0%

Organisation

Organisation der Informationssicherheit

Zur Durchsetzung von Sicherheitsmaßnahmen in einem Unternehmen ist es wichtig, dass die Unternehmensleitung die Verantwortung hierfür übernimmt. Zusätzlich sollten für die Abgrenzung der Aufgabengebiete, aber auch zur Vermeidung von Zuständigkeitslücken die Verantwortlichkeiten für alle wesentlichen Aufgaben, insbesondere im Informationssicherheitsprozess, nachvollziehbar geregelt sein.

Unser Topmanagement hat sich schriftlich verpflichtet, die Gesamtverantwortung für die Informationssicherheit wahrzunehmen.
Ja
Nein
Trifft auf unser Unternehmen nicht zu
Keine Angabe
 

Damit Informationssicherheit im Unternehmen wirksam gelebt wird, ist es unabdingbar, dass das Topmanagement sich hierzu eindeutig bekennt und verpflichtet. Dies erfolgt üblicherweise durch die sogenannte Informationssicherheitsleitlinie.
Die Leitlinie zur Informationssicherheit (IS-Leitlinie) ist das zentrale Dokument für den gesamten Informationssicherheitsprozess, da in ihr die zu erreichenden Ziele durch das Topmanagement vorgegeben und Verantwortlichkeiten sowie Befugnisse definiert werden. Die IS-Leitlinie enthält üblicherweise mindestens die folgenden Inhalte:
1. Sie definiert die Ziele und den Stellenwert der Informationssicherheit im Unternehmen.
2. Sie definiert sämtliche Positionen für den Informationssicherheitsprozess und weist auf deren Aufgaben hin.
3. Sie weist auf die Konsequenzen bei ihrer Nichtbeachtung hin.
(Vergleiche auch VdS 3473 Kapitel 5)

Wir haben klare Verantwortlichkeiten für unsere Informationssicherheit definiert.
Ja
Nein
Trifft auf unser Unternehmen nicht zu
Keine Angabe
 

Die Verantwortlichkeiten im Unternehmen müssen klar geregelt sein, um die notwendige Sicherheit gewährleisten zu können. Üblicherweise werden folgende Verantwortlichkeiten in Unternehmen anzutreffen sein: Das Topmanagement, der Informationssicherheitsbeauftragte (ISB), das Informationssicherheitsteam, die IT-Verantwortlichen, die Administratoren, Vorgesetzte mit Personalveranwortung, das Personal, Projektverantwortliche und Externe und Lieferanten. Jedem Genannten muss klar, was seine Aufgaben und Pflichten sind, und welche Regeln er befolgen muss, um Informationssicherheit für das Unternehmen gewährleisten zu können. Gerade in kleineren Unternehmen werden verschiedene Verantwortlichkeiten von ein und denselben Personen ausgefüllt sein. Deshalb ist eine besonders klare Zuordnung wichtig, damit das Zusammenspiel funktioniert.
(Siehe auch VdS 3473, Kapitel 4)

Wir haben das Prinzip der Funktionstrennung umgesetzt, d.h. Ausführung und Kontrolle der Aufgaben zur Gewährleistung der Informationssicherheit sind voneinander getrennt.
Ja
Nein
Trifft auf unser Unternehmen nicht zu
Keine Angabe
 

Bei der Verteilung der Verantwortlichkeiten im Informationssicherheitsprozess muss das Prinzip der Funktionstrennung umgesetzt werden. Widersprüchliche Verantwortlichkeiten dürfen nicht von ein und derselben Person oder Unternehmenseinheit wahrgenommen werden.
Ist eine Funktionstrennung nicht oder nur mit einem unverhältnismäßig hohen Aufwand durchführbar, müssen andere Maßnahmen wie Überwachung von Tätigkeiten, Kontrollen oder Leitungsaufsicht umgesetzt werden.
Ist eine Funktionstrennung nicht durchführbar, muss dies in der Dokumentation der Funktionsverteilung besonders hervorgehoben und begründet werden.
Um Zuständigkeitslücken oder Überschneidungen von Verantwortlichkeiten im Informationssicherheitsprozess zu vermeiden, müssen die entsprechenden Regelungen jährlich vom Informationssicherheitsbeauftragten (ISB) überprüft werden.
(Vergleiche auch VdS 3473, Kapitel 4.1.2)