TISAX® Kapitel 1.2.2 - Inwieweit sind die Verantwortlichkeiten für Informationssicherheit organisiert?

Das Verständnis von TISAX® kann schwierig sein, daher haben wir einen einfachen kostenlosen Leitfaden erstellt

Es ist wichtig, dass die Verantwortlichkeiten für die Informationssicherheit in der Organisation definiert, dokumentiert und zugewiesen sind.

VDA ISA 5.1

Ziel

Ein erfolgreiches ISMS benötigt klare Verantwortlichkeiten in der Organisation.

Anforderungen (muss):

Verantwortlichkeiten für die Informationssicherheit in der Organisation sind definiert, dokumentiert und zugewiesen.
Die verantwortlichen Mitarbeiter sind definiert und für ihre Aufgabe qualifiziert.
Die notwendigen Ressourcen stehen zur Verfügung.
Die Ansprechpartner sind innerhalb der Organisation und relevanten Geschäftspartnern bekannt.

Anforderungen (sollte):

Es existiert eine Definition und Dokumentation einer geeigneten Informationssicherheitsstruktur in der Organisation.

Zusatzanforderungen

Eine angemessene organisatorische Trennung von Verantwortlichkeiten sollte zur Vermeidung von Interessenskonflikten etabliert sein (Funktionstrennung, Separation of Duties). (C, I, A)

Umsetzung

Informationssicherheitsrollen und -verantwortlichkeiten

Die Verantwortlichkeiten für Informationssicherheit sollten klar definiert und dokumentiert sein. Dies umfasst die Identifizierung von Werten und Informationssicherheitsprozessen, die Zuweisung verantwortlicher Entitäten für jeden Wert oder Prozess und die Dokumentation dieser Verantwortlichkeiten. Darüber hinaus sollten Berechtigungsebenen definiert und dokumentiert werden.

Personen, denen Verantwortlichkeiten für Informationssicherheit zugeordnet sind, können Sicherheitsaufgaben an andere delegieren, bleiben jedoch für die ordnungsgemäße Durchführung dieser Aufgaben verantwortlich. Sie sollten daher sicherstellen, dass alle delegierten Aufgaben ordnungsgemäß ausgeführt wurden.

Um die Verantwortlichkeiten im Bereich Informationssicherheit zu erfüllen, sollten die ernannten Personen in diesem Bereich kompetent sein und die Möglichkeit erhalten, mit Entwicklungen Schritt zu halten. Darüber hinaus sollten die Koordination und der Überblick über die Informationssicherheitsaspekte in Lieferantenbeziehungen identifiziert und dokumentiert werden.

Aufgabentrennung

Die Aufgabentrennung ist eine Methode, um das Risiko versehentlichen oder bewussten Missbrauchs von Werten der Organisation zu verringern. Sie stellt sicher, dass keine Einzelperson oder Abteilung die vollständige Kontrolle über einen bestimmten Prozess oder eine bestimmte Ressource hat.

Um die Möglichkeiten für unbefugte oder unbeabsichtigte Änderungen oder den Missbrauch der Werte der Organisation zu reduzieren, sollten miteinander in Konflikt stehende Aufgaben und Verantwortlichkeitsbereiche getrennt werden.

Es sollte sichergestellt werden, dass keine einzelne Person Zugriff auf Werte hat und diese ohne Genehmigung oder Nachweis modifizieren oder verwenden kann. Das Auslösen eines Ereignisses sollte von seiner Berechtigung getrennt werden. Die Möglichkeit von Absprachen sollte bei der Gestaltung der Maßnahmen berücksichtigt werden.

Für kleine Organisationen könnte die Aufgabentrennung nur mit Schwierigkeiten zu erreichen sein. Das Prinzip sollte jedoch so weit wie möglich und praktikabel angewandt werden. Falls die Aufgabentrennung nur schwer durchführbar ist, sollten andere Maßnahmen wie die Überwachung von Tätigkeiten, Prüfpfade und Leitungsaufsicht in Betracht gezogen werden.

Weitere Informationen

Viele Organisationen ernennen einen Manager für Informationssicherheit, der die Gesamtverantwortung für die Entwicklung und Umsetzung der Informationssicherheit übernimmt. Die Verantwortung für die Bereitstellung von Ressourcen und die Umsetzung von Maßnahmen liegt jedoch oft bei den einzelnen Managern.

Eine gängige Praxis ist es, einen Eigentümer für jeden Wert zu ernennen, der dann für den laufenden Schutz der Werte verantwortlich ist.

© DeltaSecure GmbH. Alle Rechte vorbehalten.

Yes! Give Me Access to the Videos Now

Enter your email below to get instant access to video 1 in our FREE training series

We process your personal data as stated in our Privacy Policy. You may withdraw your consent at any time by clicking the unsubscribe link at the bottom of any of our emails.

Close