Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil1)

Zusammensetzung des Projektteams

Dem Verhalten und Agieren der Unternehmensführung kommt im Bereich der Informationssicherheit hohe Bedeutung zu. Da dies in fast allen Bereichen und bei fast allen Themen im Unternehmen der Fall ist, ist diese Erkenntnis weder neu noch originell. Richtig bleibt sie trotzdem.

In der Praxis befindet sich die Informationssicherheit mit vielen anderen Themen in Konkurrenz um die Aufmerksamkeit der obersten Leitungsebene: Datenschutz, Arbeitssicherheit, Compliance etc. Und dabei haben wir über die Notwendigkeiten des eigentlichen Geschäftszweckes noch nicht geredet. Im Ergebnis kommt die Informationssicherheit oft zu kurz und wird „wegdelegiert“. Das ist grundsätzlich verständlich und bis zu einem gewissen Punkt auch statthaft. Die Delegation sollte dann aber sorgfältig erfolgen.

Die Ernennung eines Beauftragten bzw. Verantwortlichen für Informationssicherheit, möge er nun Informationssicherheitsbeauftragter, ISMS-Beauftragter, IT-Security-Manager, CISO oder anders heißen, ist der erste wichtige Schritt. Für die Einführung eines ISMS ist sodann ein Projektteam zu bilden. Auch diese Phase sollte der Vorstand bzw. die Geschäftsführung noch aktiv begleiten. Informationssicherheit ist kein IT-Thema, sondern ein Unternehmensthema. Viele Bereiche und Abteilungen sind beteiligt, u. a.: Personalabteilung, Einkauf, Legal & Compliance und natürlich die IT. Dementsprechend sollte das Team für die Einführung eines ISMS interdisziplinärer besetzt werden. IT ist ein sehr wichtiger, wahrscheinlich der umfangreichste Teilbereich im ISMS; zu techniklastig sollte das Team aber nicht sein.

Die richtige Zusammensetzung des Projektteams für die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001:2013 ist für den Erfolg sehr wichtig. Vorstände und Geschäftsführer sollten daher die grundlegende Funktionsweise eines ISMS verstehen sowie ihre eigenen Aufgaben und Möglichkeiten innerhalb des Systems sowie ihre Gestaltungsmöglichkeiten am System kennen.

Es heißt, der Unterschied zwischen Delegieren und Abschieben sei der, dass man sich beim Delegieren weiterhin für die Ergebnisse interessiert. In diesem Sinne werden wir uns in den nächsten Folgen dieser Artikelserie mit weiteren Aspekten des ISMS aus der Perspektive der obersten Leitung beschäftigen, z.B. mit der Aufbauorganisation, dem Berichtswesen und der Kommunikation im laufenden Betrieb eines ISMS.

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!