ISMS-Beauftragte
Informationssicherheitsbeauftragte (ISB) - Personen, die im Auftrag der Leitungsebene die Aufgabe Informationssicherheit koordinieren und vorantreiben
Beschreibung
- Informationssicherheitsbeauftragte sind von der Institutionsleitung ernannte Personen
- Im Auftrag der Leitungsebene die Aufgabe Informationssicherheit koordinieren und innerhalb der Behörde beziehungsweise des Unternehmens vorantreiben
- Informationssicherheitsbeauftragte sind für alle Fragen rund um die Informationssicherheit in der Institution zuständig
- Um Zuständigkeiten und Verantwortung für operative Aufgaben eindeutig zuordnen zu können, ist ein Informationssicherheitsbeauftragter (ISB) zu ernennen.
Aufgaben
- Umsetzung der Security Policies
- Aufgaben
- die unternehmensweite Verantwortung für die Erstellung, Entwicklung und Kontrolle der Sicherheitsrichtlinien
- die Berichtspflicht aller Maßnahmen zur IT-Sicherheit gegenüber der Geschäftsführung und den Mitarbeitern
- die Koordination der IT-Sicherheitsziele mit den Unternehmenszielen und Abstimmung mit den einzelnen Unternehmensbereichen
- die Festlegung der Sicherheitsaufgaben für die nachgeordneten Unternehmensbereiche
- die Weisungsbefugnis in Fragen der IT-Sicherheit
- die Kontrolle der IT-Sicherheitsmaßnahmen auf Korrektheit, Nachvollziehbarkeit, Fortschritt und Effektivität
- die Koordination von unternehmensweiten Ausbildungs- und Sensibilisierungsprogrammen für die Mitarbeiter
- Zuständigkeiten und Aufgaben
- Sicherheitsprozess steuern und koordinieren
- Leitung bei der Erstellung der Sicherheitsleitlinie unterstützen
- Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien koordinieren
- Realisierungspläne für Sicherheitsmaßnahmen anzufertigen sowie ihre Umsetzung zu initiieren und zu überprüfen
- Leitungsebene und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit zu berichten
- sicherheitsrelevante Projekte zu koordinieren
- sicherheitsrelevante Vorfälle zu untersuchen
- Sensibilisierungen und Schulungen zur Informationssicherheit zu initiieren und zu koordinieren
- Ein ISB sollte Erfahrung und Wissen sowohl auf den Gebieten der Informationssicherheit als auch der besitzen.
- Ferner sollte er die Geschäftsprozesse der Institution kennen.
- Zur Wahrung der Unabhängigkeit sollte der ISB direkt der obersten Leitung zugeordnet sein
- Eine Integration in die -Abteilung kann zu Rollenkonflikten führen, da der ISB seine Verpflichtung zur Kontrolle der Sicherheitsmaßnahmen nicht frei von Beeinflussung wahrnehmen kann.
- Auch eine Personalunion mit dem Datenschutzbeauftragten ist nicht unkritisch.
- Sollte dies der Fall sein, müssen die Schnittstellen dieser beiden Aufgaben klar definiert werden, um Rollenkonflikte zu vermeiden.
- Ein ISB benötigt darüber hinaus ausreichend Ressourcen und Zeit für erforderliche Fortbildungen.
- Es muss einen direkten Berichtsweg zur Leitung geben, um in Konfliktfällen schnell entscheiden zu können.
- Je nach Größe des Unternehmens oder der Behörde kann es auch weitere ISB etwa für verschiedene Bereiche, Standorte oder auch große Projektvorhaben der Institution geben.
- Anforderungsprofil
Weitere Informationen
- zum Anforderungsprofil eines ISB finden Sie in Kapitel 4.4 des -Standards 200-2: -Grundschutz-Methodik
- Auch in den Umsetzungshinweisen zum Baustein .1 finden sich bei .1.M4 wichtige Hinweise zu den Aufgaben und dem Qualifikationsprofil des ISB.
- Informationssicherheitsbeauftragte
Die Sicherheitsanforderungen im Bereich der industriellen Produktion unterscheiden sich in vielen Bereichen von denen der Büro-IT.
- Um angemessene Sicherheitsmaßnahmen für industrielle Steuerungen (Industrial Control Systems, ) zu planen, umzusetzen und zu kontrollieren, wird ein großes spezifisches Wissen über diese technischen Systeme und deren Einsatzanforderungen benötigt.
- Es ist daher sinnvoll, in Unternehmen des produzierenden Gewerbes einen hinreichend erfahrenen -Informationssicherheitsbeauftragten (-) zu ernennen.
- Dieser sollte in die Sicherheitsorganisation eingebunden sein und insbesondere mit dem eng kooperieren.
- Aufgaben
- gemeinsame Ziele zwischen dem Bereich der industriellen Steuerung und dem gesamten verfolgen und Projekte aktiv unterstützen,
- allgemeine Sicherheitsvorgaben und Richtlinien für den -Bereich umsetzen,
- Risikoanalysen für den -Bereich durchführen,
- Sicherheitsmaßnahmen für den -Bereich festlegen und umsetzen,
- Sicherheitsrichtlinien und Konzepte für den -Bereich unter Berücksichtigung von Anforderungen der Funktionssicherheit („Safety”) erstellen und die Mitarbeiter schulen,
- Ansprechpartner für die Mitarbeiter vor Ort und für die gesamte Institution sein,
- Schulungen und Maßnahmen zur Sensibilisierung konzipieren,
- Sicherheitsvorfälle zusammen mit dem bearbeiten,
- Dokumentation.
In Kapitel 4.7 des BSI-Standards 200-2: -Grundschutz-Methodik finden Sie weitere Informationen zum Anforderungsprofil von IT-Informationssicherheitsbeauftragten.
Bestellung
Position
- Um dieser Aufgabe gerecht zu werden, muss er der Geschäftsführung direkt unterstellt werden
- Darf nicht in die operative IT-Administrierung involviert sein
- Die Rolle des Sicherheitsbeauftragten wird unter anderem im IT-Grundschutzkompendium des BSI definiert
Anhang
Siehe auch