BSI/200-2/Organisation
Sicherheitsorganisation - Aufbauorganisation
Leitungsebene
- Verantwortung und Aufgaben
Ob eine Institution ein gutes einführt und kontinuierlich weiterentwickelt, hängt im Wesentlichen davon ab, wie die oberste Leitungsebene ihre Aufgaben und ihre Verantwortung wahrnimmt.
- Pflichten
- Kennen der Risiken bei Verletzung der Informationssicherheit
- Rahmen setzen und grundlegende Entscheidungen zum Umgang mit diesen Risiken treffen
- Initiieren, steuern und kontrollieren des Sicherheitsprozesses
- Ermöglichen, dass Informationssicherheit in alle Prozesse und Projekte der Institution integriert wird
- Ressourcen (Personal, Budget, Zeit) für das Sicherheitsmanagement bereitstellen
- Kosten und Nutzen abwägen
- Vorbild durch sicherheitsgemäßes Verhalten
- Gesamtverantwortung
Die oberste Leitungsebene trägt die Gesamtverantwortung für ein angemessenes ISMS.
- Auch, wenn sie operative Aufgaben delegiert und die Mitarbeiter zu sicherheitsbewusstem Verhalten anhält, entbindet sie dies nicht von der Gesamtverantwortung.
Informationssicherheitsbeauftragte
Informationssicherheitsbeauftragte - Personen, die im Auftrag der Leitungsebene die Aufgabe Informationssicherheit koordinieren und vorantreiben
Beschreibung
- Informationssicherheitsbeauftragte (ISB)
Von der Institutionsleitung ernannt
- Im Auftrag der Leitungsebene handelnd
Aufgabe Informationssicherheit koordinieren
- Innerhalb der Einrichtung vorantreiben
- Zuständigkeit
Alle Fragen rund um die Informationssicherheit der Institution
- Notwendigkeit
Um Zuständigkeiten und Verantwortung für operative Aufgaben eindeutig zuordnen zu können, ist ein Informationssicherheitsbeauftragter (ISB) zu ernennen.
Aufgaben
- Umsetzung der Security Policies
- Aufgaben
- unternehmensweite Verantwortung für die Erstellung, Entwicklung und Kontrolle der Sicherheitsrichtlinien
- Berichtspflicht aller Maßnahmen zur IT-Sicherheit gegenüber der Geschäftsführung und den Mitarbeitern
- Koordination der IT-Sicherheitsziele mit den Unternehmenszielen und Abstimmung mit den einzelnen Unternehmensbereichen
- Festlegung der Sicherheitsaufgaben für die nachgeordneten Unternehmensbereiche
- Weisungsbefugnis in Fragen der IT-Sicherheit
- Kontrolle der IT-Sicherheitsmaßnahmen auf Korrektheit, Nachvollziehbarkeit, Fortschritt und Effektivität
- Koordination von unternehmensweiten Ausbildungs- und Sensibilisierungsprogrammen für die Mitarbeiter
- Zuständigkeiten und Aufgaben
- Sicherheitsprozess steuern und koordinieren
- Leitung bei der Erstellung der Sicherheitsleitlinie unterstützen
- Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien koordinieren
- Realisierungspläne für Sicherheitsmaßnahmen anzufertigen sowie ihre Umsetzung zu initiieren und zu überprüfen
- Leitungsebene und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit zu berichten
- sicherheitsrelevante Projekte zu koordinieren
- sicherheitsrelevante Vorfälle zu untersuchen
- Sensibilisierungen und Schulungen zur Informationssicherheit zu initiieren und zu koordinieren
Anforderungen
- Erfahrung und Wissen
- Informationstechnik
- Informationssicherheit
- Projektmanagement
- Geschäftsprozesse der Institution
Unabhängigkeit
- Stabsstelle
Zur Wahrung der Unabhängigkeit sollte der ISB direkt der obersten Leitung zugeordnet sein
- Eine Integration in die IT-Abteilung kann zu Rollenkonflikten führen, da der ISB seine Verpflichtung zur Kontrolle der Sicherheitsmaßnahmen nicht frei von Beeinflussung wahrnehmen kann.
- Auch eine Personalunion mit dem Datenschutzbeauftragten ist nicht unkritisch.
- Sollte dies der Fall sein, müssen die Schnittstellen dieser beiden Aufgaben klar definiert werden, um Rollenkonflikte zu vermeiden.
Ressourcen
- Ein ISB benötigt darüber hinaus ausreichend Ressourcen und Zeit für erforderliche Fortbildungen.
- Es muss einen direkten Berichtsweg zur Leitung geben, um in Konfliktfällen schnell entscheiden zu können.
- Je nach Größe des Unternehmens oder der Behörde kann es auch weitere ISB etwa für verschiedene Bereiche, Standorte oder auch große Projektvorhaben der Institution geben.
- Anforderungsprofil
Weitere Informationen
- zum Anforderungsprofil eines ISB finden Sie in Kapitel 4.4 des -Standards 200-2: -Grundschutz-Methodik
- Auch in den Umsetzungshinweisen zum Baustein .1 finden sich bei .1.M4 wichtige Hinweise zu den Aufgaben und dem Qualifikationsprofil des ISB.
- Informationssicherheitsbeauftragte
Die Sicherheitsanforderungen im Bereich der industriellen Produktion unterscheiden sich in vielen Bereichen von denen der Büro-IT.
- Um angemessene Sicherheitsmaßnahmen für industrielle Steuerungen (Industrial Control Systems, ) zu planen, umzusetzen und zu kontrollieren, wird ein großes spezifisches Wissen über diese technischen Systeme und deren Einsatzanforderungen benötigt.
- Es ist daher sinnvoll, in Unternehmen des produzierenden Gewerbes einen hinreichend erfahrenen -Informationssicherheitsbeauftragten (-) zu ernennen.
- Dieser sollte in die Sicherheitsorganisation eingebunden sein und insbesondere mit dem eng kooperieren.
- Aufgaben
- gemeinsame Ziele zwischen dem Bereich der industriellen Steuerung und dem gesamten verfolgen und Projekte aktiv unterstützen,
- allgemeine Sicherheitsvorgaben und Richtlinien für den -Bereich umsetzen,
- Risikoanalysen für den -Bereich durchführen,
- Sicherheitsmaßnahmen für den -Bereich festlegen und umsetzen,
- Sicherheitsrichtlinien und Konzepte für den -Bereich unter Berücksichtigung von Anforderungen der Funktionssicherheit („Safety”) erstellen und die Mitarbeiter schulen,
- Ansprechpartner für die Mitarbeiter vor Ort und für die gesamte Institution sein,
- Schulungen und Maßnahmen zur Sensibilisierung konzipieren,
- Sicherheitsvorfälle zusammen mit dem bearbeiten,
- Dokumentation.
In Kapitel 4.7 des BSI-Standards 200-2: -Grundschutz-Methodik finden Sie weitere Informationen zum Anforderungsprofil von IT-Informationssicherheitsbeauftragten.
Bestellung
- Aufgabenbeschreibung
- Berichtspflichten
- Befugnisse
- Einbindung in Prozesse
Position
- Um dieser Aufgabe gerecht zu werden, muss er der Geschäftsführung direkt unterstellt werden
- Darf nicht in die operative IT-Administrierung involviert sein
- Die Rolle des Sicherheitsbeauftragten wird unter anderem im IT-Grundschutzkompendium des BSI definiert
ISMS Management-Team
ISMS Management-Team
Beschreibung
- Team aus Zuständigen für Informationssicherheit
- In größeren Institutionen
- Informationssicherheitsbeauftragten unterstützen
Es ist für die Regelung sämtlicher übergreifender Belange der Informationssicherheit zuständig und koordiniert, berät und kontrolliert die zugehörigen Analysen, Konzepte und Richtlinien.
In einem solchen ISMS-Management-Team sollten der, sofern vorhanden der , -Verantwortliche, Zuständige für Datenschutz sowie Vertreter der Fachverfahren und Geschäftsprozesse zusammenwirken, gegebenenfalls ergänzt durch Informationssicherheitsbeauftragte, die für einzelne Bereiche, Projekte oder -Systeme (etwa die industriellen Steuerungen) benannt wurden.
- Die nachfolgende Abbildung veranschaulicht eine mögliche Organisationsstruktur:
Aufgaben
- Sicherheitsziele und -strategien festlegen sowie die Leitlinie zur Informationssicherheit entwickeln
- Umsetzung der Sicherheitsleitlinie überprüfen
- Sicherheitsprozess initiieren, steuern und kontrollieren
- Bei der Entwicklung des Sicherheitskonzepts mitwirken
- Überprüfen, ob die im Sicherheitskonzept geplanten Sicherheitsmaßnahmen geeignet und wirksam sind und wie beabsichtigt funktionieren
- Schulungs- und Sensibilisierungsprogramme für Informationssicherheit konzipieren
- Die Fachverantwortlichen, den -Betrieb, eventuell die ISB für einzelne Bereiche und den - sowie die Leitungsebene beraten.
- Ob es sinnvoll ist, ein -Management-Team einzurichten oder mehrere ISBs für Bereiche oder Projekte zu benennen, hängt von der Größe einer Institution ab.
- In kleineren Institutionen genügt ein einziger mit den erforderlichen Kompetenzen ausgestatteter .
- Aufbau der Sicherheitsorganisation
Modelle zum Aufbau der Sicherheitsorganisation in großen, mittelgroßen und kleinen Institutionen sowie Erläuterungen zu den Aufgaben von , - und -Management-Teams finden Sie in Kapitel 4 Organisation des Sicherheitsprozesses des -Standards 200-2: -Grundschutz-Methodik, ferner im Baustein .1 Sicherheitsmanagement des -Grundschutz-Kompendiums.
Anhang
Siehe auch
Dokumentation
Links
Projekt
Weblinks
Beispiel
Aufbau einer Sicherheitsorganisation
Im Beispielunternehmen RECPLAST möchte die Geschäftsführung ein verbindliches Sicherheitskonzept für das gesamte Unternehmen ausarbeiten lassen.
- Dazu müssen die vorhandenen Grundsätze und Richtlinien zur Informationssicherheit präzisiert werden.
- In einem ersten Schritt wird ein Informationssicherheitsbeauftragter ernannt, der die zugehörigen Arbeiten koordinieren soll.
- Da diese Aufgabe umfangreiche IT-Kenntnisse erfordert, wird hierfür ein Mitarbeiter der Abteilung „Informationstechnik“ bestimmt, in seinen Aufgaben aber gleichzeitig der Geschäftsführung unterstellt.
- Zusätzlich ernennt diese einen IT-Informationssicherheitsbeauftragten, der Sicherheitsanforderungen und -maßnahmen für den Produktionsbereich entwickeln und kontrollieren soll.
- Projekt „Sicherheitskonzept“
Danach wird ein zeitlich befristetes Projekt „Sicherheitskonzept“ eingerichtet, das folgende Ergebnisse erzielen soll:
- Vorschläge und Entscheidungsvorlage für eine Leitlinie zur Informationssicherheit,
- einen Vorschlag für ein Sicherheitskonzept und einen zugehörigen Realisierungsplan,
- Vorschläge für Maßnahmen zur Aufrechterhaltung der Informationssicherheit sowie
- Dokumentation aller Entscheidungsvorlagen, Entscheidungen und der umgesetzten Maßnahmen des Informationssicherheitsprozesses.
- IT-Management-Team
- Da der ISB die Geschäftsprozesse nicht im Detail kennt, wird ein IT-Management-Team gebildet
- das den und den - bei der Erstellung der Leitlinie und dem Sicherheitskonzept unterstützt.
- Ihm gehören der Datenschutzbeauftragte, der Leiter des kaufmännischen Bereichs und der Rechtsabteilung und, um Kundenanforderungen einzubeziehen, ein Mitarbeiter des Vertriebs an.
- So sind alle Geschäftsbereiche vertreten und können weitere Informationen über die Betriebsabläufe und externe Anforderungen einholen.
- Betriebsrat
Das Projekt wird dem Betriebsrat vorgestellt, der regelmäßig über Zwischenergebnisse informiert wird.
- Auch die Mitarbeiter werden in einer Betriebsversammlung mit dem Projekt und seinen Zielen bekannt gemacht.
Übung
- Wie lässt sich dieses Beispiel auf Ihr Unternehmen, Ihre Behörde übertragen?
- Gibt es einen IT-Sicherheitsbeauftragten, wie wurde er bestimmt, aus welchem Bereich kommt er?
- Wie ist er organisatorisch zugeordnet?
- Gibt es ein IT-Management-Team? Wie ist es besetzt?
- Falls Sie einen Produktionsbereich haben, gibt es einen -? Wie arbeitet er mit dem zusammen?
- Vergleich der Regelungen
Vergleichen Sie die Regelungen in Ihrer Institution mit denen im Beispielunternehmen RECPLAST und der Darstellung im BSI-Standard 200-2: IT-Grundschutz-Methodik.
- Wo sehen Sie Unterschiede?
- Wie bewerten Sie diese?
- Sehen Sie Verbesserungsbedarf in Ihrer Organisation?