ISO 27001:2005 – Organisation der Informationssicherheit

Bestimmungen und Tipps für das Sicherheits-Management in Unternehmen

Seite: 3/4

Anbieter zum Thema

Der IT-Sicherheitsbeauftragte und der Datenschutzbeauftragte

Laut ISO 17799:2005 sollte die Aufsicht der Überarbeitung und Überwachung eine Person übernehmen, die eine „Besitzerfunktion“ der Informationssicherheits-Richtlinien übernimmt. Es spricht also laut ISO nichts dagegen, den Datenschutzbeauftragten nach Deutschem Recht auch diese Funktion zu übergeben.

Das BSI benennt neben dem Datenschutzbeauftragten auch den IT-Sicherheitsbeauftragten, um im gleichen Atemzug zu erläutern, dass beide Rollen sich nicht grundsätzlich ausschließen. Eine potentielle Gefahr liege in „konfliktträchtigen Themen“ (Quelle BSI 100-2) und ungenügend zeitlichen Ressourcen. Wie diese Themen aussehen könnten, beschreibt das BSI an dieser Stelle allerdings nicht.

Bildergalerie

In kleineren Organisationen wird aus Personalmangel ohnehin meist nur ein Mitarbeiter zur IT-Sicherheit abgestellt. Nur eines sollte der Beauftragte nicht sein: Administrator! Denn auch hier dürfen keine Interessenskonflikte vorkommen. Von der Rolle des Laien oder eines Anwenders ganz zu schweigen.

Block B: Externe Parteien – Zusammenspiel interner- und externer IT-Sicherheitsstrukturen

Auch wenn die IT-Sicherheit komplett einem Dritten übergeben wird – die Unternehmensführung bzw. die haftenden Gesellschafter sind nicht automatisch aus der Pflicht entlassen. Sie haben trotzdem für den ordnungsgemäßen Ablauf des ISMS zu sorgen, indem Kontrollen über die externe Dienstleistung durchgeführt werden. An dieser Stelle darf auch noch einmal auf das PDCA-Modell (siehe Abbildung 2) hingewiesen werden, das jede Aufgabe bzw. Kontrollziel durchläuft.

ISO 17799:2005 und ISO 27001:2005 beschreiben insgesamt drei Ziele:

1. Identifizieren von Risiken, die durch externe Parteien hervorgerufen werden können

2. Behandlung der IT-Sicherheit in Verbindung mit Geschäftspartnern

3. Behandlung der IT-Sicherheit bei „Third Party Agreements“

Risiken durch externe Parteien

Wenn eine Organisation das Allerheiligste – nämlich den Schutz der Betriebsgeheimnisse – in dritte Hände übergibt, müssen vor Beginn dieser Allianz spezielle Sicherheitsrichtlinien erstellt werden. Die ohnehin zu erstellende Risikoabschätzung muss um die Rolle des externen Partners erweitert werden.

Fragen nach den involvierten Mitarbeitern des Sicherheitsunternehmens, Führungszeugnissen, Fachkenntnissen und Befugnisse sind genauso zu klären, wie mögliche Haftungen, die einen Missbrauch seitens dieser Personen mit sich ziehen. Genaue Kontrollen (Liste, siehe ISO-Norm) über den Sicherheitsstand des ISMS seitens der auftraggebenden Organisation sind unerlässlich.

Seite 4: IT-Sicherheit in Verbindung mit Geschäftspartnern

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Artikelfiles und Artikellinks

(ID:2006353)