Definition Chief Information Security Officer (CISO) / Chief Security Officer (CSO)

Was ist ein CISO / CSO?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Der Chief Information Security Officer (CISO) ist verantwortlich für die Informationssicherheit im Unternehmen.
Der Chief Information Security Officer (CISO) ist verantwortlich für die Informationssicherheit im Unternehmen. (Bild: Pixabay / CC0)

Der Chief Information Security Officer (CISO) übernimmt in einem Unternehmen oder einer Organisation die Rolle des Verantwortlichen für die Informationssicherheit. Er ist Teil der Geschäftsführung und stellt sicher, dass Informationen und Technologien geschützt sind.

Die Abkürzung CISO steht für den englischen Begriff Chief Information Security Officer und bezeichnet eine Position in einer Organisation oder einem Unternehmen, die für die Sicherheit von Informationen und der Informationstechnologie verantwortlich ist. Je nach Unternehmen oder Organisation können die Aufgaben des CISO variieren. Oft lassen sie sich aus Standards oder Normen zur Informationssicherheit ableiten. Als Teil der Geschäftsführung berichtet der Chief Information Security Officer in der Regel direkt dem Chief Executive Officer (CEO). Die IT-Sicherheit stellt nur ein Teil der Aufgaben eines CISO dar. Es kommen weitere Aufgaben im Risikomanagement und der Sicherung aller Informationswerte (auch Informationen auf Papier und in anderen Formen) hinzu. Zertifizierungslehrgänge versetzen den CISO in die Lage, seine Aufgaben zu identifizieren und durchzuführen.

Die verschiedenen Aufgaben eines Chief Information Security Officer

Ein Chief Information Security Officer hat eine Vielzahl an Aufgaben zu erfüllen, die von Organisation zu Organisation unterschiedlich ausfallen können. Hier ein kurzer Überblick über die wichtigsten Aufgaben des CISO:

  • Identifizierung aller sicherheitsrelevanten Prozesse der Organisation
  • Durchführung von Audits, um den Stand der Umsetzung von Sicherheitsvorschriften zu ermitteln
  • Festlegung des Geltungsbereichs der sicherheitsrelevanten Maßnahmen
  • Aufstellen von Richtlinien und Zielen für die Sicherheit
  • Durchführung von Risikoanalysen und Ableitung von Maßnahmen
  • Etablierung eines Managementsystemes zur Informationssicherheit (ISMS - Information Security Management System)
  • Aufstellen, Bearbeiten und Anpassen von Sicherheitsvorgaben
  • Schaffung eines Problembewusstseins im Umgang mit Informationen und Informationstechnik
  • Aufbau einer Organisationseinheit, die die Sicherheitsziele umsetzt
  • Durchführung von Trainings und Kampagnen der Informationssicherheit
  • Sicherstellung des Datenschutzes
  • Beaufsichtigung des Access- und Identity-Managements
  • Zusammenarbeit mit anderen Führungskräften und dem Chief Security Officer (CSO) oder Chief Information Officer (CIO)

Abgrenzung von CISO, CSO und CIO

Oft werden die Stellenbeschreibungen des Chief Information Security Officer (CISO), Chief Security Officer (CSO) und des Chief Information Officer (CIO) in ähnlichen Zusammenhängen verwendet. In gewissen Bereichen kann es zu Überschneidungen der Aufgaben kommen. Die drei Rollen lassen sich dennoch deutlich voneinander abgrenzen. Während der Fokus des CISO auf der Sicherheit von Informationen und Daten liegt, steht beim CSO (Chief Security Officer) mehr die Sicherheit der technischen und physischen Infrastruktur im Vordergrund. Dazu zählen der Gebäudeschutz, der Personenschutz, der Brandschutz, der Schutz vor Einbrüchen oder die Terrorabwehr. Die Hierarchie betreffend befinden sich CISO und CSO auf der gleichen Ebene. Der CIO (Chief Information Manager) ist für den reibungslosen Betrieb der ITK-Infrastruktur zuständig.

Ausbildung und Zertifizierung des Chief Information Security Officers

Eine konkrete Ausbildung zum CISO existiert nicht. Meist übernehmen Spezialisten und Führungskräfte aus dem Bereich der Informationssicherheit diese Rolle in einer Organisation. Mit Hilfe von Zertifikaten lässt sich die Eignung und Kompetenz des Chief Information Security Officers nachweisen. Folgende Zertifizierungen sind in diesem Bereich verfügbar:

  • der Certified Information Systems Security Professional (CISSP) - entwickelt vom ISC2 (International Information Systems Security Certification Consortium)
  • der Teletrust Information Security Professional (TISP) - angeboten vom Bundesverband IT-Sicherheit Teletrust
  • der Certified Information Security Manager (CISM) - angeboten von der Information Systems Audit and Control Association (ISACA)
  • der Certified Information Systems Auditor (CISA) - angeboten von der Information Systems Audit and Control Association (ISACA)

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Unternehmen fühlen sich Cyber-Kriminellen ausgeliefert

Symantec High Alert-Studie

Unternehmen fühlen sich Cyber-Kriminellen ausgeliefert

Eine von Symantec in Auftrag gegebene Studie zeichnet ein düsteres Bild hinsichtlich der Belastung und den Fähigkeiten von IT-Security-Teams in Unternehmen. Die Ergebnisse zeigen, in welch einer erschreckenden Lage sich Unternehmen bereits befinden. Ein Teufelskreis aus Überlastung und Stress verhindert die Weiterentwicklung beruflicher Fähigkeiten und Entscheidungsfindungen. lesen

Warum CISOs das Security-Marketing verändern müssen

Der CISO und der Stellenwert der Security

Warum CISOs das Security-Marketing verändern müssen

Gute IT-Sicherheit ist ein Wettbewerbsvorteil, eigentlich ein tolles Argument für mehr Security-Budget. Doch wenn Sicherheit zu sehr als Marketing-Faktor gesehen wird, schadet dies der Security. CISOs müssen Einfluss auf das Marketing nehmen, keine leichte Aufgabe, aber zwingend erforderlich. Die Security braucht einen neuen Stellenwert, um nicht unter die Räder der Werbung zu gelangen. lesen

Insider-Bedrohungen effektiv begegnen

5 Schritte für eine effektive Insider-Strategie

Insider-Bedrohungen effektiv begegnen

Insider-Bedrohungen haben ein enormes Schadenspotenzial: Im „besten“ Fall kostet ihre Beseitigung nur (viel) Geld, im schlimmsten Fall können sie dem betroffenen Unternehmen – etwa beim Diebstahl geistigen Eigentums – sogar ihre Existenzgrundlage entziehen. Gerade bewusst agierende Insider stellen eine große Gefahr dar, vor der man sich nur schwer schützen kann. lesen

Künstliche Intelligenz – Freund oder Feind?

KI in der Cybersecurity

Künstliche Intelligenz – Freund oder Feind?

Durch Algorithmen können Maschinen aus Erfahrung lernen und sich an neue Situationen anpassen, indem sie große Datenmengen verarbeiten. Dabei erkennen sie Muster in den Daten und können so menschenähnliche Aufgaben erfüllen. Phishing-Angriffe, die auf künstlicher Intelligenz basieren, können so zu einer strategischen Waffe in den Händen von Cyberkriminellen werden. lesen

Die größten Belastungen für Security-Verantwortliche

CISOs sind hohen Belastungen ausgesetzt

Die größten Belastungen für Security-Verantwortliche

Hohe Compliance-Anforderungen, steigende Cyber-Risiken, die fortschreitende Digitalisierung und die sehr dynamische Entwicklung der IT sorgen ebenso für die starke Belastung eines CISOs wie der bekannte Fachkräftemangel in der Security. Die Überlastung von Security-Verantwortlichen ist kein persönliches Problem, sondern ein Unternehmensrisiko. lesen

Hohes Risiko für Insider-Sicherheitsverstöße

Privileged Access Threat Report 2019

Hohes Risiko für Insider-Sicherheitsverstöße

Viele Unternehmen befürchten, dass Sicherheitsverstöße durch kompromittierte Zugriffe von Drittanbietern erfolgen könnten. Das zeigt der Privileged Access Threat Report 2019 von BeyondTrust. Die Sicherheitsstudie dokumentiert außerdem, dass sich jede Woche durchschnittlich 182 Drittanbieter von außen auf die IT-Systeme der befragten Unternehmen zugreifen. lesen

Ferienstimmung, Bugs und DSGVO

Monatsrückblick Mai 2019

Ferienstimmung, Bugs und DSGVO

Cyberganoven machen nie Urlaub – und genau darum sollten Sie sich jetzt schon auf Pfingst- und Sommerferien vorbereiten. Unser Monatsrückblick für den Mai liefert in fünf Minuten die passenden Tipps für Hotelpool, DSGVO und sicher administrierte Windows-Systeme. lesen

Die Paradoxa der Security im Zeitalter der Digitalisierung

Herausforderungen der Digitalisierung

Die Paradoxa der Security im Zeitalter der Digitalisierung

Die digitale Welt zeigt sich widersprüchlich. Einerseits werden mehr Daten preis gegeben denn je, Apps sind unverzichtbar geworden, die Cloud ist nicht mehr wegzudenken – das alles erfordert ein hohes Maß an Offenheit. Andererseits steigt die Gefahr, dass diese Offenheit von den falschen Personen ohne gute Absichten ausgenutzt wird. lesen

Datenschutz als Zusatzaufgabe für den CISO?

Aufgaben und Stellung des CISO

Datenschutz als Zusatzaufgabe für den CISO?

IT-Sicherheitsverantwortliche (CISOs) müssen bereits eine Fülle von Aufgaben wahrnehmen. Trotzdem wollen viele Unternehmen ihrem CISO noch mehr aufbürden. So scheint ein IT-Sicherheitsverantwortlicher durch die Fachkompetenz die Idealbesetzung für den CPO (Chief Privacy Officer) oder Datenschutz­beauftragten (DSB) zu sein. Aber ist das zulässig? lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45060552 / Definitionen)