Definition Chief Information Security Officer (CISO) / Chief Security Officer (CSO)

Was ist ein CISO / CSO?

| Autor / Redakteur: Tutanch / Peter Schmitz

Der Chief Information Security Officer (CISO) ist verantwortlich für die Informationssicherheit im Unternehmen.
Der Chief Information Security Officer (CISO) ist verantwortlich für die Informationssicherheit im Unternehmen. (Bild: Pixabay / CC0)

Der Chief Information Security Officer (CISO) übernimmt in einem Unternehmen oder einer Organisation die Rolle des Verantwortlichen für die Informationssicherheit. Er ist Teil der Geschäftsführung und stellt sicher, dass Informationen und Technologien geschützt sind.

Die Abkürzung CISO steht für den englischen Begriff Chief Information Security Officer und bezeichnet eine Position in einer Organisation oder einem Unternehmen, die für die Sicherheit von Informationen und der Informationstechnologie verantwortlich ist. Je nach Unternehmen oder Organisation können die Aufgaben des CISO variieren. Oft lassen sie sich aus Standards oder Normen zur Informationssicherheit ableiten. Als Teil der Geschäftsführung berichtet der Chief Information Security Officer in der Regel direkt dem Chief Executive Officer (CEO). Die IT-Sicherheit stellt nur ein Teil der Aufgaben eines CISO dar. Es kommen weitere Aufgaben im Risikomanagement und der Sicherung aller Informationswerte (auch Informationen auf Papier und in anderen Formen) hinzu. Zertifizierungslehrgänge versetzen den CISO in die Lage, seine Aufgaben zu identifizieren und durchzuführen.

Die verschiedenen Aufgaben eines Chief Information Security Officer

Ein Chief Information Security Officer hat eine Vielzahl an Aufgaben zu erfüllen, die von Organisation zu Organisation unterschiedlich ausfallen können. Hier ein kurzer Überblick über die wichtigsten Aufgaben des CISO:

  • Identifizierung aller sicherheitsrelevanten Prozesse der Organisation
  • Durchführung von Audits, um den Stand der Umsetzung von Sicherheitsvorschriften zu ermitteln
  • Festlegung des Geltungsbereichs der sicherheitsrelevanten Maßnahmen
  • Aufstellen von Richtlinien und Zielen für die Sicherheit
  • Durchführung von Risikoanalysen und Ableitung von Maßnahmen
  • Etablierung eines Managementsystemes zur Informationssicherheit (ISMS - Information Security Management System)
  • Aufstellen, Bearbeiten und Anpassen von Sicherheitsvorgaben
  • Schaffung eines Problembewusstseins im Umgang mit Informationen und Informationstechnik
  • Aufbau einer Organisationseinheit, die die Sicherheitsziele umsetzt
  • Durchführung von Trainings und Kampagnen der Informationssicherheit
  • Sicherstellung des Datenschutzes
  • Beaufsichtigung des Access- und Identity-Managements
  • Zusammenarbeit mit anderen Führungskräften und dem Chief Security Officer (CSO) oder Chief Information Officer (CIO)

Abgrenzung von CISO, CSO und CIO

Oft werden die Stellenbeschreibungen des Chief Information Security Officer (CISO), Chief Security Officer (CSO) und des Chief Information Officer (CIO) in ähnlichen Zusammenhängen verwendet. In gewissen Bereichen kann es zu Überschneidungen der Aufgaben kommen. Die drei Rollen lassen sich dennoch deutlich voneinander abgrenzen. Während der Fokus des CISO auf der Sicherheit von Informationen und Daten liegt, steht beim CSO (Chief Security Officer) mehr die Sicherheit der technischen und physischen Infrastruktur im Vordergrund. Dazu zählen der Gebäudeschutz, der Personenschutz, der Brandschutz, der Schutz vor Einbrüchen oder die Terrorabwehr. Die Hierarchie betreffend befinden sich CISO und CSO auf der gleichen Ebene. Der CIO (Chief Information Manager) ist für den reibungslosen Betrieb der ITK-Infrastruktur zuständig.

Ausbildung und Zertifizierung des Chief Information Security Officers

Eine konkrete Ausbildung zum CISO existiert nicht. Meist übernehmen Spezialisten und Führungskräfte aus dem Bereich der Informationssicherheit diese Rolle in einer Organisation. Mit Hilfe von Zertifikaten lässt sich die Eignung und Kompetenz des Chief Information Security Officers nachweisen. Folgende Zertifizierungen sind in diesem Bereich verfügbar:

  • der Certified Information Systems Security Professional (CISSP) - entwickelt vom ISC2 (International Information Systems Security Certification Consortium)
  • der Teletrust Information Security Professional (TISP) - angeboten vom Bundesverband IT-Sicherheit Teletrust
  • der Certified Information Security Manager (CISM) - angeboten von der Information Systems Audit and Control Association (ISACA)
  • der Certified Information Systems Auditor (CISA) - angeboten von der Information Systems Audit and Control Association (ISACA)

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Unternehmen fehlt der Einblick in ihre Cyberrisiken

Führungskräfte oft ahnungslos

Unternehmen fehlt der Einblick in ihre Cyberrisiken

Fast zwei Drittel aller Unternehmen weltweit haben in den letzten zwei Jahren einen Cyber-Vorfall erlebt, der den Geschäftsbetrieb durch erhebliche Störungen und Ausfallzeiten bei Geschäftsprozessen, Produktions- oder Betriebsmitteln geschädigt hat. Das zeigt der neue Report „Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb” des Security-Anbieters Tenable. lesen

Kein Kuschelkurs mehr bei Security Awareness

Paradigmenwechsel bei SecAware

Kein Kuschelkurs mehr bei Security Awareness

Security Awareness (SecAware) hat sich auf die Fahnen geschrieben, den User hinsichtlich Cyberbedrohungen zur „Last Line Of Defense“ (LLOD) zu machen. Eine anspruchsvolle Aufgabe, denn zahlreiche Bedrohungen klopfen an die Gateway-Systeme der Unternehmen aber auch Privatpersonen und mancher Attacke gelingt es die Schutzmauern zu überwinden. lesen

Sicherheit braucht einen Perspektivenwechsel

Security-Trends 2019

Sicherheit braucht einen Perspektivenwechsel

Für einen reibungslosen Ablauf kritischer Geschäftsprozesse ist Business Resilience nach Ansicht mancher Security-Experten unumgänglich, damit Unternehmen bei Cyber-Angriffen in Echtzeit reagieren können. IT- und Sicherheits-Teams sollten sich im neuen Jahr besonders drei Aspekten widmen: der Plattform-Architektur, einem datenorientierten Sicherheits­ansatz und bereichsübergreifender Zusammenarbeit. lesen

Neue Sicherheits-Features für AWS

AWS-Security

Neue Sicherheits-Features für AWS

Mit neuen Sicherheits- und Management-Services wie Control Tower, Security Hub und Lake Formation will AWS seinen Kunden ermöglichen, die genutzten Dienste einfacher zu schützen und zu überwachen. Auch für Blockchain-Interessenten hat AWS jetzt zwei Service-Varianten angekündigt. lesen

O du fröhliche Malware-Zeit

Fortinet Threat Landscape Report

O du fröhliche Malware-Zeit

Die Weihnachtszeit rückt näher – und mit ihr auch die Zeit verstärkter Malware-Angriffe auf mobile Endgeräte. Zu diesem Ergebnis kam Fortinet in seinem Global Threat Landscape Report. Die Studie zeigt auch, wodurch mobile Endgeräte am stärksten bedroht werden und warum die Weihnachtszeit Malware-Zeit ist. lesen

CISOs und die Cloud

Cloud-Computing als Sicherheitsrisiko

CISOs und die Cloud

Der zunehmende Einsatz von Cloud-Technologien in Unternehmen stellt CISOs vor neue Herausforderungen. Eine weltweite Kaspersky-Studie zeigt: 57 Prozent der Chief Information Security Officers fühlen sich aufgrund komplexer IT-Architekturen wie Cloud unter Druck gesetzt. Sogar 58 Prozent sind der Meinung, dass Cloud-Computing sowie deren unkontrollierte Nutzung – wie Schatten-IT – im Unternehmen ein Risiko für die IT-Sicherheit darstellen. lesen

Sicherheits-Updates, Windows 10 1809 und Server 2019

Microsoft Patchday November 2018

Sicherheits-Updates, Windows 10 1809 und Server 2019

Neben Updates für die noch unterstützten Versionen von Windows 10, erscheinen am am November-Patchday auch Windows 10 Version 1809 und Windows Server 2019 erneut auf der Bildfläche. Das gilt auch für Windows Server 1809. Die kumulativen Patches für Windows 10 beheben Sicherheitslücken in Windows und dem Browser Edge. Aber auch PowerShell Core und Office werden aktualisiert. lesen

CISOs haben bei IoT zu wenig Mitspracherecht

Sicherheitsexperten und IoT-Projekte

CISOs haben bei IoT zu wenig Mitspracherecht

Eine weltweite Umfrage von Trend Micro zeigt, dass CISOs und Sicherheitsexperten nur für 38 Prozent der IoT-Projekte in Unternehmen kon­sultiert werden. Fast 33 Prozent der Befragten geben an, dass ihnen nicht bekannt ist, wer in ihrem Unternehmen für IoT-Sicherheit verant­wortlich ist. Unternehmen berichten von durch­schnittlich drei Angriffen auf vernetzte Industrie­anlagen im vergangenen Jahr. lesen

CISO-Aufgaben lassen sich nicht mehr nebenbei erfüllen

IT-Sicherheitsverantwortlicher ist kein Nebenjob

CISO-Aufgaben lassen sich nicht mehr nebenbei erfüllen

Obwohl die Sicherheitsbedrohungen immer weiter steigen, wird in vielen Unternehmen die Funktion der CISOs nur ergänzend zu weiteren Aufgaben ausgeübt. Das Beratungs­un­ter­neh­men Carmao plädiert deshalb für eine angemessene Neupositionierung der IT-Sicher­heits­verantwortlichen. Um deren Rolle mehr Gewicht zu verleihen, hat Carmao einen neuen CISO Award ins Leben gerufen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45060552 / Definitionen)