Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

Ihr Inhalt

4 Organisation der Informationssicherheit

Informationssicherheit Schutz von Informationen hinsichtlich gegebener Sicherheitsanforderungen (bspw. Vertraulichkeit, Verfügbarkeit oder Integrität). ist dynamisch und für jedes Unternehmen individuell. Um mit möglichst geringem Aufwand das vom Unternehmen angestrebte Sicherheitsniveau zu definieren, umzusetzen und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage anzupassen, ist es notwendig, einen entsprechenden Prozess System von Tätigkeiten, das Eingaben mit Hilfe von Mitteln in Ergebnisse umwandelt. (Informationssicherheitsprozess Organisatorische Verankerung von Aktivitäten zur Etablierung, Erhaltung und Weiterentwicklung der Informationssicherheit.) zu etablieren.

4.1 Verantwortlichkeiten

M1 Verantwortlichkeiten für den Informationssicherheitsprozess MÜSSEN eindeutig und widerspruchsfrei zugewiesen werden.

4.1.1 Zuweisung und Dokumentation

Es MUSS für jede Verantwortlichkeit im Informationssicherheitsprozess dokumentiert werden:
M1 1. welche Ziele erreicht werden sollen
M2 2. für welche Ressourcen die Verantwortlichkeit besteht
M3 3. welche Aufgaben erfüllt werden müssen, damit die Ziele erreicht werden
M4 4. welche Berechtigungen an die Verantwortlichkeit gebunden sind, um diese wahrnehmen zu können
M5 5. welche Ressourcen für die Wahrnehmung der Verantwortlichkeit zur Verfügung stehen
M6 6. wie und durch welche Position Platz, den ein Mitarbeiter in der Hierarchie eines Unternehmens einnimmt.(en) die Erfüllung der Verantwortlichkeit überprüft wird
M7 7. welche Positionen die Verantwortlichkeit wahrnehmen

4.1.2 Funktionstrennungen

M1 Bei der Verteilung der Verantwortlichkeiten im Informationssicherheitsprozess MUSS das Prinzip der Funktionstrennung umgesetzt werden. Widersprüchliche Verantwortlichkeiten DÜRFEN NICHT von ein und derselben Person oder Unternehmenseinheit wahrgenommen werden.
M2 Ist eine Funktionstrennung nicht oder nur mit einem unverhältnismäßig hohen Aufwand durchführbar, MÜSSEN andere Maßnahmen wie Überwachung von Tätigkeiten, Kontrollen oder Leitungsaufsicht umgesetzt werden.
M3 Ist eine Funktionstrennung nicht durchführbar, MUSS dies in der Dokumentation der Funktionsverteilung besonders hervorgehoben und begründet werden.
M4 Um Zuständigkeitslücken oder Überschneidungen von Verantwortlichkeiten im Informationssicherheitsprozess zu vermeiden, MÜSSEN die entsprechenden Regelungen jährlich vom Informationssicherheitsbeauftragten (ISB) überprüft werden.

4.1.3 Ressourcen

M1 Um Verantwortlichkeiten im Informationssicherheitsprozess wahrzunehmen, MUSS das entsprechende Personal Interne und externe Mitarbeiter. im erforderlichen Umfang (siehe Abschnitt 4.1.1) von anderen Tätigkeiten freigestellt werden.

4.1.4 Delegieren von Aufgaben

Verantwortliche für Informationssicherheit DÜRFEN Aufgaben an andere Personen delegieren.
M1 Die Verantwortung bleibt jedoch bei ihnen, sodass sie die Erfüllung und das Ergebnis der delegierten Aufgaben überprüfen MÜSSEN.

4.2 Topmanagement

Das Topmanagement Oberste Führungsebene, wie z. B. Vorstände, Geschäftsführer oder Behördenleiter. MUSS sich zur Wahrnehmung folgender Verantwortlichkeiten verpflichten:
M1 1. übernehmen der Gesamtverantwortung für die Informationssicherheit
M2 2. übernehmen der Verantwortlichkeit für den Informationssicherheitsprozess
M3 3. in Kraft setzen von Richtlinien für die Informationssicherheit (IS-Richtlinien)
M4 4. bereitstellen der notwendigen technischen, finanziellen und personellen Ressourcen für die Informationssicherheit
M5 5. einbetten der Informationssicherheit in die Strukturen, Hierarchien und Arbeitsabläufe des Unternehmens

4.3 Informationssicherheitsbeauftragter (ISB)

M1 Das Topmanagement MUSS die Verantwortlichkeiten eines Informationssicherheitsbeauftragten (ISB) einem Mitarbeiter Natürliche Person, die in einem Vertragsverhältnis mit dem Unternehmen steht und eine oder mehrere Positionen im Unternehmen einnimmt. zuweisen.
Dieser MUSS folgende Verantwortlichkeiten wahrnehmen:
M2 1. initiieren, planen, umsetzen und steuern des Informationssicherheitsprozesses
M3 2. erarbeiten konkreter Verbesserungsvorschläge
M4 3. unterstützen des Topmanagements bei der Erarbeitung und jährlichen Überprüfung sowie bei der Anpassung der IS-Leitlinie Dokument des Topmanagements, das ein Ziel des Unternehmens und seine Priorität definiert sowie Verantwortlichkeiten zu seiner Erreichung festlegt. (siehe Kapitel 5)
M5 4. unterstützen des Topmanagements in zentralen Fragen der Informationssicherheit
M6 5. erarbeiten und jährliches überprüfen sowie anpassen aller IS-Richtlinien
M7 6. untersuchen von sicherheitsrelevanten Ereignissen
M8 7. einleiten und steuern von Sensibilisierungs- und Schulungsmaßnahmen
M9 8. Ansprechpartner bei Projekten mit Auswirkungen auf die Informationsverarbeitung, sowie bei der Einführung neuer Software und IT-Systeme sein, um sicherzustellen, dass sicherheitsrelevante Aspekte ausreichend beachtet werden
M10 9. jährliches berichten an das Informationssicherheitsteam (IST) Gremium, das die Aufgaben gem. Abschnitt 4.4 wahrnimmt. über den aktuellen Stand der Informationssicherheit im Unternehmen, insbesondere über Risiken und Sicherheitsvorfälle
M11 10. wahrnehmen der Rolle Bündel von Verhaltenserwartungen und Verantwortlichkeiten, die an eine Position gerichtet wird. des zentralen Ansprechpartners für Informationssicherheit

4.4 Informationssicherheitsteam (IST)

M1 Das Topmanagement MUSS ein Informationssicherheitsteam (IST) bestellen.
M2

In diesem MÜSSEN folgende Unternehmenseinheiten bzw. Positionen persönlich oder durch einen Repräsentanten vertreten sein:

  1. Topmanagement
  2. ISB
  3. Personal
  4. Datenschutzbeauftragter (sofern vorhanden)
Das Team MUSS den ISB bei folgenden Tätigkeiten unterstützen:
M3 1. erstellen der IS-Leitlinie und aller IS-Richtlinien
M4 2. jährliches überprüfen der IS-Leitlinie und aller IS-Richtlinien
M5 3. unternehmensweites koordinieren und lenken der Informationssicherheitsmaßnahmen
M6 4. erkennen neuer Gefährdungen

4.5 IT-Verantwortlicher

M1 Die Aufgaben eines IT-Verantwortlichen MÜSSEN vom Topmanagement einem Mitarbeiter zugewiesen werden.
IT-Verantwortliche MÜSSEN folgende Aufgaben wahrnehmen:
M2 1. umsetzen der IS-Richtlinien in ihrem Verantwortungsbereich durch entsprechende technische und organisatorische Maßnahmen
M3 2. abstimmen aller Maßnahmen mit dem ISB, die aus ihrer Sicht zur Verbesserung und Erhaltung der Informationssicherheit in ihrem Verantwortungsbereich ergriffen werden müssen sowie deren Planung, Koordination und Umsetzung

4.6 Administratoren

M1 Die Verantwortlichkeiten eines Administrators MÜSSEN mindestens einem Mitarbeiter zugewiesen werden.
Administratoren MÜSSEN folgende Verantwortlichkeiten wahrnehmen:
M2 1. implementieren technischer Maßnahmen im Informationssicherheitsprozess in Abstimmung mit dem IT-Verantwortlichen
M3 2. erstellen von Vorschlägen für die Verbesserung der Informationssicherheit

4.7 Vorgesetzte mit Personalverantwortung

M1 Vorgesetzte mit Personalverantwortung MÜSSEN sicherstellen, dass die getroffenen technischen und organisatorischen Maßnahmen zur Informationssicherheit in Bezug auf das ihnen unterstellte Personal umgesetzt werden.

4.8 Personal

Das Personal MUSS die folgenden Aufgaben wahrnehmen:
M1 1. einhalten und umsetzen aller sie oder ihre Tätigkeit betreffenden Maßnahmen und Regelungen zur Informationssicherheit
M2 2. melden von Störungen, Sicherheitsvorfällen und Notfällen

4.9 Projektverantwortliche

M1 Projektverantwortliche MÜSSEN den ISB bei allen Projekten mit Auswirkung auf die Informationsverarbeitung konsultieren, um sicherzustellen, dass sicherheitsrelevante Aspekte ausreichend beachtet werden.

4.10 Lieferanten und sonstige Auftragnehmer

M1 Das Unternehmen MUSS Lieferanten und sonstigen Auftragnehmer verpflichten, die sie betreffenden Maßnahmen und Regelungen zur Informationssicherheit einzuhalten bzw. umzusetzen, sofern sie Zugriff Datenaustausch zwischen einer zugreifender Instanz und einem IT-System. auf kritische Informationen (siehe Abschnitt 9.2) besitzen oder sie nichtöffentliche Bereiche der Informationstechnologie (IT) des Unternehmens nutzen.
Cookies helfen bei der Bereitstellung von Inhalten. Durch die Nutzung dieser Seiten erklären Sie sich damit einverstanden, dass Cookies auf Ihrem Rechner gespeichert werden. Weitere Information
3473/04_orga.txt · Zuletzt geändert: 10.06.2016 13:38 von Mark Semmler, 3473 Gurus GbR

Hier finden Sie unser Impressum und unsere Datenschutzerklärung.