Definition Chief Information Security Officer (CISO) / Chief Security Officer (CSO)

Was ist ein CISO / CSO?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Der Chief Information Security Officer (CISO) ist verantwortlich für die Informationssicherheit im Unternehmen.
Der Chief Information Security Officer (CISO) ist verantwortlich für die Informationssicherheit im Unternehmen. (Bild: Pixabay / CC0)

Der Chief Information Security Officer (CISO) übernimmt in einem Unternehmen oder einer Organisation die Rolle des Verantwortlichen für die Informationssicherheit. Er ist Teil der Geschäftsführung und stellt sicher, dass Informationen und Technologien geschützt sind.

Die Abkürzung CISO steht für den englischen Begriff Chief Information Security Officer und bezeichnet eine Position in einer Organisation oder einem Unternehmen, die für die Sicherheit von Informationen und der Informationstechnologie verantwortlich ist. Je nach Unternehmen oder Organisation können die Aufgaben des CISO variieren. Oft lassen sie sich aus Standards oder Normen zur Informationssicherheit ableiten. Als Teil der Geschäftsführung berichtet der Chief Information Security Officer in der Regel direkt dem Chief Executive Officer (CEO). Die IT-Sicherheit stellt nur ein Teil der Aufgaben eines CISO dar. Es kommen weitere Aufgaben im Risikomanagement und der Sicherung aller Informationswerte (auch Informationen auf Papier und in anderen Formen) hinzu. Zertifizierungslehrgänge versetzen den CISO in die Lage, seine Aufgaben zu identifizieren und durchzuführen.

Die verschiedenen Aufgaben eines Chief Information Security Officer

Ein Chief Information Security Officer hat eine Vielzahl an Aufgaben zu erfüllen, die von Organisation zu Organisation unterschiedlich ausfallen können. Hier ein kurzer Überblick über die wichtigsten Aufgaben des CISO:

  • Identifizierung aller sicherheitsrelevanten Prozesse der Organisation
  • Durchführung von Audits, um den Stand der Umsetzung von Sicherheitsvorschriften zu ermitteln
  • Festlegung des Geltungsbereichs der sicherheitsrelevanten Maßnahmen
  • Aufstellen von Richtlinien und Zielen für die Sicherheit
  • Durchführung von Risikoanalysen und Ableitung von Maßnahmen
  • Etablierung eines Managementsystemes zur Informationssicherheit (ISMS - Information Security Management System)
  • Aufstellen, Bearbeiten und Anpassen von Sicherheitsvorgaben
  • Schaffung eines Problembewusstseins im Umgang mit Informationen und Informationstechnik
  • Aufbau einer Organisationseinheit, die die Sicherheitsziele umsetzt
  • Durchführung von Trainings und Kampagnen der Informationssicherheit
  • Sicherstellung des Datenschutzes
  • Beaufsichtigung des Access- und Identity-Managements
  • Zusammenarbeit mit anderen Führungskräften und dem Chief Security Officer (CSO) oder Chief Information Officer (CIO)

Abgrenzung von CISO, CSO und CIO

Oft werden die Stellenbeschreibungen des Chief Information Security Officer (CISO), Chief Security Officer (CSO) und des Chief Information Officer (CIO) in ähnlichen Zusammenhängen verwendet. In gewissen Bereichen kann es zu Überschneidungen der Aufgaben kommen. Die drei Rollen lassen sich dennoch deutlich voneinander abgrenzen. Während der Fokus des CISO auf der Sicherheit von Informationen und Daten liegt, steht beim CSO (Chief Security Officer) mehr die Sicherheit der technischen und physischen Infrastruktur im Vordergrund. Dazu zählen der Gebäudeschutz, der Personenschutz, der Brandschutz, der Schutz vor Einbrüchen oder die Terrorabwehr. Die Hierarchie betreffend befinden sich CISO und CSO auf der gleichen Ebene. Der CIO (Chief Information Manager) ist für den reibungslosen Betrieb der ITK-Infrastruktur zuständig.

Ausbildung und Zertifizierung des Chief Information Security Officers

Eine konkrete Ausbildung zum CISO existiert nicht. Meist übernehmen Spezialisten und Führungskräfte aus dem Bereich der Informationssicherheit diese Rolle in einer Organisation. Mit Hilfe von Zertifikaten lässt sich die Eignung und Kompetenz des Chief Information Security Officers nachweisen. Folgende Zertifizierungen sind in diesem Bereich verfügbar:

  • der Certified Information Systems Security Professional (CISSP) - entwickelt vom ISC2 (International Information Systems Security Certification Consortium)
  • der Teletrust Information Security Professional (TISP) - angeboten vom Bundesverband IT-Sicherheit Teletrust
  • der Certified Information Security Manager (CISM) - angeboten von der Information Systems Audit and Control Association (ISACA)
  • der Certified Information Systems Auditor (CISA) - angeboten von der Information Systems Audit and Control Association (ISACA)

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

KAS-44 hilft beim Schutz von industriellen Anlagen

Kritische Systeme effektiv schützen

KAS-44 hilft beim Schutz von industriellen Anlagen

Für Unternehmen die kritische Infrastrukturen betreiben ist der Schutz vor Hackern und Co. von größter Bedeutung. Die Kommission für Anlagensicherheit (KAS) hat deshalb Leitsätze zur Prävention von Cyber-Angriffen formuliert. Das Merkblatt KAS-44 konkretisiert die Anforderungen der IT-Security für jene Betriebe, die unter die Störfallverordnung fallen. lesen

Alte Bugs statt flotter Käfer

Monatsrückblick Februar 2019

Alte Bugs statt flotter Käfer

Dem Valentinstag zum Trotz flogen im Februar die Fetzen in der IT-Welt. Auf besonders wenig Gegenliebe stieß dabei Facebook. Und auch an anderer Stelle ließen alte Bugs alles andere als romantische Gefühle aufkommen. Das und mehr gibt es im neuen Video-Monatsrückblick in unter fünf Minuten kurz zusammengefasst. lesen

Vier Kernkompetenzen für CISOs im Jahr 2019

Die Rolle des IT-Sicherheitsverantwortlichen

Vier Kernkompetenzen für CISOs im Jahr 2019

Ob Datenleck, Server-Ausfall oder Industrie­spionage, Cyberrisiken haben heute spürbare Auswirkungen auf das Geschäft. Deshalb ändert sich auch die Rolle des IT-Sicherheitsverantwortlichen bzw. CISO (Chief Information Security Officer). Heute sind Management- und Führungsqualitäten sowie unternehmerisches Denken bei CISOs genauso essentiell wie Fachwissen im Bereich Cybersicherheit. lesen

Welche Aufgaben ein CISO übernehmen muss

Die Rolle des CISO im Unternehmen

Welche Aufgaben ein CISO übernehmen muss

IT-Sicherheit geht jeden Mitarbeiter und jede Abteilung an. Welche Aufgaben verbleiben dann in der Abteilung für IT-Security? Welche Rolle hat der CISO (Chief Information Security Officer) im Unternehmen? Die Antwort erscheint einfach, ist sie aber nicht. Die Aufgaben unterliegen einer hohen Dynamik und werden nicht nur durch Compliance-Vorgaben beeinflusst. lesen

Unternehmen fehlt der Einblick in ihre Cyberrisiken

Führungskräfte oft ahnungslos

Unternehmen fehlt der Einblick in ihre Cyberrisiken

Fast zwei Drittel aller Unternehmen weltweit haben in den letzten zwei Jahren einen Cyber-Vorfall erlebt, der den Geschäftsbetrieb durch erhebliche Störungen und Ausfallzeiten bei Geschäftsprozessen, Produktions- oder Betriebsmitteln geschädigt hat. Das zeigt der neue Report „Messen und Verwalten des Cyberrisikos für den Geschäftsbetrieb” des Security-Anbieters Tenable. lesen

Kein Kuschelkurs mehr bei Security Awareness

Paradigmenwechsel bei SecAware

Kein Kuschelkurs mehr bei Security Awareness

Security Awareness (SecAware) hat sich auf die Fahnen geschrieben, den User hinsichtlich Cyberbedrohungen zur „Last Line Of Defense“ (LLOD) zu machen. Eine anspruchsvolle Aufgabe, denn zahlreiche Bedrohungen klopfen an die Gateway-Systeme der Unternehmen aber auch Privatpersonen und mancher Attacke gelingt es die Schutzmauern zu überwinden. lesen

Sicherheit braucht einen Perspektivenwechsel

Security-Trends 2019

Sicherheit braucht einen Perspektivenwechsel

Für einen reibungslosen Ablauf kritischer Geschäftsprozesse ist Business Resilience nach Ansicht mancher Security-Experten unumgänglich, damit Unternehmen bei Cyber-Angriffen in Echtzeit reagieren können. IT- und Sicherheits-Teams sollten sich im neuen Jahr besonders drei Aspekten widmen: der Plattform-Architektur, einem datenorientierten Sicherheits­ansatz und bereichsübergreifender Zusammenarbeit. lesen

Neue Sicherheits-Features für AWS

AWS-Security

Neue Sicherheits-Features für AWS

Mit neuen Sicherheits- und Management-Services wie Control Tower, Security Hub und Lake Formation will AWS seinen Kunden ermöglichen, die genutzten Dienste einfacher zu schützen und zu überwachen. Auch für Blockchain-Interessenten hat AWS jetzt zwei Service-Varianten angekündigt. lesen

O du fröhliche Malware-Zeit

Fortinet Threat Landscape Report

O du fröhliche Malware-Zeit

Die Weihnachtszeit rückt näher – und mit ihr auch die Zeit verstärkter Malware-Angriffe auf mobile Endgeräte. Zu diesem Ergebnis kam Fortinet in seinem Global Threat Landscape Report. Die Studie zeigt auch, wodurch mobile Endgeräte am stärksten bedroht werden und warum die Weihnachtszeit Malware-Zeit ist. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45060552 / Definitionen)