Rollen und Aufbauorganisation
Im ersten Teil dieser Artikelserie über die Aufgaben von Geschäftsführern und Vorständen in einem ISMS nach ISO 27001 haben wir uns mit dem Zusammensetzen eines Projektteams für die Einführung eines Informationssicherheits-Managementssystems beschäftigt. In diesem Beitrag soll es um die Schaffung und Besetzung notwendiger Rollen, um die Aufbauorganisation für den laufenden Betrieb eines ISMS gehen.
Nichts läuft von alleine. So braucht auch das Thema Informationssicherheit Menschen, die es vorantreiben. Es braucht also zumindest einen Mitarbeiter, der zumindest in Teilzeit diese Aufgabe wahrnimmt. Diese Rolle heißt oft Informationssicherheitsbeauftragter.
Informationssicherheitsbeauftragter / CISO
In größeren Organisationen ist es mit einem “Einzelkämpfer” nicht mehr getan. Es braucht eine ganze Informationssicherheitsorganisation. Der Leiter dieser Unternehmenseinheit heißt dann häufig Leiter Informationssicherheit oder in eher international orientierten Unternehmen Chief Information Security Officer (CISO). Angesiedelt ist diese Stelle meist direkt unterhalb der obersten Leitung, also direkt unter Vorstand oder Geschäftsführung als Stabsstelle oder Stabsbereich. So ist eine enge Anbindung an die Führung sichergestellt. Idealerweise berichten Informationssicherheit (IS) und Informationsverarbeitung (IT) an unterschiedliche Mitglieder der obersten Leitungsebene. Dies bietet die Gewähr dafür, dass etwaige Interessenkonflikte gut sichtbar werden und sachgerecht behandelt werden können.
Weitere Kernrollen der Informationssicherheit
Besteht die Informationssicherheitsorganisation aus mehreren Mitgliedern, setzt oft schnell eine Spezialisierung ein. So gibt es beispielsweise spezialisierte Informationssicherheits-Management-Systembeauftragte, Informationssicherheits-Risikomanager, Auditprogrammverantwortliche, interne Auditoren und Spezialisten für die informationstechnischen Aspekte der Informationssicherheit (IT-Security).
Bei allen Rollen sollte man überlegen, ob diese nicht an anderen Stellen im Unternehmen besser angesiedelt sind. So könnten die IT-Security -Spezialisten in der IT angesiedelt werden, der Informationssicherheits-Risikomanager im Unternehmensrisikomanagement und die internen Auditoren in der Revision. Für beide Ansätze, Bündelung der Informationssicherheit in einem Bereich versus Eingliederung in bestehende Strukturen, gibt es gute Argumente. Eine pauschale, für alle zutreffende Antwort kann es wie so häufig nicht geben. Jedes Unternehmen muss gut abwägen, seine Entscheidung treffen, die Wirkung beobachten und ggfs. getroffene Entscheidungen wieder korrigieren oder den sich verändernden Rahmenbedingungen anpassen.
Informationssicherheitskoordinatoren
Schaut man, was Unternehmen, in denen das Thema Informationssicherheit erfolgreich betrieben wird, von denen unterscheidet, wo Informationssicherheit nur formal, künstlich und die eigentlichen Betriebsabläufe eher störend umgesetzt wird, stößt man immer wieder auf eine Rolle: Informationssicherheitskoordinatoren. Sie kommen aus den Fachbereichen, sind also beispielsweise Buchhalter, Personalmanager, Marketing-Spezialisten, Produktionsmitarbeiter. In einer Nebentätigkeit von vielleicht einem Tag pro Monat setzen Sie sich mit Fragen der Informationssicherheit in ihrem Bereich auseinander, sie nehmen an Meetings mit den anderen Koordinatoren und den Kernrollen der Informationssicherheit teil. Es ist ihre Aufgabe zwischen den Welten zu übersetzen und zu vermitteln. Sie vertreten die Belange der Informationssicherheit in ihren Teilorganisationen und deren fachliche Belange gegenüber der Informationssicherheit.
Wichtig ist es, hier motivierte Mitarbeiter zu haben, die wirklich Lust haben, sich neben ihrer eigentlichen Tätigkeit mit einem weiteren Thema zu beschäftigen. Besser sollte in einem Bereich die Rolle (vorübergehend) unbesetzt bleiben, als dass man jemanden überredet oder sogar bestimmt. Damit wäre weder dem Thema gedient, noch ist das angenehm für die “Abkommandierten”. Meist findet man genügend freiwillige Mitarbeiter, die Spaß daran haben, sich mit dem wichtigen Thema Informationssicherheit auseinander zu setzen und so auch den eigenen persönlichen Horizont zu erweitern. Manchmal braucht es nur ein wenig Zeit, weil potentielle Interessenten erst einmal sehen wollen, was die Übernahme einer solchen Aufgabe tatsächlich bedeutet. Das notwendige fachliche Wissen lässt sich meist leicht über die Zeit herstellen. Hire for attitude and train for skills!
Was Sie auch interessieren könnte:
Seminar:
„Informationssicherheit für Vorstände und Geschäftsführer“
Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.
Podcast:
Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.
Hören Sie rein!