Schlagwortarchiv für: Geschäftsführer

,

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil 4)

Integration der ISMS-Prozesse in die Prozesse des Unternehmens

In den ersten beiden Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzen eines Projektteams für die Einführung des ISMS sowie mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS beschäftigt. Im dritten Teil ging es um die Berichtswege hin zur obersten Leitung eines Unternehmens.

In diesem Beitrag ist die Integration in die Prozesse das Thema.

Verantwortung für die Integration der Anforderungen des ISMS in die Prozesse des Unternehmens

Prozesse spielen eine große Rolle in einem ISMS nach ISO 27001. Diese Prozessorientierung hat in der aktuellen Version ISO 27001:2022 noch zugenommen.

Es ist die Verantwortung der obersten Leitung, also der Geschäftsführer und Vorstände, dass alle Anforderungen des ISMS in die Prozesse der Organisation integriert werden (vergl. ISO 27001:2022 Kap. 5.1 b). Diese Pflicht beschränkt sich also nicht nur auf das Mitglied der Unternehmensführung, in dessen Geschäftsbereich das ISMS als solches verantwortet wird. Begründet wird eine Pflicht für alle Geschäftsführungsmitglieder, dafür Sorge zu tragen, dass  in ihrem jeweiligen Verantwortungsbereich die Anforderungen des ISMS nicht nur umgesetzt werden, sondern integraler Bestandteil der Prozesse und Abläufe in ihrem Verantwortungsbereich sind.

Diese Integration kann man sich analog zur Verantwortung für andere Themen wie beispielsweise Datenschutz oder Arbeitssicherheit vorstellen. Auch hierfür gibt es jeweils Spezialisten im Unternehmen. Trotzdem ist jeder verpflichtet, in seinem Verantwortungsbereich auf die Einhaltung der entsprechenden Regeln zu achten und die eigenen Prozesse so anzupassen, dass ein regelkonformes Verhalten durch die üblichen Abläufe (die Prozesse) nicht nur nicht behindert, sondern gefördert wird.

Messung und Auditierung der Prozesse

Die Überwachung und  Messung der Wirksamkeit der etablierten Prozesse ist fester Bestandteil des ISMS (vergl. ISO 27001:2022 Kap. 9.1. a). Beim Aufbau und der Umsetzung des Audiprogramms ist die Bedeutung der Prozesse zu berücksichtigen (vergl. ISO 27001:2022 Kap. 9.2.2). Beides kann nur erfolgreich durchgeführt werden, wenn die Prozesse und Abläufe der Informationssicherheit in die Prozesse und Abläufe des Unternehmens integriert sind.

Abschluss und Fazit

Das ISMS wird nur gut funktionieren und damit für ein echtes Mehr an Informationssicherheit sorgen, wenn es integraler Bestandteil der Organisation ist. Es ist die Aufgabe der obersten Leitung, dies zu fördern und diese Unterstützung durch ihr tägliches Handeln sichtbar zu machen.

Damit wären die wesentlichen Aspekte der Integration der Anforderungen und Prozesse des ISMS in die Prozesse des Unternehmen beschrieben. Damit endet die Artikelreihe über die Aufgaben der obersten Leitung im ISMS.

Was Sie noch interessieren könnte…

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil 3)

Kommunikation und Berichtswege im ISMS

In den ersten beiden Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzen eines Projektteams für die Einführung des ISMS sowie mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS beschäftigt. In diesem Beitrag soll es um die Berichtswege hin zur obersten Leitung eines Unternehmens gehen.

Zuweisung von Verantwortung und Befugnissen zum Berichten

Es ist die Aufgabe der obersten Leitung, also von Geschäftsführern und Vorständen, die Verantwortlichkeit und die Befugnisse für das Berichten über die Leistung des Informationssicherheits-Managementsystems an die oberste Leitung, also an sich selbst, zuzuweisen. Mit anderen Worten, wenn die oberste Leitung nichts aus dem ISMS hört, hat sie selbst etwas falsch gemacht. Lassen wir den Fall, dass genau dies beabsichtigt ist, einmal außen vor…

Die Geschäftsführer und Vorstände sollten also zumindest einer Person, meist dem CISO oder Informationssicherheitsbeauftragten, die Pflicht zur Berichterstattung auferlegen. Verbunden mit einem jederzeitigen und unmittelbaren Vortragsrecht sorgt dies dafür, dass die oberste Leitung auch in außergewöhnlichen Situationen, wie akuten Informationssicherheitsvorfällen jederzeit informiert ist. Aber auch andere Themen, die sonst in der Hierarchie und Bürokratie einer Organisation zu versickern drohen, kommen so “ganz oben” an. Kluge Informationssicherheitsbeauftragte werden von diesem Recht nur sehr dosiert Gebrauch machen, so dass die Befürchtung einer Überbeanspruchung der Führung in der Praxis meist unbegründet ist.

Kennzahlen

Kennzahlen bieten ein wichtiges Steuerungsinstrument. Die ISO 27001:2022 fordert dieses Instrument in Kapitel 9.1, der BSI-Standard 200-1 in Kapitel 4.1 “Aufgaben und Pflichten des Managements”. Sich wichtige Kennzahlen regelmäßig berichten zu lassen, ermöglicht es der Führung im Bilde zu bleiben und steuernd eingreifen zu können. Dabei sollten zwei Ebenen abgedeckt werden:

  1. Wirksamkeit des Informationssicherheits-Managementsystems
    Funktioniert mein Managementsystem? Werden alle notwendigen Aktivitäten durchgeführt, wie z.B. Kennzahlenerfassung, Rollenbesetzungen, Risikobewertungen?
  2. Informationssicherheitsleistung
    Was kommt für die Informationssicherheit hinten raus, z.B. wie häufig auf Links in Phishing-E-Mails geklickt wurde oder wie häufig unbegleitete “Fremde” auf dem Betriebsgelände angetroffen wurden?

Auditberichte

Die eigene Organisation sollte regelmäßig in Hinblick auf Informationssicherheit auditiert werden. Die resultierenden Auditberichte zeigen Nichtkonformitäten und Verbesserungspotentiale auf. Eine wichtige Informationsquelle für die Organisationsleitung.

Managementbewertung

In der Managementbewertung bewertet die Geschäftsführung bzw. der Vorstand ihr bzw. sein ISMS. Diese Sichtweise ist wichtig. Wenn es keine spezifischen Anforderungen gibt, so gehört es mindestens zu den allgemeinen Sorgfaltspflichten der Organisationsleitung für ein angemessenes Niveau der Informationssicherheit zu sorgen. Dieser Pflicht kommt sie nach, indem sie ein ISMS einrichtet bzw. einrichten lässt. In der Folge muss sie sich vergewissern, dass dieses System funktioniert und es daher bewerten.

In der Praxis sieht es meist so aus, dass der Informationssicherheitsbeauftragte (ISB) der obersten Leitung berichtet. Gegenstand des Berichts sind u.a. der Status von Maßnahmen als Folge vorheriger Managementbewertungen, Veränderungen bei verschiedenen das ISMS betreffenden Themen, Nichtkonformitäten und zugehörige Ursachenanalysen sowie Korrekturmaßnahmen, wichtige Kennzahlen, Auditergebnisse, Stand bei der Erreichung von Informationssicherheitszielen, Ergebnisse der Risikobeurteilung,  Umsetzungsgrad beschlossener Maßnahmen sowie allgemeine Möglichkeiten zur fortlaufenden Verbesserung. Auf all diese Dinge muss die Führung wertend reagieren. Notwendige Entscheidungen müssen von der obersten Leitung getroffen werden. Die Managementbewertung ist also nichts, was die oberste Leitung einfach konsumieren darf. Vielmehr ist es andersherum. Der Bericht des ISB liefert nur die Informationen, die als Grundlage für die Bewertung und Anpassung des ISMS durch die Geschäftsführung bzw. Vorstand dienen.

Damit wären die wesentlichen Teile der Kommunikation und Berichtswege an die oberste Leitung im ISMS beschrieben. Wie immer kommt es auch hier darauf an, dies möglichst gut in die Prozesse des Unternehmens zu integrieren. Integration in die Prozesse soll dann auch das Thema des nächsten Artikels dieser Serie werden.

Was Sie noch interessieren könnte…

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Geschäftsführung im ISMS

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Der Schutz firmeneigenen Informationen ist in der heutigen Geschäftswelt elementar, ein ISMS (Informationssicherheits-Managementsystem) kann hier helfen durch das stürmische Gewässer „Informationssicherheit“ zu manövrieren.

In unserem heutigen Podcast zeigen wir auf, was die Einführung eines ISMS aus Führungssicht bedeutet, welche Vorüberlegungen für ein erfolgreiches System nötig sind und welche handfesten Vorteile es bietet, nicht nur in Bezug auf IT-Sicherheit.

Dabei gehen wir in unserer Folge “ Die Geschäftsführung im ISMS“ auf folgende Aspekte ein:

  • Wie wird Informationssicherheit im Unternehmen organisiert?
  • Was wird dabei von der Geschäftsführung konkret erwartet?
  • Wie kann ein ISMS (engl. Information Security Management System) helfen strategische Entscheidungen zu treffen?
  • Wie kann das eigene Haftungsrisiko als Geschäftsführung reduziert werden?

 

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil2)

Rollen und Aufbauorganisation

Im ersten Teil dieser Artikelserie über die Aufgaben von Geschäftsführern und Vorständen in einem ISMS nach ISO 27001 haben wir uns mit dem Zusammensetzen eines Projektteams für die Einführung eines Informationssicherheits-Managementssystems beschäftigt. In diesem Beitrag soll es um die Schaffung und Besetzung notwendiger Rollen, um die Aufbauorganisation für den laufenden Betrieb eines ISMS gehen.

Nichts läuft von alleine. So braucht auch das Thema Informationssicherheit Menschen, die es vorantreiben. Es braucht also zumindest einen Mitarbeiter, der zumindest in Teilzeit diese Aufgabe wahrnimmt. Diese Rolle heißt oft Informationssicherheitsbeauftragter.

Informationssicherheitsbeauftragter / CISO

In größeren Organisationen ist es mit einem “Einzelkämpfer” nicht mehr getan. Es braucht eine ganze Informationssicherheitsorganisation. Der Leiter dieser Unternehmenseinheit heißt dann häufig Leiter Informationssicherheit oder in eher international orientierten Unternehmen Chief Information Security Officer (CISO). Angesiedelt ist diese Stelle meist direkt unterhalb der obersten Leitung, also direkt unter Vorstand oder Geschäftsführung als Stabsstelle oder Stabsbereich. So ist eine enge Anbindung an die Führung sichergestellt. Idealerweise berichten Informationssicherheit (IS) und Informationsverarbeitung (IT) an unterschiedliche Mitglieder der obersten Leitungsebene. Dies bietet die Gewähr dafür, dass etwaige Interessenkonflikte gut sichtbar werden und sachgerecht behandelt werden können.

Weitere Kernrollen der Informationssicherheit

Besteht die Informationssicherheitsorganisation aus mehreren Mitgliedern, setzt oft schnell eine Spezialisierung ein. So gibt es beispielsweise spezialisierte Informationssicherheits-Management-Systembeauftragte, Informationssicherheits-Risikomanager, Interne Auditoren und Spezialisten für die informationstechnischen Aspekte der Informationssicherheit (IT-Security).

Bei allen Rollen sollte man überlegen, ob diese nicht an anderen Stellen im Unternehmen besser angesiedelt sind. So könnten die IT-Security -Spezialisten in der IT angesiedelt werden, der Informationssicherheits-Risikomanager im Unternehmensrisikomanagement und die internen Auditoren in der Revision. Für beide Ansätze, Bündelung der Informationssicherheit in einem Bereich versus Eingliederung in bestehende Strukturen, gibt es gute Argumente. Eine pauschale, für alle zutreffende Antwort kann es wie so häufig nicht geben. Jedes Unternehmen muss gut abwägen, seine Entscheidung treffen, die Wirkung beobachten und ggfs. getroffene Entscheidungen wieder korrigieren oder den sich verändernden Rahmenbedingungen anpassen.

Informationssicherheitskoordinatoren

Schaut man, was Unternehmen, in denen das Thema Informationssicherheit erfolgreich betrieben wird, von denen unterscheidet, wo Informationssicherheit nur formal, künstlich und die eigentlichen Betriebsabläufe eher störend umgesetzt wird, stößt man immer wieder auf eine Rolle: Informationssicherheitskoordinatoren. Sie kommen aus den Fachbereichen, sind also beispielsweise Buchhalter, Personalmanager, Marketing-Spezialisten, Produktionsmitarbeiter. In einer Nebentätigkeit von vielleicht einem Tag pro Monat setzen Sie sich mit Fragen der Informationssicherheit in ihrem Bereich auseinander, sie nehmen an Meetings mit den anderen Koordinatoren und den Kernrollen der Informationssicherheit teil. Es ist ihre Aufgabe zwischen den Welten zu übersetzen und zu vermitteln. Sie vertreten die Belange der Informationssicherheit in ihren Teilorganisationen und deren fachliche Belange gegenüber der Informationssicherheit.

Wichtig ist es, hier motivierte Mitarbeiter zu haben, die wirklich Lust haben, sich neben ihrer eigentlichen Tätigkeit mit einem weiteren Thema zu beschäftigen. Besser sollte in einem Bereich die Rolle (vorübergehend) unbesetzt bleiben, als dass man jemanden überredet oder sogar bestimmt. Damit wäre weder dem Thema gedient, noch ist das angenehm für die “Abkommandierten”. Meist findet man genügend freiwillige Mitarbeiter, die Spaß daran haben, sich mit dem wichtigen Thema Informationssicherheit auseinander zu setzen und so auch den eigenen persönlichen Horizont zu erweitern. Manchmal braucht es nur ein wenig Zeit, weil potentielle Interessenten erst einmal sehen wollen, was die Übernahme einer solchen Aufgabe tatsächlich bedeutet. Das notwendige fachliche Wissen lässt sich meist leicht über die Zeit herstellen. Hire for attitude and train for skills!

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Schlagwortarchiv für: Geschäftsführer

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen