Definition Chief Information Security Officer (CISO) / Chief Security Officer (CSO)

Was ist ein CISO / CSO?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Der Chief Information Security Officer (CISO) ist verantwortlich für die Informationssicherheit im Unternehmen.
Der Chief Information Security Officer (CISO) ist verantwortlich für die Informationssicherheit im Unternehmen. (Bild: Pixabay / CC0)

Der Chief Information Security Officer (CISO) übernimmt in einem Unternehmen oder einer Organisation die Rolle des Verantwortlichen für die Informationssicherheit. Er ist Teil der Geschäftsführung und stellt sicher, dass Informationen und Technologien geschützt sind.

Die Abkürzung CISO steht für den englischen Begriff Chief Information Security Officer und bezeichnet eine Position in einer Organisation oder einem Unternehmen, die für die Sicherheit von Informationen und der Informationstechnologie verantwortlich ist. Je nach Unternehmen oder Organisation können die Aufgaben des CISO variieren. Oft lassen sie sich aus Standards oder Normen zur Informationssicherheit ableiten. Als Teil der Geschäftsführung berichtet der Chief Information Security Officer in der Regel direkt dem Chief Executive Officer (CEO). Die IT-Sicherheit stellt nur ein Teil der Aufgaben eines CISO dar. Es kommen weitere Aufgaben im Risikomanagement und der Sicherung aller Informationswerte (auch Informationen auf Papier und in anderen Formen) hinzu. Zertifizierungslehrgänge versetzen den CISO in die Lage, seine Aufgaben zu identifizieren und durchzuführen.

Die verschiedenen Aufgaben eines Chief Information Security Officer

Ein Chief Information Security Officer hat eine Vielzahl an Aufgaben zu erfüllen, die von Organisation zu Organisation unterschiedlich ausfallen können. Hier ein kurzer Überblick über die wichtigsten Aufgaben des CISO:

  • Identifizierung aller sicherheitsrelevanten Prozesse der Organisation
  • Durchführung von Audits, um den Stand der Umsetzung von Sicherheitsvorschriften zu ermitteln
  • Festlegung des Geltungsbereichs der sicherheitsrelevanten Maßnahmen
  • Aufstellen von Richtlinien und Zielen für die Sicherheit
  • Durchführung von Risikoanalysen und Ableitung von Maßnahmen
  • Etablierung eines Managementsystemes zur Informationssicherheit (ISMS - Information Security Management System)
  • Aufstellen, Bearbeiten und Anpassen von Sicherheitsvorgaben
  • Schaffung eines Problembewusstseins im Umgang mit Informationen und Informationstechnik
  • Aufbau einer Organisationseinheit, die die Sicherheitsziele umsetzt
  • Durchführung von Trainings und Kampagnen der Informationssicherheit
  • Sicherstellung des Datenschutzes
  • Beaufsichtigung des Access- und Identity-Managements
  • Zusammenarbeit mit anderen Führungskräften und dem Chief Security Officer (CSO) oder Chief Information Officer (CIO)

Abgrenzung von CISO, CSO und CIO

Oft werden die Stellenbeschreibungen des Chief Information Security Officer (CISO), Chief Security Officer (CSO) und des Chief Information Officer (CIO) in ähnlichen Zusammenhängen verwendet. In gewissen Bereichen kann es zu Überschneidungen der Aufgaben kommen. Die drei Rollen lassen sich dennoch deutlich voneinander abgrenzen. Während der Fokus des CISO auf der Sicherheit von Informationen und Daten liegt, steht beim CSO (Chief Security Officer) mehr die Sicherheit der technischen und physischen Infrastruktur im Vordergrund. Dazu zählen der Gebäudeschutz, der Personenschutz, der Brandschutz, der Schutz vor Einbrüchen oder die Terrorabwehr. Die Hierarchie betreffend befinden sich CISO und CSO auf der gleichen Ebene. Der CIO (Chief Information Manager) ist für den reibungslosen Betrieb der ITK-Infrastruktur zuständig.

Ausbildung und Zertifizierung des Chief Information Security Officers

Eine konkrete Ausbildung zum CISO existiert nicht. Meist übernehmen Spezialisten und Führungskräfte aus dem Bereich der Informationssicherheit diese Rolle in einer Organisation. Mit Hilfe von Zertifikaten lässt sich die Eignung und Kompetenz des Chief Information Security Officers nachweisen. Folgende Zertifizierungen sind in diesem Bereich verfügbar:

  • der Certified Information Systems Security Professional (CISSP) - entwickelt vom ISC2 (International Information Systems Security Certification Consortium)
  • der Teletrust Information Security Professional (TISP) - angeboten vom Bundesverband IT-Sicherheit Teletrust
  • der Certified Information Security Manager (CISM) - angeboten von der Information Systems Audit and Control Association (ISACA)
  • der Certified Information Systems Auditor (CISA) - angeboten von der Information Systems Audit and Control Association (ISACA)

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Künstliche Intelligenz – Freund oder Feind?

KI in der Cybersecurity

Künstliche Intelligenz – Freund oder Feind?

Durch Algorithmen können Maschinen aus Erfahrung lernen und sich an neue Situationen anpassen, indem sie große Datenmengen verarbeiten. Dabei erkennen sie Muster in den Daten und können so menschenähnliche Aufgaben erfüllen. Phishing-Angriffe, die auf künstlicher Intelligenz basieren, können so zu einer strategischen Waffe in den Händen von Cyberkriminellen werden. lesen

Die größten Belastungen für Security-Verantwortliche

CISOs sind hohen Belastungen ausgesetzt

Die größten Belastungen für Security-Verantwortliche

Hohe Compliance-Anforderungen, steigende Cyber-Risiken, die fortschreitende Digitalisierung und die sehr dynamische Entwicklung der IT sorgen ebenso für die starke Belastung eines CISOs wie der bekannte Fachkräftemangel in der Security. Die Überlastung von Security-Verantwortlichen ist kein persönliches Problem, sondern ein Unternehmensrisiko. lesen

Hohes Risiko für Insider-Sicherheitsverstöße

Privileged Access Threat Report 2019

Hohes Risiko für Insider-Sicherheitsverstöße

Viele Unternehmen befürchten, dass Sicherheitsverstöße durch kompromittierte Zugriffe von Drittanbietern erfolgen könnten. Das zeigt der Privileged Access Threat Report 2019 von BeyondTrust. Die Sicherheitsstudie dokumentiert außerdem, dass sich jede Woche durchschnittlich 182 Drittanbieter von außen auf die IT-Systeme der befragten Unternehmen zugreifen. lesen

Ferienstimmung, Bugs und DSGVO

Monatsrückblick Mai 2019

Ferienstimmung, Bugs und DSGVO

Cyberganoven machen nie Urlaub – und genau darum sollten Sie sich jetzt schon auf Pfingst- und Sommerferien vorbereiten. Unser Monatsrückblick für den Mai liefert in fünf Minuten die passenden Tipps für Hotelpool, DSGVO und sicher administrierte Windows-Systeme. lesen

Die Paradoxa der Security im Zeitalter der Digitalisierung

Herausforderungen der Digitalisierung

Die Paradoxa der Security im Zeitalter der Digitalisierung

Die digitale Welt zeigt sich widersprüchlich. Einerseits werden mehr Daten preis gegeben denn je, Apps sind unverzichtbar geworden, die Cloud ist nicht mehr wegzudenken – das alles erfordert ein hohes Maß an Offenheit. Andererseits steigt die Gefahr, dass diese Offenheit von den falschen Personen ohne gute Absichten ausgenutzt wird. lesen

Datenschutz als Zusatzaufgabe für den CISO?

Aufgaben und Stellung des CISO

Datenschutz als Zusatzaufgabe für den CISO?

IT-Sicherheitsverantwortliche (CISOs) müssen bereits eine Fülle von Aufgaben wahrnehmen. Trotzdem wollen viele Unternehmen ihrem CISO noch mehr aufbürden. So scheint ein IT-Sicherheitsverantwortlicher durch die Fachkompetenz die Idealbesetzung für den CPO (Chief Privacy Officer) oder Datenschutz­beauftragten (DSB) zu sein. Aber ist das zulässig? lesen

Digitale Signaturen in Europa

eIDAS

Digitale Signaturen in Europa

Digitale Signaturen werden weltweit zunehmend akzeptiert. Ein Einblick von Arvid Vermote von GlobalSign. lesen

Entzug der Adminrechte entschärft Sicherheitslücken

Microsoft Vulnerabilities Report 2019

Entzug der Adminrechte entschärft Sicherheitslücken

In seinen neuen Microsoft Vulnerabilities Report 2019 zeigt das Security-Unternehmen BeyondTrust, dass sich vier von fünf kritischen Microsoft-Sicherheitslücken des Jahres 2018 durch die Aufhebung von Administratorrechten hätten entschärfen lassen. Der Report zählte außerdem mehr als doppelt so viele Schwachstellen als vor fünf Jahren. lesen

Warum CISOs gute Psychologen sein müssen

Hohe Anforderungen an CISOs

Warum CISOs gute Psychologen sein müssen

Die Fähigkeiten eines CISO müssen breit gefächert sein. Technisches Know-how, Security-Expertise, Management-Qualitäten und Wissen im Bereich Recht und Compliance gehören dazu. Doch auch Psychologie spielt eine große Rolle bei den Aufgaben eines CISOs. Das gilt nicht nur für Führung und Motivation von Beschäftigten, es betrifft nahezu jede Tätigkeit eines CISOs. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45060552 / Definitionen)