Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

Ihr Inhalt

4 Organisation der Informationssicherheit

VdS 10000
T1 Um mit möglichst geringem Aufwand das notwendige Sicherheitsniveau zu definieren, umzusetzen und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage anzupassen, ist es notwendig, eine entsprechende Organisation zu etablieren.

4.1 Verantwortlichkeiten

VdS 10000
M1 Verantwortlichkeiten (siehe Abschnitte 4.2 bis 4.10) MÜSSEN eindeutig und widerspruchsfrei zugewiesen werden.

4.1.1 Zuweisung und Dokumentation

VdS 10000
M1 Es MUSS für jede Verantwortlichkeit dokumentiert werden:
M1.1 1. welche Ziele erreicht werden sollen
M1.2 2. für welche Ressourcen die Verantwortlichkeit besteht
M1.3 3. welche Aufgaben erfüllt werden müssen, damit die Ziele erreicht werden
M1.4 4. welche Berechtigungen an die Verantwortlichkeit gebunden sind, um diese wahrnehmen zu können
M1.5 5. welche Ressourcen für die Wahrnehmung der Verantwortlichkeit zur Verfügung stehen
M1.6 6. wie und durch welche Position Platz, den ein Mitarbeiter in der Hierarchie eines Unternehmens einnimmt.(en) die Erfüllung der Verantwortlichkeit überprüft wird
M1.7 7. welche Positionen die Verantwortlichkeit wahrnehmen

4.1.2 Funktionstrennungen

VdS 10000
M1 Bei der Verteilung der Verantwortlichkeiten MUSS das Prinzip der Funktionstrennung umgesetzt werden. Widersprüchliche Verantwortlichkeiten DÜRFEN NICHT von ein und derselben Person oder Organisationseinheit wahrgenommen werden.
E1 Wenn eine Funktionstrennung nicht oder nur mit einem unverhältnismäßig hohen Aufwand durchführbar ist, KÖNNEN widersprüchliche Verantwortlichkeiten von ein und derselben Person oder Organisationseinheit wahrgenommen werden.
M2 In diesem Fall MÜSSEN folgende Anforderungen erfüllt werden:
M2.1 1. Die rechtliche Zulässigkeit wurde geprüft.
M2.2 2. Es werden andere Maßnahmen wie Überwachung von Tätigkeiten, Kontrollen oder Leitungsaufsicht umgesetzt.
M2.3 3. Die nicht durchgeführte Funktionstrennung wird in der Dokumentation der Funktionsverteilung (siehe Abschnitt 4.1.1) besonders hervorgehoben und begründet.
M3 Um Zuständigkeitslücken oder Überschneidungen von Verantwortlichkeiten zu vermeiden, MÜSSEN die entsprechenden Regelungen jährlich vom Informationssicherheitsbeauftragten (ISB) überprüft werden.

4.1.3 Zeitliche Ressourcen

VdS 10000
M1 Um zugewiesene Verantwortlichkeiten wahrzunehmen, MÜSSEN die entsprechenden Mitarbeiter Natürliche Person, die in einem Vertragsverhältnis mit dem Unternehmen steht und eine oder mehrere Positionen im Unternehmen einnimmt. im erforderlichen Umfang (siehe Abschnitt 4.1.1) von anderen Tätigkeiten freigestellt werden.

4.1.4 Delegieren von Aufgaben

VdS 10000
E1 Verantwortliche für Informationssicherheit Schutz von Informationen hinsichtlich gegebener Sicherheitsanforderungen (bspw. Vertraulichkeit, Verfügbarkeit oder Integrität). KÖNNEN Aufgaben an andere Personen delegieren.
M1 Die Verantwortung für delegierte Aufgaben verbleibt jedoch bei ihnen, sodass sie die Erfüllung und das Ergebnis der delegierten Aufgaben überprüfen MÜSSEN.

4.2 Topmanagement

VdS 10000
M1 Das Topmanagement Oberste Führungsebene, wie z. B. Vorstände, Geschäftsführer oder Behördenleiter. MUSS sich zur Wahrnehmung folgender Verantwortlichkeiten verpflichten:
M1.1 1. Übernehmen der Gesamtverantwortung für die Informationssicherheit
M1.2 2. In Kraft setzen von Richtlinien für die Informationssicherheit (IS-Richtlinien)
M1.3 3. Bereitstellen der notwendigen technischen, finanziellen und personellen Ressourcen für die Informationssicherheit
M1.4 4. Einbetten der Informationssicherheit in die Strukturen, Hierarchien und Arbeitsabläufe der Organisation

4.3 Informationssicherheitsbeauftragter (ISB)

VdS 10000
M1 Das Topmanagement MUSS die Verantwortlichkeiten eines Informationssicherheitsbeauftragten (ISB) einem Mitarbeiter zuweisen.
M2 Dieser MUSS darauf hinwirken, dass die in der Leitlinie Dokument des Topmanagements, das ein Ziel des Unternehmens und seine Priorität definiert sowie Verantwortlichkeiten zu seiner Erreichung festlegt. zur Informationssicherheit (IS-Leitlinie) definierten Ziele der Informationssicherheit erreicht werden.
M3 Hierfür MUSS er insbesondere die folgenden Verantwortlichkeiten wahrnehmen:
M3.1 1. Steuern, Koordinieren und Prüfen der technischen und organisatorischen Maßnahmen, kontinuierliches Verbessern der Informationssicherheit, insbesondere Anpassen der Informationssicherheit an neue Bedrohungen, Änderungen im technischen und organisatorischen Umfeld und an neue gesetzliche, betriebliche und vertragliche Anforderungen
M3.2 2. jährliches Berichten an das Informationssicherheitsteam (IST) Gremium, das die Aufgaben gem. Abschnitt 4.4 wahrnimmt. über den aktuellen Stand der Informationssicherheit, insbesondere über Mängel, Risiken und Sicherheitsvorfälle
E1 Es SOLLTE sichergestellt werden, dass die Verantwortlichkeiten des ISB auch in seiner Abwesenheit wahrgenommen werden.
E2 Dies KANN z. B. durch eine Stellvertreterregelung umgesetzt werden.

4.4 Informationssicherheitsteam (IST)

VdS 10000
M1 Das Topmanagement MUSS ein Informationssicherheitsteam (IST) bestellen.
M2 In diesem MÜSSEN folgende Organisationseinheiten bzw. Positionen persönlich oder durch einen Repräsentanten vertreten sein:
M2.1 1. Topmanagement
M2.2 2. ISB
M2.3 3. IT-Verantwortliche
M2.4 4. Mitarbeiter (z. B. über Betriebsrat)
M2.5 5. Verantwortliche für den Datenschutz (z. B. Datenschutzmanager und/oder Datenschutzbeauftragter)
M3 Das Team MUSS den ISB unterstützen, insbesondere bei den folgenden Tätigkeiten:
M3.1 1. Erkennen und Bewerten neuer Bedrohungen und Schwachstellen
M3.2 2. Entwickeln und Bewerten von Maßnahmen zur Informationssicherheit
M3.3 3. organisationsweites Steuern und Koordinieren der Maßnahmen zur Informationssicherheit

4.5 IT-Verantwortliche

VdS 10000
M1 Die Aufgaben eines IT-Verantwortlichen MÜSSEN vom Topmanagement mindestens einem Mitarbeiter zugewiesen werden.
M2 IT-Verantwortliche MÜSSEN folgende Aufgaben wahrnehmen:
M2.1 1. Umsetzen der IS-Richtlinien in ihrem Verantwortungsbereich durch entsprechende technische und organisatorische Maßnahmen
M2.2 2. Abstimmen aller Maßnahmen mit dem ISB, die aus ihrer Sicht zur Verbesserung und Erhaltung der Informationssicherheit in ihrem Verantwortungsbereich ergriffen werden müssen sowie deren Planung, Koordination und Umsetzung

4.6 Administratoren

VdS 10000
M1 Die Verantwortlichkeiten eines Administrators MÜSSEN mindestens einem Mitarbeiter zugewiesen werden.
M2 Administratoren MÜSSEN in Abstimmung mit dem IT-Verantwortlichen die technischen Maßnahmen für die Informationssicherheit implementieren.

4.7 Vorgesetzte

VdS 10000
M1 Vorgesetzte, die Verantwortung für Mitarbeiter tragen, MÜSSEN sicherstellen, dass die getroffenen technischen und organisatorischen Maßnahmen zur Informationssicherheit in Bezug auf die ihnen unterstellten Mitarbeiter umgesetzt werden.

4.8 Mitarbeiter

VdS 10000
M1 Mitarbeiter MÜSSEN folgende Aufgaben wahrnehmen:
M1.1 1. Einhalten und Umsetzen aller sie oder ihre Tätigkeit betreffenden Maßnahmen zur Informationssicherheit
M1.2 2. Melden von Störungen, Ausfällen und Sicherheitsvorfällen

4.9 Projektverantwortliche

VdS 10000
M1 Projektverantwortliche MÜSSEN den ISB bei allen Projekten mit Auswirkung auf die Informationsverarbeitung konsultieren, um sicherzustellen, dass sicherheitsrelevante Aspekte ausreichend beachtet werden.

4.10 Externe

VdS 10000
M1 Externe MÜSSEN verpflichtet werden, die sie betreffenden Maßnahmen und Regelungen zur Informationssicherheit einzuhalten bzw. umzusetzen, sofern sie Zugriff Datenaustausch zwischen einer zugreifender Instanz und einem IT-System. auf kritische Informationen besitzen oder sie nichtöffentliche Bereiche der Informationstechnologie (IT) der Organisation nutzen.
Cookies helfen bei der Bereitstellung von Inhalten. Durch die Nutzung dieser Seiten erklären Sie sich damit einverstanden, dass Cookies auf Ihrem Rechner gespeichert werden. Weitere Information
10000/04.txt · Zuletzt geändert: 06.02.2019 22:25 von Mark Semmler, 3473 Gurus GbR

Hier finden Sie unser Impressum und unsere Datenschutzerklärung.