TISAX® Kapitel 1.2.2
Inwieweit sind die Verantwortlichkeiten für Informationssicherheit organisiert?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Vorlagenpaket.
Ziel
Ein erfolgreiches ISMS benötigt klare Verantwortlichkeiten in der Organisation.
Anforderungen
- Muss
- Verantwortlichkeiten für die Informationssicherheit in der Organisation sind definiert, dokumentiert und zugewiesen.
- Muss
- Die verantwortlichen Mitarbeiter sind definiert und für ihre Aufgabe qualifiziert.
- Muss
- Die notwendigen Ressourcen stehen zur Verfügung.
- Muss
- Die Ansprechpartner sind innerhalb der Organisation und relevanten Geschäftspartnern bekannt.
- Sollte
- Es ist eine Definition und Dokumentation einer geeigneten Informationssicherheitsstruktur in der Organisation vorhanden.
- Sollte
- Weitere relevante Sicherheitsaufgaben werden berücksichtigt.
- Schutzbedarf hoch
- Eine angemessene organisatorische Trennung von Verantwortlichkeiten sollte zur Vermeidung von Interessenskonflikten etabliert sein (Funktionstrennung). (C, I, A)
Umsetzung
Informationssicherheitsrollen und -verantwortlichkeiten
Die Verantwortlichkeiten für Informationssicherheit sollten klar definiert und dokumentiert sein. Dies umfasst die Identifizierung von Werten und Informationssicherheitsprozessen, die Zuweisung verantwortlicher Entitäten für jeden Wert oder Prozess und die Dokumentation dieser Verantwortlichkeiten. Darüber hinaus sollten Berechtigungsebenen definiert und dokumentiert werden.
Personen, denen Verantwortlichkeiten für Informationssicherheit zugeordnet sind, können Sicherheitsaufgaben an andere delegieren, bleiben jedoch für die ordnungsgemäße Durchführung dieser Aufgaben verantwortlich. Sie sollten daher sicherstellen, dass alle delegierten Aufgaben ordnungsgemäß ausgeführt wurden.
Um die Verantwortlichkeiten im Bereich Informationssicherheit zu erfüllen, sollten die ernannten Personen in diesem Bereich kompetent sein und die Möglichkeit erhalten, mit Entwicklungen Schritt zu halten. Darüber hinaus sollten die Koordination und der Überblick über die Informationssicherheitsaspekte in Lieferantenbeziehungen identifiziert und dokumentiert werden.
Aufgabentrennung
Die Aufgabentrennung ist eine Methode, um das Risiko versehentlichen oder bewussten Missbrauchs von Werten der Organisation zu verringern. Sie stellt sicher, dass keine Einzelperson oder Abteilung die vollständige Kontrolle über einen bestimmten Prozess oder eine bestimmte Ressource hat.
Um die Möglichkeiten für unbefugte oder unbeabsichtigte Änderungen oder den Missbrauch der Werte der Organisation zu reduzieren, sollten miteinander in Konflikt stehende Aufgaben und Verantwortlichkeitsbereiche getrennt werden.
Es sollte sichergestellt werden, dass keine einzelne Person Zugriff auf Werte hat und diese ohne Genehmigung oder Nachweis modifizieren oder verwenden kann. Das Auslösen eines Ereignisses sollte von seiner Berechtigung getrennt werden. Die Möglichkeit von Absprachen sollte bei der Gestaltung der Maßnahmen berücksichtigt werden.
Für kleine Organisationen könnte die Aufgabentrennung nur mit Schwierigkeiten zu erreichen sein. Das Prinzip sollte jedoch so weit wie möglich und praktikabel angewandt werden. Falls die Aufgabentrennung nur schwer durchführbar ist, sollten andere Maßnahmen wie die Überwachung von Tätigkeiten, Prüfpfade und Leitungsaufsicht in Betracht gezogen werden.
Weitere Informationen
Viele Organisationen ernennen einen Manager für Informationssicherheit, der die Gesamtverantwortung für die Entwicklung und Umsetzung der Informationssicherheit übernimmt. Die Verantwortung für die Bereitstellung von Ressourcen und die Umsetzung von Maßnahmen liegt jedoch oft bei den einzelnen Managern.
Eine gängige Praxis ist es, einen Eigentümer für jeden Wert zu ernennen, der dann für den laufenden Schutz der Werte verantwortlich ist.
