In größeren Institutionen sollte ein Team aus mehreren Zuständigen für Informationssicherheit gebildet werden, um den Informationssicherheitsbeauftragten zu unterstützen. Es ist für die Regelung sämtlicher übergreifender Belange der Informationssicherheit zuständig und koordiniert, berät und kontrolliert die zugehörigen Analysen, Konzepte und Richtlinien.

In einem solchen IS-Management-Team sollten der ISB, sofern vorhanden der ICS-ISB, IT-Verantwortliche, Zuständige für Datenschutz sowie Vertreter der Fachverfahren und Geschäftsprozesse zusammenwirken, gegebenenfalls ergänzt durch Informationssicherheitsbeauftragte, die für einzelne Bereiche, Projekte oder IT-Systeme (etwa die industriellen Steuerungen) benannt wurden. Die nachfolgende Abbildung veranschaulicht eine mögliche Organisationsstruktur:

Die Aufgaben des IS-Management-Teams sind:

• die Sicherheitsziele und -strategien festlegen sowie die Leitlinie zur Informationssicherheit entwickeln,
• die Umsetzung der Sicherheitsleitlinie überprüfen,
• den Sicherheitsprozess initiieren, steuern und kontrollieren,
• bei der Entwicklung des Sicherheitskonzepts mitwirken,
• überprüfen, ob die im Sicherheitskonzept geplanten Sicherheitsmaßnahmen geeignet und wirksam sind und wie beabsichtigt funktionieren,
• Schulungs- und Sensibilisierungsprogramme für Informationssicherheit konzipieren sowie
• die Fachverantwortlichen, den IT-Betrieb, eventuell die ISB für einzelne Bereiche und den ICS-ISB sowie die Leitungsebene beraten.

Ob es sinnvoll ist, ein IS-Management-Team einzurichten oder mehrere ISBs für Bereiche oder Projekte zu benennen, hängt von der Größe einer Institution ab. In kleineren Institutionen genügt ein einziger mit den erforderlichen Kompetenzen ausgestatteter ISB.

Modelle zum Aufbau der Sicherheitsorganisation in großen, mittelgroßen und kleinen Institutionen sowie Erläuterungen zu den Aufgaben von ISB, ICS-ISB und IS-Management-Teams finden Sie in Kapitel 4 Organisation des Sicherheitsprozesses des BSI-Standards 200-2: IT-Grundschutz-Methodik, ferner im Baustein ISMS.1 Sicherheitsmanagement des IT-Grundschutz-Kompendiums.

Beispiel: Aufbau einer Sicherheitsorganisation im Unternehmen

Im Beispielunternehmen RECPLAST GmbH möchte die Geschäftsführung ein verbindliches Sicherheitskonzept für das gesamte Unternehmen ausarbeiten lassen. Dazu müssen die vorhandenen Grundsätze und Richtlinien zur Informationssicherheit präzisiert werden.

In einem ersten Schritt wird ein Informationssicherheitsbeauftragter ernannt, der die zugehörigen Arbeiten koordinieren soll. Da diese Aufgabe umfangreiche IT-Kenntnisse erfordert, wird hierfür ein Mitarbeiter der Abteilung „Informationstechnik“ bestimmt, in seinen Aufgaben aber gleichzeitig der Geschäftsführung unterstellt. Zusätzlich ernennt diese einen ICS-Informationssicherheitsbeauftragten, der Sicherheitsanforderungen und -maßnahmen für den Produktionsbereich entwickeln und kontrollieren soll. Danach wird ein zeitlich befristetes Projekt „Sicherheitskonzept“ eingerichtet, das folgende Ergebnisse erzielen soll:

1. Vorschläge und Entscheidungsvorlage für eine Leitlinie zur Informationssicherheit,
2. einen Vorschlag für ein Sicherheitskonzept und einen zugehörigen Realisierungsplan,
3. Vorschläge für Maßnahmen zur Aufrechterhaltung der Informationssicherheit sowie
4. Dokumentation aller Entscheidungsvorlagen, Entscheidungen und der umgesetzten Maßnahmen des Informationssicherheitsprozesses.

Da der ISB die Geschäftsprozesse nicht im Detail kennt, wird ein IS-Management-Team gebildet, das den ISB und den ICS-ISB bei der Erstellung der Leitlinie und dem Sicherheitskonzept unterstützt. Ihm gehören der Datenschutzbeauftragte, der Leiter des kaufmännischen Bereichs und der Rechtsabteilung und, um Kundenanforderungen einzubeziehen, ein Mitarbeiter des Vertriebs an. So sind alle Geschäftsbereiche vertreten und können weitere Informationen über die Betriebsabläufe und externe Anforderungen einholen.

Das Projekt wird dem Betriebsrat vorgestellt, der regelmäßig über Zwischenergebnisse informiert wird. Auch die Mitarbeiter werden in einer Betriebsversammlung mit dem Projekt und seinen Zielen bekannt gemacht.

Übung zur Anwendung

Lässt sich dieses Beispiel auf Ihr Unternehmen, Ihre Behörde übertragen?

• Gibt es einen ISB, wie wurde er bestimmt, aus welchem Bereich kommt er?
• Wie ist er organisatorisch zugeordnet?
• Gibt es ein IS-Management-Team? Wie ist es besetzt?
• Falls Sie einen Produktionsbereich haben, gibt es einen ICS-ISB? Wie arbeitet er mit dem ISB zusammen?

Bitte vergleichen Sie die Regelungen in Ihrer Institution mit denen im Beispielunternehmen RECPLAST und der Darstellung im BSI-Standard 200-2: IT-Grundschutz-Methodik. Wo sehen Sie Unterschiede? Wie bewerten Sie diese? Sehen Sie Verbesserungsbedarf in Ihrer Organisation?