Bundesamt für Sicherheit in der Informationstechnik

M 2.193 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Planung und Einrichtung der Informationssicherheitsorganisation

Um einen Sicherheitsprozesses erfolgreich planen, umsetzen und aufrechterhalten zu können, muss eine geeignete Organisationsstruktur für Informationssicherheit vorhanden sein. Es müssen also Rollen definiert sein, die die verschiedenen Aufgaben für die Erreichung der Sicherheitsziele wahrnehmen. Außerdem müssen Personen benannt sein, die qualifiziert sind und denen ausreichend Ressourcen zur Verfügung stehen, um diese Rollen auszufüllen.

Zu Beginn eines Sicherheitsprozesses kann sich herausstellen, dass innerhalb der Institution zwar bereits Verantwortliche für verschiedene Aspekte der Informationssicherheit benannt sind, es aber keine übergreifende Struktur für die Informationssicherheit gibt. In diesem Fall muss eine geeignete, übergreifende Organisationsstruktur für die Informationssicherheit aufgebaut werden.

Ist bereits eine IS-Organisation etabliert, sollte regelmäßig überlegt werden, ob diese noch angemessen ist oder an neue Rahmenbedingungen angepasst werden muss.

Funktion des IT-Sicherheitsbeauftragten

Die Art und Ausprägung einer Informationssicherheitsorganisation hängt von der Größe, Beschaffenheit und Struktur der jeweiligen Institution ab. Die Funktion des IT-Sicherheitsbeauftragten muss allerdings in jeder Institution eingerichtet werden, da er für alle Belange der Informationssicherheit zuständig ist. Die Aufgaben des IT-Sicherheitsbeauftragten sind unter anderem:

  • den Informationssicherheitsprozess zu steuern und zu koordinieren,
  • die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit zu unterstützen,
  • die Erstellung des Sicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte und System-Sicherheitsrichtlinien zu koordinieren, sowie weitere Richtlinien und Regelungen zur Informationssicherheit zu erlassen,
  • den Realisierungsplan für die Sicherheitsmaßnahmen zu erstellen und deren Realisierung zu initiieren und zu überprüfen,
  • der Leitungsebene und dem IS-Management-Team über den Status Quo der Informationssicherheit zu berichten,
  • sicherheitsrelevante Projekte zu koordinieren und den Informationsfluss zwischen Bereichs-IT-, Projekt- sowie IT-System-Sicherheitsbeauftragten sicherzustellen,
  • sicherheitsrelevante Zwischenfälle zu untersuchen sowie
  • Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und zu steuern.

Der IT-Sicherheitsbeauftragte muss bei allen größeren Projekten, die deutliche Auswirkungen auf die Informationsverarbeitung haben, sowie bei der Einführung neuer Anwendungen und IT-Systeme beteiligt werden, damit sichergestellt ist, dass sicherheitsrelevante Aspekte ausreichend beachtet werden. Dazu gehören z. B. die Beschaffung von IT-Systemen oder die Gestaltung von IT-gestützten Geschäftsprozessen.

Um den direkten Zugang zur Behörden- bzw. Unternehmensleitung sicherzustellen, ist es empfehlenswert, diese Rolle als Stabsstelle einzurichten.

In kleinen Institutionen kann die Funktion des IT-Sicherheitsbeauftragten auch von einem qualifizierten Mitarbeiter neben anderen Aufgaben wahrgenommen werden. Maßgeblich ist, dass dem IT-Sicherheitsbeauftragten ausreichend Zeit für seine Aufgaben zugebilligt wird. Vor allem bei der erstmaligen Einrichtung des Sicherheitsprozesses müssen hierfür hinreichende zeitliche Ressourcen eingeplant werden. Auch sollte schon bei der Planung der Informationssicherheitsorganisation ein qualifizierter Vertreter des IT-Sicherheitsbeauftragten benannt werden.

Auswahl des IT-Sicherheitsbeauftragten

Der IT-Sicherheitsbeauftragte sollte Wissen und Erfahrung in den Gebieten Informationssicherheit und Informationstechnik besitzen. Weiterhin sollte er über die folgenden Qualifikationen und Eigenschaften verfügen:

  • Überblick über Aufgaben und Ziele der Institution
  • Identifikation mit den Zielsetzungen der Informationssicherheit
  • Kooperations- und Teamfähigkeit (wenige andere Aufgaben erfordern so viel Fähigkeit und Geschick im Umgang mit anderen Personen)
  • Fähigkeit zum selbstständigen Arbeiten
  • Durchsetzungsvermögen
  • Erfahrungen im Projektmanagement

Ein IT-Sicherheitsbeauftragter alleine kann nicht für angemessene Sicherheit in allen Bereichen einer Institution sorgen. Daher sind Kommunikations- und Präsentationsfähigkeiten wichtig. Die Leitungsebene muss in zentralen Fragen des Sicherheitsprozesses immer wieder eingebunden werden, außerdem müssen Entscheidungen eingefordert werden. Die Zusammenarbeit mit den Mitarbeitern ebenso wie mit Externen verlangt viel Geschick, da diese von der Notwendigkeit der (für sie manchmal etwas lästigen) Sicherheitsmaßnahmen überzeugt werden müssen. Mindestens genauso heikel ist die Befragung der Mitarbeiter nach sicherheitskritischen Vorkommnissen und Schwachstellen. Um bei diesen Befragungen verwertbare Ergebnisse zu erzielen, müssen die Mitarbeiter davon überzeugt sein, dass ehrliche Antworten nicht gegen sie selbst verwendet werden.

Aufbau eines Informationssicherheitsmanagement-Teams

In größeren Institutionen ist es sinnvoll, ein IS-Management-Team aufzubauen, das den IT-Sicherheitsbeauftragten unterstützt und sämtliche übergreifende Belange der Informationssicherheit regelt und Pläne, Vorgaben und Richtlinien erarbeitet.

Die Größe und die Zusammenstellung des IS-Management-Teams sollten in Abhängigkeit vom Umfang des Sicherheitsprozesses und der dafür benötigten Ressourcen und Expertisen definiert werden. In BSI -Standard 100-2 IT-Grundschutz-Vorgehensweise sind verschiedene Varianten dargestellt, wie eine Aufbauorganisation des Informationssicherheitsmanagements aussehen kann.

Auswahl des IS-Management-Teams

Um die verschiedenen Sichten der Informationssicherheit in einer Institution zu berücksichtigen, sollten im IS-Management-Team folgende Vertreter zusammenarbeiten:

  • IT-Sicherheitsbeauftragter
  • IT-Verantwortliche
  • Vertreter der Anwender
  • Datenschutzbeauftragte

Bei Bedarf sollten Vertreter der Revision, des Justiziariats und der Personalvertretung der Institution hinzugezogen werden.

Benennung eines verantwortlichen Managers

Auf Leitungsebene sollte die Aufgabe Informationssicherheit eindeutig einem verantwortlichen Manager zugeordnet sein, an den der IT-Sicherheitsbeauftragte direkt berichtet. In kleinen Institutionen kann auch ein Geschäftsführer diese Aufgabe übernehmen.

Überprüfung der Informationssicherheitsorganisation

Eine einmal aufgebaute IS-Organisation ist nicht statisch. Geschäftsprozesse und Umfeldbedingungen ändern sich permanent, so dass auch die IS-Organisation immer wieder überdacht werden muss. Dabei sollte beispielsweise beleuchtet werden, ob die Aufgaben und Kompetenzen innerhalb des Sicherheitsprozesses ausreichend klar definiert waren, aber auch, ob vorgesehene Aufgaben wie geplant wahrgenommen werden konnten. Wichtig sind vor allem die folgenden Punkte:

  • Überwachung von Verantwortlichkeiten im laufenden Betrieb
    Es muss regelmäßig überprüft werden, ob alle Verantwortlichkeiten und Zuständigkeiten eindeutig zugewiesen wurden und diese praxistauglich sind.
  • Überprüfung der Einhaltung von Vorgaben
    Es muss regelmäßig geprüft werden, ob alle Prozesse und Abläufe der IS-Organisation wie vorgesehen angewendet und durchgeführt werden. Gleichzeitig sollte sichergestellt werden, dass die aufgebauten Organisationsstrukturen für Informationssicherheit den Anforderungen gerecht werden.
  • Beurteilung der Effizienz von Prozessen und organisatorischen Regelungen
    Es muss regelmäßig überprüft werden, ob Prozesse und organisatorische Regelungen des Sicherheitsmanagements praxistauglich und effizient sind.
    Sobald Prozesse oder Regelungen, die aus Sicherheitsgründen eingerichtet wurden, zu kompliziert oder zeitaufwendig sind, werden sie trotz der Gefahr von Sicherheitsvorfällen häufig nicht beachtet oder bewusst umgangen.
  • Managementbewertungen
    Das Management ist über die Ergebnisse der oben genannten Überprüfungen regelmäßig zu informieren. Die Berichte sind nicht nur notwendig, um dringende oder zeitkritische Probleme zu lösen, sondern enthalten wichtige Informationen, die das Management für die Steuerung des Sicherheitsprozesses benötigt.

Anpassung und Verbesserung der Informationssicherheitsorganisation

Die IS-Organisation muss regelmäßig in Bezug auf Effizienz und Effektivität optimiert werden. Haben sich Schwächen in den Prozessen oder Regelungen für die IS-Organisation gezeigt, müssen diese abgestellt werden.

Dokumentation

Die Aufgaben, Verantwortungen und Kompetenzen im Sicherheitsmanagement müssen nachvollziehbar dokumentiert sein. Dazu gehören auch die wesentlichen Arbeitsanweisungen und organisatorischen Regelungen.

Prüffragen:

  • Ist ein IT -Sicherheitsbeauftragter benannt?

  • Ist der IT -Sicherheitsbeauftragte ausreichend qualifiziert?

  • Stehen dem IT -Sicherheitsbeauftragten (und der IS -Organisation) ausreichend Ressourcen zur Verfügung?

  • In größeren Institutionen: Wird der IT -Sicherheitsbeauftragte durch ein Informationssicherheitsmanagement-Team unterstützt?

  • Sind die Aufgaben und Kompetenzen innerhalb des Sicherheitsprozesses klar definiert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK