Metainformationen zur Seite

Strukturen

ISMS-Konzept
TitelStrukturen
Autor:inStefan Voigt
Versionsnummer0
Vertraulichkeitintern
ArtKonzeptteil

Der Aufbau einer Sicherheitsorganisation sollte dokumentiert werden. Dazu gehören die organisatorische Verankerung in der Aufbauorganisation 1) sowie die entsprechenden Rollen und Verantwortlichkeiten.

Hintergrund: Rollen im Informationssicherheitsmanagement

Organigramm der Mittelstand GmbH:

Management-Ebene

  • Aufgaben und Pflichten des Managements nach [BSI, Oktober 2017BSI, Bundesamt für Sicherheit in der Informationstechnik (Oktober 2017): "BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)". (Link)], S. 20-22:
    • Gesamtverantwortung für Informationssicherheit 2)
    • Initiierung, Steuerung und Kontrolle der Informationssicherheit
    • Integration der Informationssicherheit
    • Setzen von erreichbaren Ziele
    • Abwägung Sicherheitskosten gegen Nutzen
    • Ausüben der Vorbildfunktion
  • Ansprechpartner ist unser Geschäftsführer Herr Müller

ISB

Aufgaben des ISB nach [BSI, Oktober 2017BSI, Bundesamt für Sicherheit in der Informationstechnik (Oktober 2017): "BSI-Standard 200-2: IT-Grundschutz-Methodik". (Link)], S. 41): [ggf. auch externer ISB): FIXME

  • den Informationssicherheitsprozess zu steuern und an allen damit zusammenhängenden Aufgaben mitzuwirken,
  • die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit zu unterstützen,
  • die Erstellung des Sicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte und System-Sicherheitsrichtlinien zu koordinieren sowie weitere Richtlinien und Regelungen zur Informationssicherheit zu erlassen,
  • die Realisierung von Sicherheitsmaßnahmen zu initiieren und zu überprüfen,
  • der Leitungsebene und dem IS-Management-Team über den Statusquo der Informationssicherheit zu berichten,
  • sicherheitsrelevante Projekte zu koordinieren,
  • Sicherheitsvorfälle zu untersuchen und
  • Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und koordinieren.
  • ISB der Mittelstand GmbH ist Stefan Voigt

IT-Abteilung

Aufgaben der IT-Abteilung

  • Sicherstellung des laufenden Betriebs der IT
  • IT-Sicherheit auf technischer Ebene planen und umsetzen
  • Beschaffung, Einrichtung und Aussonderung von Hard- und Software
  • IT-Probleme schnell und kundenorientiert behandeln
  • Bewertung von technischen Sicherheitsrisiken
  • Ansprechpartnerin bei der Mittelstand GmbH ist Frau Schulze

Datenschutzbeauftragter

Aufgaben des Datenschutzbeauftragten

  • Sicherstellung des datenschutzkonformen Umgangs mit personenbezogenen Daten
  • Bewertung von Risiken hinsichtlich des Datenschutzes
  • Beratende Funktion beim Erstellen und Weiterentwickeln des IT-Sicherheitskonzeptes
  • Datenschutzbeauftragter der Mittelstand GmbH ist der externe Dienstleister FIXME

Alle Mitarbeitenden

Aufgaben aller Mitarbeitenden

  • Sensibler Umgang mit personenbezogenen Daten entsprechend interner Datenschutzvorgaben
  • Sicherheitssensibler Umgang mit bereitgestellter IT entsprechend der durchgeführten Schulungen
  • Einhaltung aller sicherheitsrelevanten Vorgaben entsprechend des IT-Sicherheitskonzeptes
  • Sofortige Meldung bei IT-Sicherheitsvorfällen oder Datenschutzverstößen
1)
„Die Aufbauorganisation, die zur Förderung und Durchsetzung des Informationssicherheitsprozesses erforderlich ist, wird als Informationssicherheitsorganisation oder kurz IS-Organisation bezeichnet.“ [BSI, Oktober 2017BSI, Bundesamt für Sicherheit in der Informationstechnik (Oktober 2017): "BSI-Standard 200-2: IT-Grundschutz-Methodik". (Link)], S. 36
2)
„Die Verantwortung für Informationssicherheit verbleibt in jedem Fall bei der obersten Managementebene, die Aufgabe „Informationssicherheit“ wird allerdings typischerweise an einen Beauftragten für Informationssicherheit delegiert.“ [BSI, Oktober 2017BSI, Bundesamt für Sicherheit in der Informationstechnik (Oktober 2017): "BSI-Standard 200-2: IT-Grundschutz-Methodik". (Link)], S. 12