Unterstützung für den Chief Information Security Officer (CISO)

Trennlinie

Anforderungen an einen Information Security Officer (ISO) und einen Chief Information Security Officer (CISO)

Informationssicherheit hat in den vergangenen Jahren erheblich an Komplexität und Bedeutung zugenommen. Die absehbare Entwicklung wird diesen Trend weiter forcieren.

Ursprünglich wurde das Thema der Informationssicherheit auf die IT-Sicherheit begrenzt. Dieser Fokus wurde aber von der Begrenzung auf die IT befreit und auf eine gesamtheitliche Betrachtung der Sicherheit von Informationen erweitert, egal ob elektronische Informationen oder analoge Informationen.

Gerade in größeren Organisationen verfügt die Informationssicherheit neben der taktischen auch ein strategische Perspektive. Informationssicherheit beschränkt sich also nicht mehr auf kurzfristige Reaktionen auf Informationssicherheitsereignisse. Statt dessen wird Inforamtionssicherheit und die Umsetzungsstrategie langfristig geplant. Aus dieser Erkenntnis heraus ergeben sich zwangsläufig die Rollen und Aufgaben des Information Officer (ISO) und des Chief Information Officer (CISO).

Die Rolle des Chief Information Security Officers (CISO) und des Information Security Officers (ISO)

Die Hauptaufgaben des Chief Information Security Officers (CISO):

  • Taktische (und zu teilen strategische) Verantwortung für Informationssicherheit
  • Beratung der obersten Leitung
  • Verantwortung für das Informationssicherheit Risikomanagement
  • Führung der Informationssicherheits-Organisation
  • Lenkung und Steuerung des Informationssicherheits-Prozesses.

Die Hauptaufgaben des Information Security Officers (ISO):

  • Operative (und in Teilen taktische) Verantwortung für Informationssicherheit
  • Umsetzung der Informationssicherheit nach den Vorgaben des CISO
  • Beratung der obersten Leitung (je nach organisatorischem Aufbau)
  • Hinwirkung und Mitwirkung für den Informationssicherheitsprozess

Besonderheiten bei Kleinstunternehmen und KMUs

Häufig wird postuliert, dass ein Informationssicherheits-Managementsystem (ISMS) durch Kleinstunternehmen und KMUs aufgrund ihrer Größe und Ressourcen nicht betreibbar sei. Diese Meinung ist natürlich quatsch, statt dessen muss das Informationssicherheits-Managementsystem (ISMS) auf die Organisation konkret zugeschnitten werden. Ein Informationssicherheits-Managementsystem (ISMS) in KMUs scheitert häufig daran, dass versucht wird, Implementierungen von Maßnahmen, die für größere und große Organisationen konzipiert worden sind, unangepasst in Kleinstunternehmen oder KMUs umzusetzen.

Auch wird in Kleinstunternehmen und KMUs die Rolle des Information Security Officers (ISO) und des Chief Information Security Officers (CISO) häufig in einer Person konzentriert und meist als CISO bezeichnet. Diese Person muss dann der Leitung der Organisation direkt unterstellt werden.

Da es in Kleinstunternehmen und KMUs häufig auch kein Informationssicherheits-Managementteam (ISMT) gibt, arbeitet der Chief Information Security Officers (CISO) wesentlich enger mit der obersten Leitung des Kleinstunternehmen oder des KMUs zusammen. Nichtsdestotrotz findet aber auch eine Kommunikation mit den anderen Entscheidungsträgern in der Organisation statt. Hier muss der CISO sein Kommunikationsverhalten auf das Kleinstunternehmen oder KMU abstimmen.

Unterschied der Rollendefinition und der Aufgaben zum Datenschutzbeauftragten (DSB)

Die Rolle des Datenschutzbeauftragten wurde vom Gesetzgeber definiert und auch die Zuweisung der Mindestaufgaben des Datenschutzbeauftragten wurde gesetzlich vorgenommen.

Anders ist dies bei den Rollen des Information Security Officers (ISO) und des Chief Information Security Officers (CISO). Eine gesetzliche Pflicht zur Bestellung gibt es nur in ganz wenigen Ausnahmefällen (§ 109 Abs. 4 TKG).

Die Rollen des Information Security Officers (ISO) und des Chief Information Security Officers (CISO) werden häufig abweichend bezeichnet. Alternativ wird der Chief Information Security Officers (CISO) als Chief Information Security Manager (CISM) bezeichnet. Für den Information Security Officers (ISO) werden zum Beispiel auch die Bezeichnungen des IT-Sicherheitsbeauftragten (IT-SB oder IT-SiBe) oder Informationssicherheitsbeauftragter (ISB) verwendet. Auch die Aufgaben, die diesen Rollen zugewiesen werden, weichen teilweise erheblich voneinander ab.

Unsere Unterstützung für Chief Information Security Officers (CISOs)

Gerne übernehmen wir für Organisationen die folgenden Aufgaben:

  • Stellung eines CISOs, auch gerne vertrtetungsweise oder für eine Interimsphase.
  • Unterstützung des CISOs einer Organisation bei allen seinen Aufgaben.

Wenn Sie weitergehende Informationen haben möchten, vereinbaren Sie mit uns einen Termin.