Zusammensetzung des Projektteams
Dem Verhalten und Agieren der Unternehmensführung kommt im Bereich der Informationssicherheit hohe Bedeutung zu. Da dies in fast allen Bereichen und bei fast allen Themen im Unternehmen der Fall ist, ist diese Erkenntnis weder neu noch originell. Richtig bleibt sie trotzdem.
In der Praxis befindet sich die Informationssicherheit mit vielen anderen Themen in Konkurrenz um die Aufmerksamkeit der obersten Leitungsebene: Datenschutz, Arbeitssicherheit, Compliance etc. Und dabei haben wir über die Notwendigkeiten des eigentlichen Geschäftszweckes noch nicht geredet. Im Ergebnis kommt die Informationssicherheit oft zu kurz und wird „wegdelegiert“. Das ist grundsätzlich verständlich und bis zu einem gewissen Punkt auch statthaft. Die Delegation sollte dann aber sorgfältig erfolgen.
Die Ernennung eines Beauftragten bzw. Verantwortlichen für Informationssicherheit, möge er nun Informationssicherheitsbeauftragter, ISMS-Beauftragter, IT-Security-Manager, CISO oder anders heißen, ist der erste wichtige Schritt. Für die Einführung eines ISMS ist sodann ein Projektteam zu bilden. Auch diese Phase sollte der Vorstand bzw. die Geschäftsführung noch aktiv begleiten. Informationssicherheit ist kein IT-Thema, sondern ein Unternehmensthema. Viele Bereiche und Abteilungen sind beteiligt, u. a.: Personalabteilung, Einkauf, Legal & Compliance und natürlich die IT. Dementsprechend sollte das Team für die Einführung eines ISMS interdisziplinärer besetzt werden. IT ist ein sehr wichtiger, wahrscheinlich der umfangreichste Teilbereich im ISMS; zu techniklastig sollte das Team aber nicht sein.
Die richtige Zusammensetzung des Projektteams für die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001:2013 ist für den Erfolg sehr wichtig. Vorstände und Geschäftsführer sollten daher die grundlegende Funktionsweise eines ISMS verstehen sowie ihre eigenen Aufgaben und Möglichkeiten innerhalb des Systems sowie ihre Gestaltungsmöglichkeiten am System kennen.
Es heißt, der Unterschied zwischen Delegieren und Abschieben sei der, dass man sich beim Delegieren weiterhin für die Ergebnisse interessiert. In diesem Sinne werden wir uns in den nächsten Folgen dieser Artikelserie mit weiteren Aspekten des ISMS aus der Perspektive der obersten Leitung beschäftigen, z.B. mit der Aufbauorganisation, dem Berichtswesen und der Kommunikation im laufenden Betrieb eines ISMS.
Bisher erschienen:
- Informationssicherheit für Vorstände und Geschäftsführer – Zusammensetzung des Projektteams (dieser Artikel)
- Informationssicherheit für Vorstände und Geschäftsführer – Rollen und Aufbauorganisation
- Informationssicherheit für Vorstände und Geschäftsführer – Berichtswege
Seminar „Informationssicherheit für Vorstände und Geschäftsführer“
Unser Seminar „Informationssicherheit für Vorstände und Geschäftsführer“ bereitet diese Zielgruppe in kompakter Form auf ihre Aufgaben bei der Einführung und im laufenden Betrieb eines ISMS vor. Neben anderen Themen wird auch die Auswahl des Beauftragten für Informationssicherheit sowie die Zusammenstellung des Projektteams behandelt. Das Seminar wendet sich auch an die Mitglieder der obersten Leitungsebene, die das Gefühl haben, in einem bestehenden ISMS ihre persönliche Rolle noch nicht gefunden zu haben.
Das Seminar richtet sich ausschließlich an die Mitglieder der obersten Leitungsebene, also Vorstände, Geschäftsführer, Präsidenten, Oberbürgermeister etc.
[…] ersten Teil dieser Artikelserie über die Aufgaben von Geschäftsführern und Vorständen in einem I… haben wir uns mit dem Zusammensetzen eines Projektteams für die Einführung eines […]
[…] Beitrag: INFORMATIONSSICHERHEIT NACH ISO 27001 FÜR VORSTÄNDE UND GESCHÄFTSFÜHRER (Teil1) Zusamme… […]