MENU

Rollen und Aufgaben in der Informationssicherheit

Zur Themenwelt Informationssicherheit im Unternehmen
  1. Bildung
  2. Wissen kompakt
  3. Informationssicherheit
  4. Rollen und Aufgaben in der Informationssicherheit

Beitrag vom 18.08.2020

Warum Fachkräfte für Informationssicherheit im Unternehmen so wichtig sind

Digitalisierung und Vernetzung nehmen in den Unternehmen immer weiter zu. Das Absichern wichtiger Geschäftsprozesse und sensibler Informationen wird zum kritischen Erfolgsfaktor für ihre langfristige Wettbewerbs- und Überlebensfähigkeit. „Die rechtlichen und betrieblichen Anforderungen werden immer komplexer, die Risiken immer größer“, sagt Christoph Thiel, Professor für Informationssicherheit an der FH Bielefeld.  „Einzelne können das nicht mehr durchschauen.“ Gefragt sind alle Mitarbeiterinnen und Mitarbeiter – sowie Fachkräfte, die verschiedene Rollen, Aufgaben und Verantwortungen im Bereich der Informationssicherheit übernehmen.

IT-Sicherheit und Informationssicherheit

Die IT-Sicherheit ist ein Teil der Informationssicherheit. Während es bei der IT-Sicherheit um den Schutz von Informationen mithilfe von Informationstechnologie (IT) – also die technischen Aspekte – geht, ist die Informationssicherheit deutlich weiter gefasst. Hier sind unter anderem auch räumliche, personelle und organisatorische und andere Aspekte relevant. Dieses erweiterte Verständnis spiegelt sich auch in den verschiedenen Rollen, Aufgaben und Funktionen im Bereich der Informationssicherheit wider.

Welche Aufgaben und Funktionen gibt es in der Informationssicherheit?

Grundsätzlich hat jeder Mitarbeiter und jede Mitarbeiterin im Unternehmen Aufgaben und Verantwortung im Bereich der Informationssicherheit: von der Geschäfts- oder Behördenleitung, die die strategischen Entscheidungen trifft, bis zu den Kolleginnen und Kollegen, die die Regeln umsetzen. Oder, mit den Worten des BSI, die „auf den Sicherheitsprozess hinwirken und bei diesem mitwirken“ sollen.

Darüber hinaus gibt es verschiedene Rollen, die zwar nicht normiert sind und – mit Ausnahme von kritischen Infrastrukturen – auch nicht gesetzlich vorgeschrieben. „In dem Moment aber, wo Informationen wichtig sind für Unternehmen, also fast überall, braucht man jemanden, der zumindest eine dieser Rollen übernimmt“, sagt Prof. Christoph Thiel.

Das sind die verschiedenen Rollen in der Informationssicherheit:

  • CISO (Chief Information Security Officer): Zu dieser Rolle gehören die taktische Verantwortung für die Informationssicherheit und eine beratende, steuernde Funktion. Angesiedelt ist sie meist in größeren oder komplexeren, oft auch räumlich verteilten Organisationen. Dort trennt man sie häufig von der Person des ISO. Allerdings können auch die Rollen CISO und ISO in einer Person vereint sein.
  • ISO (Information Security Officer): Der ISO, auch Beauftragter für Informationssicherheit genannt, ist verantwortlich für den Aufbau und den Betrieb eines Informationssicherheits-managementsystems (ISMS) im Unternehmen, etwa nach der Norm DIN ISO 27001 oder dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten IT-Grundschutz.
  • IT-Grundschutz-Praktiker unterstützen Unternehmen dabei, ihre Informationssicherheit nach dem IT Grundschutz-Standard des BSI zu managen. Deutsche Behörden sind überwiegend dazu verpflichtet, aber auch Unternehmen aus der freien Wirtschaft können nach diesem Standard vorgehen.
  • IT-Grundschutz-Berater sind vom BSI zertifizierte (externe) Berater, die Organisationen beim Entwickeln von Sicherheitskonzepten und beim Einführen eines ISMS nach dem IT-Grundschutz begleiten.
  • Auditoren: Wer die Wirksamkeit seines ISMS und das Einhalten entsprechender Standards wie ISO 27001 oder IT-Grundschutz prüfen möchte, lässt entsprechende Audits durch geeignete Auditoren durchführen. Audits zur Zertifizierung des ISMS können dabei nur externe, wiederum selbst zertifizierte Auditoren durchführen.

Neben diesen Funktionen, die die Mindestanforderungen im Bereich der Informationssicherheit abdecken, können sich je nach Unternehmen weitere Funktionen als sinnvoll erweisen, wie zum Beispiel Risikomanager, Notfallbeauftragte oder lokale Sicherheitsmanager an verschiedenen Standorten.

BSI IT-Grundschutz oder DIN ISO 27001: Welches System für welches Unternehmen?

Während internationale Unternehmen mit dem weltweit anerkannten Informationssicherheits-standard ISO 27001 besser bedient sind, bietet sich der IT-Grundschutz für diejenigen an, die im Behördenumfeld tätig sind – etwa als Dienstleister. Dann arbeitet man mit demselben System wie der Auftraggeber, was die Zusammenarbeit vereinfacht.

„Doch auch für KMUs hat der IT-Grundschutz seinen Charme“, so Prof. Thiel. Mit seinen klaren Leitlinien nimmt das Regelwerk des BSI die Unternehmen an die Hand und bringt sie zu sinnvollen Ergebnissen. Bei der Umsetzung helfen IT-Grundschutz-Praktiker, die speziell für die Anwendung des IT-Grundschutzes ausgebildet wurden. Sie bringen die nötige Fachkompetenz mit, um ein Unternehmen bei der Entwicklung eines entsprechenden Sicherheitskonzeptes zu unterstützen.

Der ISO hingegen sollte sowohl mit der Methodik des IT-Grundschutzes als auch mit der DIN ISO 27001 vertraut sein. So kann er die Geschäftsführung beraten, welcher Standard für ein Unternehmen am besten geeignet ist, und es bei der Einführung begleiten. Wenn der ISO sich für den IT-Grundschutz entscheidet, hat er bereits wichtiges Basiswissen erworben. Dieses kann er im Rahmen einer Ausbildung zum IT-Grundschutz-Praktiker noch vertiefen.

Zugangsvoraussetzungen für Informationssicherheits- und IT-Grundschutz-Berater

Von Vorteil für den ISO sind ein Hintergrund im IT-Bereich und erste Erfahrungen mit dem Thema Informationssicherheit. Für die Ausbildung zum CISO ist der erfolgreiche Abschluss eines ISO-Seminars Voraussetzung.

Um sich beim BSI zum IT-Grundschutz-Berater zertifizieren zu lassen, muss man zunächst bei einem Schulungsanbieter die Praktiker-Ausbildung absolvieren. Mit ausreichender Berufs- und Praxiserfahrung kann man dann die Fortbildung zum Berater machen und sich anschließend beim BSI prüfen lassen.

Lebenslang oder befristet – so lange sind die Zertifikate gültig

Für ISO und CISO gibt es keine befristete Gültigkeit. „Regelmäßige Fortbildung ist empfehlenswert“, so Prof. Christoph Thiel. Auch das Zertifikat für IT-Grundschutz-Praktiker gilt lebenslang. Berater hingegen müssen regelmäßig nachweisen, dass sie in entsprechenden Projekten aktiv sind und Fortbildungen im vorgeschriebenen Umfang absolvieren.

Hat Ihnen der Artikel gefallen?

Entdecken Sie jetzt unsere Themenwelten! Hier finden Sie spannende Fachbeiträge, Experteninterviews und vieles mehr. 

Das könnte Sie auch interessieren:

Alle unsere Themenwelten im Überblick finden Sie in Wissen kompakt.

Unsere Empfehlungen für Sie

Webinar

ISO 27001 versus BSI IT-Grundschutz

Lernen Sie die Unterschiede der ISO 27001 und dem BSI IT-Grundschutz und deren Auswirkungen auf Ihr Informationssicherheitsmanagementsystem (ISMS) kennen.
Zum Webinar
Seminar

IT-Grundschutz-Praktiker (TÜV)

Erfüllt Anforderungen der BSI-Basisschulung. In täglicher Anwendung schafft BSI-Standard 200x Sicherheit und Zuverlässigkeit bei der Verarbeitung von Informationen und Daten.
Zum Seminar
Webinar

Scoping und Modellierung nach BSI IT-Grundschutz

Identifizieren und definieren Sie schützenswerte Assets, wichtige Schnittstellen und sicherheitsrelevante Prozesse.
Zum Webinar

Sprechen Sie mich gerne an

Melanie Braunschweig

Melanie Braunschweig

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

+49 201 31955-42
Fax : +49 201 31955-70

mbraunschweig@tuev-nord.de

Diese Seite weiterempfehlen