Definition Chief Information Security Officer (CISO)

Was ist ein CISO?

| Autor / Redakteur: Tutanch / Peter Schmitz

Der Chief Information Security Officer (CISO) ist verantwortlich für die Informationssicherheit im Unternehmen.
Der Chief Information Security Officer (CISO) ist verantwortlich für die Informationssicherheit im Unternehmen. (Bild: Pixabay / CC0)

Der Chief Information Security Officer (CISO) übernimmt in einem Unternehmen oder einer Organisation die Rolle des Verantwortlichen für die Informationssicherheit. Er ist Teil der Geschäftsführung und stellt sicher, dass Informationen und Technologien geschützt sind.

Die Abkürzung CISO steht für den englischen Begriff Chief Information Security Officer und bezeichnet eine Position in einer Organisation oder einem Unternehmen, die für die Sicherheit von Informationen und der Informationstechnologie verantwortlich ist. Je nach Unternehmen oder Organisation können die Aufgaben des CISO variieren. Oft lassen sie sich aus Standards oder Normen zur Informationssicherheit ableiten. Als Teil der Geschäftsführung berichtet der Chief Information Security Officer in der Regel direkt dem Chief Executive Officer (CEO). Die IT-Sicherheit stellt nur ein Teil der Aufgaben eines CISO dar. Es kommen weitere Aufgaben im Risikomanagement und der Sicherung aller Informationswerte (auch Informationen auf Papier und in anderen Formen) hinzu. Zertifizierungslehrgänge versetzen den CISO in die Lage, seine Aufgaben zu identifizieren und durchzuführen.

Die verschiedenen Aufgaben eines Chief Information Security Officer

Ein Chief Information Security Officer hat eine Vielzahl an Aufgaben zu erfüllen, die von Organisation zu Organisation unterschiedlich ausfallen können. Hier ein kurzer Überblick über die wichtigsten Aufgaben des CISO:

  • Identifizierung aller sicherheitsrelevanten Prozesse der Organisation
  • Durchführung von Audits, um den Stand der Umsetzung von Sicherheitsvorschriften zu ermitteln
  • Festlegung des Geltungsbereichs der sicherheitsrelevanten Maßnahmen
  • Aufstellen von Richtlinien und Zielen für die Sicherheit
  • Durchführung von Risikoanalysen und Ableitung von Maßnahmen
  • Etablierung eines Managementsystemes zur Informationssicherheit (ISMS - Information Security Management System)
  • Aufstellen, Bearbeiten und Anpassen von Sicherheitsvorgaben
  • Schaffung eines Problembewusstseins im Umgang mit Informationen und Informationstechnik
  • Aufbau einer Organisationseinheit, die die Sicherheitsziele umsetzt
  • Durchführung von Trainings und Kampagnen der Informationssicherheit
  • Sicherstellung des Datenschutzes
  • Beaufsichtigung des Access- und Identity-Managements
  • Zusammenarbeit mit anderen Führungskräften und dem CSO oder CIO

Abgrenzung von CISO, CSO und CIO

Oft werden die Stellenbeschreibungen des CISO, CSO und CIO in ähnlichen Zusammenhängen verwendet. In gewissen Bereichen kann es zu Überschneidungen der Aufgaben kommen. Die drei Rollen lassen sich dennoch deutlich voneinander abgrenzen. Während der Fokus des CISO auf der Sicherheit von Informationen und Daten liegt, steht beim CSO (Chief Security Officer) mehr die Sicherheit der technischen und physischen Infrastruktur im Vordergrund. Dazu zählen der Gebäudeschutz, der Personenschutz, der Brandschutz, der Schutz vor Einbrüchen oder die Terrorabwehr. Die Hierarchie betreffend befinden sich CISO und CSO auf der gleichen Ebene. Der CIO (Chief Information Manager) ist für den reibungslosen Betrieb der ITK-Infrastruktur zuständig.

Ausbildung und Zertifizierung des Chief Information Security Officers

Eine konkrete Ausbildung zum CISO existiert nicht. Meist übernehmen Spezialisten und Führungskräfte aus dem Bereich der Informationssicherheit diese Rolle in einer Organisation. Mit Hilfe von Zertifikaten lässt sich die Eignung und Kompetenz des Chief Information Security Officers nachweisen. Folgende Zertifizierungen sind in diesem Bereich verfügbar:

  • der Certified Information Systems Security Professional (CISSP) - entwickelt vom ISC2 (International Information Systems Security Certification Consortium)
  • der Teletrust Information Security Professional (TISP) - angeboten vom Bundesverband IT-Sicherheit Teletrust
  • der Certified Information Security Manager (CISM) - angeboten von der Information Systems Audit and Control Association (ISACA)
  • der Certified Information Systems Auditor (CISA) - angeboten von der Information Systems Audit and Control Association (ISACA)

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Keine Zukunft für geschlossene Netzwerke

Trends in der Netzwerksicherheit

Keine Zukunft für geschlossene Netzwerke

Lange dachte man ein geschlossenes System sei sicherer und besser geschützt vor externen Angriffen. Doch mit der zunehmenden Digitalisierung und Vernetzung wird in Unternehmen der Ruf nach agilen Netzwerken und Multi-Cloud immer lauter. Ein Umdenken findet statt und damit auch der Wille zum Wandel. lesen

IT-Security frustriert Anwender

Produktivität leidet

IT-Security frustriert Anwender

Hohe Sicherheitsauflagen im Unternehmen hemmen Produktivität und Innovationsfreude der eigenen Mitarbeiter. Endanwender fühlen sich dadurch frustriert. Zu diesen Ergebnissen kam eine Studie im Auftrag von Bromium. lesen

LogRhythm bringt DSGVO-Compliance-Modul

Datenschutz-Grundverordnung

LogRhythm bringt DSGVO-Compliance-Modul

LogRhythm hat ein neues EU-DSGVO-Compliance-Moduls vorgestellt. Dabei handelt es sich um eine vollständig integrierte Sicherheitslösung, mit der Anwender Compliance zur Datenschutz-Grundverordnung der EU erzielen und nachweisen können. lesen

Das passiert (wahrscheinlich) 2018 bei Datenschutz und Datensicherheit!

Security-Prognosen 2018

Das passiert (wahrscheinlich) 2018 bei Datenschutz und Datensicherheit!

2017 war das Jahr der großen Ransomware-Angriffswellen, von Datendiebstählen und national betriebener Cyberspionage. Welche Systeme geraten 2018 ins Visier von Hackern und wo muss Bewegung in die Security-Technologien und Datenschutzdebatten kommen? Eine Prognose zehn möglicher Angriffsszenarien und Handlungsfelder. lesen

Was bringen persönliche Security-Zertifizierungen?

Zertifizierungen in der IT-Sicherheit

Was bringen persönliche Security-Zertifizierungen?

CISSP, CSP, CEH: Security-Zertifizierungen für Personen. Mancher Security-Praktiker belächelt sie, manches Stellenangebot fordert sie explizit. Wer sich als Security-Experte zertifizieren lassen will, hat es in jedem Fall nicht leicht, denn es gibt eine Vielzahl an unterschiedlichen Zertifizierungsstellen, Trainingsanbieter und Zertifizierungen. lesen

CISO, Security Manager oder IT-Sicherheitsbeauftragter?

Rollen und Aufgaben in der IT-Sicherheit

CISO, Security Manager oder IT-Sicherheitsbeauftragter?

Als ob Security nicht komplex genug wäre, gibt es für die Rollen und Aufgaben in der Security eine Vielzahl von Bezeichnungen. Das ist nicht nur verwirrend, sondern auch riskant. Gibt es keine klare Zuordnung zwischen Rolle und Aufgabe kann das zu organisatorischen Lücken im Security-Konzept des Unternehmens führen. lesen

Malware verbreitet sich mit Rekordgeschwindigkeit

Fortinet Threat Landscape Bericht für Q2 2017

Malware verbreitet sich mit Rekordgeschwindigkeit

Cyberkriminelle nutzen inzwischen nahezu automatisiert Hot Exploits, also Angriffe auf Schwachstellen, die nicht gepatcht oder aktualisiert wurden und maximieren die Wirkung ihrer Angriffe mit Hybridbedrohungen wie „Ransomwürmern“. lesen

Bei der Umsetzung der DSGVO hapert es

Trend-Micro-Studie

Bei der Umsetzung der DSGVO hapert es

Deutsche Unternehmen sind nur unzureichend auf die Umsetzung der EU-Datenschutz-Grundverordnung vorbereitet, ergab eine Trend-Micro-Studie. Vielen Unternehmensvorständen sind die Auswirkungen der Verordnung nicht bewusst. lesen

Security-Investitionen dem CFO verständlich machen

Security- und Risiko-Management

Security-Investitionen dem CFO verständlich machen

Während es für den CIO oder CSO auf der Hand liegt, dass sie in angesichts der heutigen Bedrohungslage in IT-Security investieren sollten, muss der Chief Financial Officer (CFO) von Berufs wegen ein mögliches Security-Investment anderen Betriebskosten gegenüberstellen. Zudem ist es für ihn die Unterscheidung zwischen IT Operations und IT Security unklar, weil er in keinen der beiden Bereiche unmittelbar involviert ist. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45060552 / Definitionen)