

Anforderungsprofil

Weitere Informationen

• zum Anforderungsprofil eines ISB finden Sie in Kapitel 4.4 des -Standards 200-2: -Grundschutz-Methodik
• Auch in den Umsetzungshinweisen zum Baustein .1 finden sich bei .1.M4 wichtige Hinweise zu den Aufgaben und dem Qualifikationsprofil des ISB.

Informationssicherheitsbeauftragte

Die Sicherheitsanforderungen im Bereich der industriellen Produktion unterscheiden sich in vielen Bereichen von denen der Büro-IT.

• Um angemessene Sicherheitsmaßnahmen für industrielle Steuerungen (Industrial Control Systems, ) zu planen, umzusetzen und zu kontrollieren, wird ein großes spezifisches Wissen über diese technischen Systeme und deren Einsatzanforderungen benötigt.
• Es ist daher sinnvoll, in Unternehmen des produzierenden Gewerbes einen hinreichend erfahrenen -Informationssicherheitsbeauftragten (-) zu ernennen.
• Dieser sollte in die Sicherheitsorganisation eingebunden sein und insbesondere mit dem eng kooperieren.

Aufgaben

• gemeinsame Ziele zwischen dem Bereich der industriellen Steuerung und dem gesamten verfolgen und Projekte aktiv unterstützen,
• allgemeine Sicherheitsvorgaben und Richtlinien für den -Bereich umsetzen,
• Risikoanalysen für den -Bereich durchführen,
• Sicherheitsmaßnahmen für den -Bereich festlegen und umsetzen,
• Sicherheitsrichtlinien und Konzepte für den -Bereich unter Berücksichtigung von Anforderungen der Funktionssicherheit („Safety”) erstellen und die Mitarbeiter schulen,
• Ansprechpartner für die Mitarbeiter vor Ort und für die gesamte Institution sein,
• Schulungen und Maßnahmen zur Sensibilisierung konzipieren,
• Sicherheitsvorfälle zusammen mit dem bearbeiten,
• Dokumentation.

In Kapitel 4.7 des BSI-Standards 200-2: -Grundschutz-Methodik finden Sie weitere Informationen zum Anforderungsprofil von IT-Informationssicherheitsbeauftragten.

Bestellung

• Aufgabenbeschreibung
• Berichtspflichten
• Befugnisse
• Einbindung in Prozesse

Position

Um dieser Aufgabe gerecht zu werden, muss er der Geschäftsführung direkt unterstellt werden

• Darf nicht in die operative IT-Administrierung involviert sein
• Die Rolle des Sicherheitsbeauftragten wird unter anderem im IT-Grundschutzkompendium des BSI definiert

ISMS Management-Team

ISMS Management-Team

Beschreibung

Team aus Zuständigen für Informationssicherheit

• In größeren Institutionen
• Informationssicherheitsbeauftragten unterstützen

Es ist für die Regelung sämtlicher übergreifender Belange der Informationssicherheit zuständig und koordiniert, berät und kontrolliert die zugehörigen Analysen, Konzepte und Richtlinien.

In einem solchen ISMS-Management-Team sollten der, sofern vorhanden der , -Verantwortliche, Zuständige für Datenschutz sowie Vertreter der Fachverfahren und Geschäftsprozesse zusammenwirken, gegebenenfalls ergänzt durch Informationssicherheitsbeauftragte, die für einzelne Bereiche, Projekte oder -Systeme (etwa die industriellen Steuerungen) benannt wurden.

• Die nachfolgende Abbildung veranschaulicht eine mögliche Organisationsstruktur:

Aufgaben

• Sicherheitsziele und -strategien festlegen sowie die Leitlinie zur Informationssicherheit entwickeln
• Umsetzung der Sicherheitsleitlinie überprüfen
• Sicherheitsprozess initiieren, steuern und kontrollieren
• Bei der Entwicklung des Sicherheitskonzepts mitwirken
• Überprüfen, ob die im Sicherheitskonzept geplanten Sicherheitsmaßnahmen geeignet und wirksam sind und wie beabsichtigt funktionieren
• Schulungs- und Sensibilisierungsprogramme für Informationssicherheit konzipieren
• Die Fachverantwortlichen, den -Betrieb, eventuell die ISB für einzelne Bereiche und den - sowie die Leitungsebene beraten.

Ob es sinnvoll ist, ein -Management-Team einzurichten oder mehrere ISBs für Bereiche oder Projekte zu benennen, hängt von der Größe einer Institution ab.

• In kleineren Institutionen genügt ein einziger mit den erforderlichen Kompetenzen ausgestatteter .

Aufbau der Sicherheitsorganisation

Modelle zum Aufbau der Sicherheitsorganisation in großen, mittelgroßen und kleinen Institutionen sowie Erläuterungen zu den Aufgaben von , - und -Management-Teams finden Sie in Kapitel 4 Organisation des Sicherheitsprozesses des -Standards 200-2: -Grundschutz-Methodik, ferner im Baustein .1 Sicherheitsmanagement des -Grundschutz-Kompendiums.

Anhang

Siehe auch

• BSI/200-2/Organisation

Dokumentation

Links

Projekt

Weblinks

Beispiel

Aufbau einer Sicherheitsorganisation

Im Beispielunternehmen RECPLAST möchte die Geschäftsführung ein verbindliches Sicherheitskonzept für das gesamte Unternehmen ausarbeiten lassen.

• Dazu müssen die vorhandenen Grundsätze und Richtlinien zur Informationssicherheit präzisiert werden.

In einem ersten Schritt wird ein Informationssicherheitsbeauftragter ernannt, der die zugehörigen Arbeiten koordinieren soll.

• Da diese Aufgabe umfangreiche IT-Kenntnisse erfordert, wird hierfür ein Mitarbeiter der Abteilung „Informationstechnik“ bestimmt, in seinen Aufgaben aber gleichzeitig der Geschäftsführung unterstellt.
• Zusätzlich ernennt diese einen IT-Informationssicherheitsbeauftragten, der Sicherheitsanforderungen und -maßnahmen für den Produktionsbereich entwickeln und kontrollieren soll.

Projekt „Sicherheitskonzept“

Danach wird ein zeitlich befristetes Projekt „Sicherheitskonzept“ eingerichtet, das folgende Ergebnisse erzielen soll:

1. Vorschläge und Entscheidungsvorlage für eine Leitlinie zur Informationssicherheit,
2. einen Vorschlag für ein Sicherheitskonzept und einen zugehörigen Realisierungsplan,
3. Vorschläge für Maßnahmen zur Aufrechterhaltung der Informationssicherheit sowie
4. Dokumentation aller Entscheidungsvorlagen, Entscheidungen und der umgesetzten Maßnahmen des Informationssicherheitsprozesses.

IT-Management-Team

Da der ISB die Geschäftsprozesse nicht im Detail kennt, wird ein IT-Management-Team gebildet

• das den und den - bei der Erstellung der Leitlinie und dem Sicherheitskonzept unterstützt.
• Ihm gehören der Datenschutzbeauftragte, der Leiter des kaufmännischen Bereichs und der Rechtsabteilung und, um Kundenanforderungen einzubeziehen, ein Mitarbeiter des Vertriebs an.
• So sind alle Geschäftsbereiche vertreten und können weitere Informationen über die Betriebsabläufe und externe Anforderungen einholen.

Betriebsrat

Das Projekt wird dem Betriebsrat vorgestellt, der regelmäßig über Zwischenergebnisse informiert wird.

• Auch die Mitarbeiter werden in einer Betriebsversammlung mit dem Projekt und seinen Zielen bekannt gemacht.

Übung

Wie lässt sich dieses Beispiel auf Ihr Unternehmen, Ihre Behörde übertragen?

• Gibt es einen IT-Sicherheitsbeauftragten, wie wurde er bestimmt, aus welchem Bereich kommt er?
• Wie ist er organisatorisch zugeordnet?
• Gibt es ein IT-Management-Team? Wie ist es besetzt?
• Falls Sie einen Produktionsbereich haben, gibt es einen -? Wie arbeitet er mit dem zusammen?

Vergleich der Regelungen

Vergleichen Sie die Regelungen in Ihrer Institution mit denen im Beispielunternehmen RECPLAST und der Darstellung im BSI-Standard 200-2: IT-Grundschutz-Methodik.

• Wo sehen Sie Unterschiede?
• Wie bewerten Sie diese?
• Sehen Sie Verbesserungsbedarf in Ihrer Organisation?