ISO 27001:2005 – Organisation der Informationssicherheit

Bestimmungen und Tipps für das Sicherheits-Management in Unternehmen

Seite: 2/4

Anbieter zum Thema

Beispiel einer Organisation für Informationssicherheit

Je nach Organisationsgröße bieten sich verschiedene Möglichkeiten für den Aufbau eines IT-Sicherheitsmanagements an. Die Abbildung 1 in der Bildergalerie greift einen Ansatz des BSI auf und zeigt eine mögliche Realisation für eine große Organisation – mit der kleinen Änderung, dass der „IT-Koordinationsausschuss“ und das „IT-Sicherheitsmanagement-Team“ hier an einem Tisch sitzen.

Das IT-Sicherheitsmanagement-Team hat die Aufgabe, Ziele und Strategien zu bestimmen und die IT-Sicherheitsrichtlinie zu entwickeln und zu überprüfen. Weiterhin berät das Team den IT-Koordinierungsausschuss und die Firmenleitung in allen Sicherheitsfragen.

Bildergalerie

Das Team wird daher am besten mit Mitarbeitern besetzt, die sowohl das technische, als auch das organisatorische Know-How mitbringen. Ebenso sollte mindestens ein Vertreter der Anwender vertreten sein. Idealerweise sind die Mitglieder hauptamtlich mit dieser Tätigkeit beschäftigt. Ist dies nicht möglich, sollte auf eine ausreichende Freistellung geachtet werden. Ebenso darf kein Interessenskonflikt zu anderen Tätigkeiten vorkommen.

Eine unglückliche Konstellation besteht immer dann, wenn der Kontrolleur auch Administrator in Personalunion ist. Ist dies nicht gegeben, spricht nichts gegen eine Doppelbesetzung von Ämtern, was auch in Abbildung 1 mit dem Koordinationsausschuss und dem IT-Sicherheitsmanagement-Team verdeutlicht ist.

Verantwortliche von Zeit zu Zeit aufeinander abstimmen

Der Koordinationsausschuss ist laut BSI keine Dauereinrichtung, sondern wird bei Bedarf zusammenberufen. Er stellt – wie der Name schon besagt – die Koordination zwischen IT-Sicherheitsmanagement-Team, Anwendervertreter, IT-Sicherheitsbeauftragten und der Unternehmensführung her.

Je nach Organisationsstruktur können dem „Chef-Sicherheitsbeauftragten“ diverse Security-Beauftragte zuarbeiten und lokale Sicherheitsrichtlinien ausführen. Die Delegierung erfolgt auf System- oder Projektebene. Aber auch ein Sicherheitsbeauftragter vor Ort, d. h. in einer Filiale oder Werk, ist manchmal sinnvoll.

Eventuell verschmilzt je nach Größe der Organisation die Bereichsebene (siehe Abbildung 1) mit der Gesamtorganisationsebene. Bei kleinen Institutionen oder Firmen kann letztendlich eine IT-Sicherheitsorganisation „nur“ aus Firmenleitung und IT-Sicherheits-/Datenschutzbeauftragten bestehen.

Seite 3: Der IT-Sicherheitsbeauftragte und der Datenschutzbeauftragte

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Artikelfiles und Artikellinks

(ID:2006353)