Inhaltsverzeichnis
Strukturen
| ISMS-Konzept | |
|---|---|
| Titel | Strukturen |
| Autor:in | Stefan Voigt |
| Versionsnummer | 0 |
| Vertraulichkeit | intern |
| Art | Konzeptteil |
Der Aufbau einer Sicherheitsorganisation sollte dokumentiert werden. Dazu gehören die organisatorische Verankerung in der Aufbauorganisation 1) sowie die entsprechenden Rollen und Verantwortlichkeiten.
Hintergrund: Rollen im Informationssicherheitsmanagement
Organigramm der Mittelstand GmbH:
Management-Ebene
- Aufgaben und Pflichten des Managements nach [BSI, Oktober 2017BSI, Bundesamt für Sicherheit in der Informationstechnik (Oktober 2017): "BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)". (Link)], S. 20-22:
- Gesamtverantwortung für Informationssicherheit 2)
- Initiierung, Steuerung und Kontrolle der Informationssicherheit
- Integration der Informationssicherheit
- Setzen von erreichbaren Ziele
- Abwägung Sicherheitskosten gegen Nutzen
- Ausüben der Vorbildfunktion
- Ansprechpartner ist unser Geschäftsführer Herr Müller
ISB
Aufgaben des ISB nach [BSI, Oktober 2017BSI, Bundesamt für Sicherheit in der Informationstechnik (Oktober 2017): "BSI-Standard 200-2: IT-Grundschutz-Methodik". (Link)], S. 41): [ggf. auch externer ISB): 
- den Informationssicherheitsprozess zu steuern und an allen damit zusammenhängenden Aufgaben mitzuwirken,
- die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit zu unterstützen,
- die Erstellung des Sicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte und System-Sicherheitsrichtlinien zu koordinieren sowie weitere Richtlinien und Regelungen zur Informationssicherheit zu erlassen,
- die Realisierung von Sicherheitsmaßnahmen zu initiieren und zu überprüfen,
- der Leitungsebene und dem IS-Management-Team über den Statusquo der Informationssicherheit zu berichten,
- sicherheitsrelevante Projekte zu koordinieren,
- Sicherheitsvorfälle zu untersuchen und
- Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und koordinieren.
- ISB der Mittelstand GmbH ist Stefan Voigt
IT-Abteilung
Aufgaben der IT-Abteilung
- Sicherstellung des laufenden Betriebs der IT
- IT-Sicherheit auf technischer Ebene planen und umsetzen
- Beschaffung, Einrichtung und Aussonderung von Hard- und Software
- IT-Probleme schnell und kundenorientiert behandeln
- Bewertung von technischen Sicherheitsrisiken
- Ansprechpartnerin bei der Mittelstand GmbH ist Frau Schulze
Datenschutzbeauftragter
Aufgaben des Datenschutzbeauftragten
- Sicherstellung des datenschutzkonformen Umgangs mit personenbezogenen Daten
- Bewertung von Risiken hinsichtlich des Datenschutzes
- Beratende Funktion beim Erstellen und Weiterentwickeln des IT-Sicherheitskonzeptes
- Datenschutzbeauftragter der Mittelstand GmbH ist der externe Dienstleister
Alle Mitarbeitenden
Aufgaben aller Mitarbeitenden
- Sensibler Umgang mit personenbezogenen Daten entsprechend interner Datenschutzvorgaben
- Sicherheitssensibler Umgang mit bereitgestellter IT entsprechend der durchgeführten Schulungen
- Einhaltung aller sicherheitsrelevanten Vorgaben entsprechend des IT-Sicherheitskonzeptes
- Sofortige Meldung bei IT-Sicherheitsvorfällen oder Datenschutzverstößen
1)
„Die Aufbauorganisation, die zur Förderung und Durchsetzung des Informationssicherheitsprozesses erforderlich ist, wird als Informationssicherheitsorganisation oder kurz IS-Organisation bezeichnet.“ [BSI, Oktober 2017BSI, Bundesamt für Sicherheit in der Informationstechnik (Oktober 2017): "BSI-Standard 200-2: IT-Grundschutz-Methodik". (Link)], S. 36
2)
„Die Verantwortung für Informationssicherheit verbleibt in jedem Fall bei der obersten Managementebene, die Aufgabe „Informationssicherheit“ wird allerdings typischerweise an einen Beauftragten für Informationssicherheit delegiert.“ [BSI, Oktober 2017BSI, Bundesamt für Sicherheit in der Informationstechnik (Oktober 2017): "BSI-Standard 200-2: IT-Grundschutz-Methodik". (Link)], S. 12