Der Informationssicherheitsbeauftragte übernimmt Zuständigkeiten und den Verantwortungsbereich für operative Aufgaben im Bezug zur Informationssicherheit. Dabei sollte die Position nicht im Konflikt mit anderen Positionen und Stellen im Unternehmen stehen. Der direkte Kontakt bzw. Berichtsweg zur Leitung des Unternehmens ist zu empfehlen um Konflikte schnell beseitigen zu können.
Welche Aufgaben hat der Informationssicherheitsbeauftragte?
Grundsätzlich steht der Beauftragte für alle Fragen rund um die Informationssicherheit in Bezug auf die Organisation bereit. Das setzt nicht nur Kommunikationsstärke sondern auch Know-How voraus. Ausreichendes Wissen in Bezug auf IT und Informationssicherheit sind unerlässlich für diese Position. Folgende Tätigkeiten fallen in den Aufgabenbereich des Beauftragten:
- Sicherheitsprozesse steuern und koordinieren
- Die Leitung bei der Erstellung von Sicherheitslinien unterstützen
- Erstellung eines Sicherheitskonzeptes und zugehöriger Teilkonzepte
- Anfertigung von Realisierungsplänen für Sicherheitsmaßnahmen
- Leitungsebene und andere Verantwortliche über den Status der Informationssicherheit berichten
- Koordination sicherheitsrelevanter Projekte und Vorfälle
- Sensibilisierung und Schulung zur Informationssicherheit initiieren und koordinieren
Damit der ISB diese Aufgaben erfüllen kann sollte er nicht in Konflikt mit anderen Positionen stehen. So empfiehlt es sich niemanden aus der IT-Abteilung auszuwählen. Ebenfalls wird davon abgeraten die selbe Person für den Datenschutz zu bestimmen. Auch hier droht ein erhebliches Konfliktpotenzial. Schließlich geht es bei der Benennung des Beauftragten darum den Schutz der Informationssicherheit innerhalb der Organisation zu erhöhen. Diskussionen sind dabei nicht zu vermeiden – es sollte aber vermieden werden, dass der ISB diese mit sich selber führen muss.
Kann es auch mehrere ISBs geben?
Grundsätzlich ist es möglich auch mehrere ISBs zu benennen. Doch viele Köche versalzen die Suppe. Die Anzahl sollte entsprechen der Unternehmensgröße, Projekte und des generellen Bedarf bestimmt werden. Mehrere Standorte oder umfangreiche Projekte können den Einsatz mehrerer Verantwortliche voraussetzen.
Gibt es auch externe Informationssicherheitsbeauftragte?
Wer sich um Informationssicherheit kümmert, der muss nicht im selben Unternehmen tätig sein. Ähnlich wie es auch externe Datenschutzbeauftragte gibt, gibt es auch externe Informationssicherheitsbeauftragte. Die Auswahl eines passenden Partners ist nicht leicht. Bereits erfolgreiche Projekte und Kampagnen können aber eine gute Grundlage für eine Partnerschaft legen.
