Chief Information Security Officer

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Ein Chief Information Security Officer (CISO) bezeichnet die Rolle des Verantwortlichen für Informationssicherheit in einer Organisation. Die Aufgaben variieren in der Praxis je nach Bedürfnis der Firma, die diese Rolle ausschreibt und besetzt, sie können aber auch von den einschlägigen Normen zur Informationssicherheit abgeleitet werden.

Aufgaben[Bearbeiten]

Bei kleineren Organisationen oder für Verantwortliche von Teilbereichen innerhalb einer größeren Organisation entfällt ggf. das "Chief" und es wird die Bezeichnung Information Security Officer ("ISO", nicht zu verwechseln mit der Bezeichnung für Normen und Standards) oder Informationssicherheitsverantwortlicher verwendet. Mitunter kommt auch die irreführende Bezeichnung Leiter IT-Sicherheit vor. IT-Sicherheit ist aber nur ein Teilaspekt der Informationssicherheit.

Der CISO nimmt sich meist der folgenden Aufgaben an:

  • Erarbeitung und Definition der sicherheitsrelevanten Objekte, der Bedrohungen und Risiken und den daraus abgeleiteten Sicherheitszielen
  • Aufbau und Betrieb einer Organisationseinheit zur Umsetzung der Sicherheitsziele
  • Ausarbeitung, Anpassung von Sicherheitsvorschriften
  • Auditierung der Funktionseinheiten zum Stand der Umsetzung und Weiterentwicklung der Sicherheitsvorschriften
  • Bewusstsein der Mitarbeiter durch Trainings und Kampagnen schaffen
  • Portfolio Management der sicherheitsrelevanten Unternehmensprozesse

Der CISO ist meist nicht dem Chief Information Officer (CIO) unterstellt, der Berichtsweg findet oft direkt zum Chief Executive Officer (CEO) statt, da die IT-Security nur eine Untermenge der Aufgaben eines/einer (C)ISO darstellt, und es um die Sicherung und das Risikomanagement aller Informationswerte (Assets) eines Unternehmens geht (also z.B. auch Aktenordner/Papier).

Idealerweise erfolgt die Funktionstrennung so, dass die IT-Abteilung bzw. der/die Leiter(in) der IT-Sicherheit eine Art interner Lieferant darstellen, während die Anforderungsseite durch den/die (C)ISO - im Auftrag der Geschäftsführung - dargestellt wird. Im Rahmen eines Information Security Management System (ISMS) auditiert der (C)ISO ggf. die IT-Lieferseite und berichtet über die Ergebnisse an die Geschäftsführung. In kleineren Unternehmen, aber auch in vielen größeren Unternehmen ohne ISMS bzw. mit geringem Reifegrad bzgl. der Informationssicherheit, werden all diese Funktionen aber möglicherweise abweichend definiert oder weniger streng getrennt.

Eine wesentliche Arbeitsgrundlage für den CISO stellt im Regelfall die ISO/IEC 27000-Reihe dar.

Weblinks[Bearbeiten]