Um Zuständigkeiten und Verantwortung für operative Aufgaben eindeutig zuordnen zu können, ist ein Informationssicherheitsbeauftragter (ISB) zu ernennen.

Zuständigkeiten und Aufgaben

Ein Informationssicherheitsbeauftragter ist für alle Fragen rund um die Informationssicherheit in der Institution zuständig. Zu seinen Aufgaben gehört es,

• den Sicherheitsprozess zu steuern und zu koordinieren,
• die Leitung bei der Erstellung der Sicherheitsleitlinie zu unterstützen,
• die Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien zu koordinieren,
• Realisierungspläne für Sicherheitsmaßnahmen anzufertigen sowie ihre Umsetzung zu initiieren und zu überprüfen,
• der Leitungsebene und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit zu berichten,
• sicherheitsrelevante Projekte zu koordinieren,
• sicherheitsrelevante Vorfälle zu untersuchen sowie
• Sensibilisierungen und Schulungen zur Informationssicherheit zu initiieren und zu koordinieren.

Ein ISB sollte Erfahrung und Wissen sowohl auf den Gebieten der Informationssicherheit als auch der IT besitzen. Darüber hinaus sollte er die Geschäftsprozesse der Institution kennen.

Zur Wahrung der Unabhängigkeit sollte der ISB direkt der obersten Leitung zugeordnet sein. Eine Integration in die IT-Abteilung kann zu Rollenkonflikten führen, da der ISB seine Verpflichtung zur Kontrolle der Sicherheitsmaßnahmen nicht frei von Beeinflussung wahrnehmen kann. Auch eine Personalunion mit dem Datenschutzbeauftragten ist nicht unkritisch. Sollte dies der Fall sein, müssen die Schnittstellen dieser beiden Aufgaben klar definiert werden, um Rollenkonflikte zu vermeiden.

Ein ISB benötigt darüber hinaus ausreichend Ressourcen und Zeit für erforderliche Fortbildungen. Es muss einen direkten Berichtsweg zur Leitung geben, um in Konfliktfällen schnell entscheiden zu können.

Je nach Größe des Unternehmens oder der Behörde kann es auch weitere ISB etwa für verschiedene Bereiche, Standorte oder auch große Projektvorhaben der Institution geben.

Weitere Informationen zum Anforderungsprofil eines ISB finden Sie in Kapitel 4.4 des BSI-Standards 200-2: IT-Grundschutz-Methodik. Auch in den Umsetzungshinweisen zum Baustein ISMS.1 finden sich bei ISMS.1.M4 wichtige Hinweise zu den Aufgaben und dem Qualifikationsprofil des ISB.