====== Strukturen ====== Der Aufbau einer Sicherheitsorganisation sollte dokumentiert werden. Dazu gehören die organisatorische Verankerung in der Aufbauorganisation (("Die Aufbauorganisation, die zur Förderung und Durchsetzung des Informationssicherheitsprozesses erforderlich ist, wird als Informationssicherheitsorganisation oder kurz IS-Organisation bezeichnet." {[BSI2002]}, S. 36)) sowie die entsprechenden Rollen und Verantwortlichkeiten. ++++ Hintergrund: Rollen im Informationssicherheitsmanagement | Rollen im Informationssicherheitsmanagement nach {[BSI2002]}, S. 36: * Leitungsebene: behält die Gesamtverantwortung * Informationssicherheitsbeauftragte (ISB): koordiniert den Informationssicherheitsprozess (auch als externer ISB möglich) * Mitarbeitende: sind für die Aufrechterhaltung der Informationssicherheit im Einflussbereich verantwortlich * Ggf. Datenschutzbeauftragter (wenn nach DSGVO für das Unternehmen gesetzlich vorgeschrieben „Bei der Ausgestaltung der Rollen und der Verteilung der Aufgaben ist darauf zu achten, welche Aufgaben in Personalunion wahrgenommen werden können und wo es zu Rollenkonflikten kommen könnte. Aus der Sicht des Informationssicherheitsmanagements ist zu klären, inwieweit der ISB weitere Rollen übernehmen kann, wie z. B. die des Notfallbeauftragten. Diese Rollen schließen sich nicht grundsätzlich aus. Ausschlaggebend sind jedoch Faktoren wie die Größe und Ausrichtung der Institution, die Durchdringung der Geschäftsprozesse mit IT und die Ausprägung des Sicherheitsmanagements.“ BSI 200-2, S. 50 ++++ Organigramm der Mittelstand GmbH: {{ :komponenten:sicherheitskonzept:organigramm.svg |}} ===== Management-Ebene ===== * Aufgaben und Pflichten des Managements nach {[BSI2001]}, S. 20-22: * Gesamtverantwortung für Informationssicherheit ((„Die Verantwortung für Informationssicherheit verbleibt in jedem Fall bei der obersten Managementebene, die Aufgabe „Informationssicherheit“ wird allerdings typischerweise an einen Beauftragten für Informationssicherheit delegiert.“ {[BSI2002]}, S. 12)) * Initiierung, Steuerung und Kontrolle der Informationssicherheit * Integration der Informationssicherheit * Setzen von erreichbaren Ziele * Abwägung Sicherheitskosten gegen Nutzen * Ausüben der Vorbildfunktion * Ansprechpartner ist unser Geschäftsführer Herr Müller ===== ISB ===== Aufgaben des ISB nach {[BSI2002]}, S. 41): [ggf. auch externer ISB): FIXME * den Informationssicherheitsprozess zu steuern und an allen damit zusammenhängenden Aufgaben mitzuwirken, * die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit zu unterstützen, * die Erstellung des Sicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte und System-Sicherheitsrichtlinien zu koordinieren sowie weitere Richtlinien und Regelungen zur Informationssicherheit zu erlassen, * die Realisierung von Sicherheitsmaßnahmen zu initiieren und zu überprüfen, * der Leitungsebene und dem IS-Management-Team über den Statusquo der Informationssicherheit zu berichten, * sicherheitsrelevante Projekte zu koordinieren, * Sicherheitsvorfälle zu untersuchen und * Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und koordinieren. * ISB der Mittelstand GmbH ist [[user:voigt:start|Stefan Voigt]] ===== IT-Abteilung ===== Aufgaben der IT-Abteilung * Sicherstellung des laufenden Betriebs der IT * IT-Sicherheit auf technischer Ebene planen und umsetzen * Beschaffung, Einrichtung und Aussonderung von Hard- und Software * IT-Probleme schnell und kundenorientiert behandeln * Bewertung von technischen Sicherheitsrisiken * Ansprechpartnerin bei der Mittelstand GmbH ist Frau Schulze ===== Datenschutzbeauftragter ===== Aufgaben des Datenschutzbeauftragten * Sicherstellung des datenschutzkonformen Umgangs mit personenbezogenen Daten * Bewertung von Risiken hinsichtlich des Datenschutzes * Beratende Funktion beim Erstellen und Weiterentwickeln des IT-Sicherheitskonzeptes * Datenschutzbeauftragter der Mittelstand GmbH ist der externe Dienstleister FIXME ===== Alle Mitarbeitenden ===== Aufgaben aller Mitarbeitenden * Sensibler Umgang mit personenbezogenen Daten entsprechend interner Datenschutzvorgaben * Sicherheitssensibler Umgang mit bereitgestellter IT entsprechend der durchgeführten Schulungen * Einhaltung aller sicherheitsrelevanten Vorgaben entsprechend des IT-Sicherheitskonzeptes * Sofortige Meldung bei IT-Sicherheitsvorfällen oder Datenschutzverstößen