Rollen und Aufgaben in der Informationssicherheit

Rollen und Aufgaben in der Informationssicherheit

Aktualisiert am 11.06.2021

Zur Themenwelt Informationssicherheit im Unternehmen

Die Globalisierung erhöht den Bedarf der Informationssicherheit

In einer globalisierten und digitalen Gesellschaft können vertrauliche Informationen in Sekundenschnelle verbreitet werden. Immer häufig werden Hackerangriffe oder Datenschutzskandale bekannt. Dadurch wächst das Bedürfnis nach Sicherheit – besonders in der Informationssicherheit.

Doch wie kann man als Unternehmen diese Sicherheit gewährleisten? Welche Ressourcen benötigt ein effektives Informationsmanagementsystem? Und wie sehen die Aufgaben von Informationssicherheitsbeauftragten aus? Welche Weiterbildungen werden in der Informationssicherheit empfohlen? Wir haben für Sie alle Informationen rund um das Thema zusammengefasst.

IT-Sicherheit oder Informationssicherheit – Was ist der Unterschied?

Die IT-Sicherheit ist ein Teil der Informationssicherheit. Während es bei der IT-Sicherheit um den Schutz von Informationen mithilfe von Informationstechnologie (IT) – also die technischen Aspekte – geht, ist die Informationssicherheit deutlich weiter gefasst. Hier sind unter anderem auch räumliche, personelle und organisatorische und andere Aspekte relevant. Dieses erweiterte Verständnis spiegelt sich auch in den verschiedenen Rollen, Aufgaben und Funktionen im Bereich der Informationssicherheit wider.

Organisation der Informationssicherheit in Unternehmen

Bei jedem Unternehmen sind Informationen wichtige Werte und müssen geschützt werden. Denn laut Christoph Thiel, Prof. für Informationssicherheit an der FH Bielefeld, können sich Unternehmen, die Ihre Daten nicht schützen, langfristig nicht behaupten. Dabei ist es egal, ob es sich um die Personaldaten, das Know-How der Mitarbeiterinnen und Mitarbeiter oder um eine geheime Rezeptur handelt. Ebenso wie beim Datenschutz persönlicher Daten erwarten wir von Unternehmen einen sicheren Umgang mit Informationen.

Damit ist nicht gemeint, dass ein Unternehmen ein ganz bestimmtes Tool oder eine Methode nutzen muss, sondern, dass im Unternehmen ein Informationsmanagementsystem etabliert sein sollte. Dies beinhaltet alle Abläufe, alle Vorgaben, Regelungen und Teilprozesse, um am Ende die Informationssicherheit zu erreichen. Ein Unternehmen muss also den Gesamtüberblick über ein System zur Informationssicherheit gewährleisten können.

Rollen und Aufgaben der Informationssicherheitsbeauftragten

Grundsätzlich hat jeder Mitarbeiter und jede Mitarbeiterin im Unternehmen Aufgaben und Verantwortung im Bereich der Informationssicherheit: von der Geschäfts- oder Behördenleitung, die die strategischen Entscheidungen trifft, bis zu den Kolleginnen und Kollegen, die die Regeln umsetzen. Oder, mit den Worten des BSI, die „auf den Sicherheitsprozess hinwirken und bei diesem mitwirken“ sollen.

Darüber hinaus gibt es verschiedene Rollen, die zwar nicht normiert sind und – mit Ausnahme von kritischen Infrastrukturen – auch nicht gesetzlich vorgeschrieben. „In dem Moment aber, wo Informationen wichtig sind für Unternehmen, also fast überall, braucht man jemanden, der zumindest eine dieser Rollen übernimmt“, sagt Prof. Christoph Thiel.

Die Organisation der Informationssicherheit innerhalb des Unternehmens

  • Die Ansprechpartner also CISO, ISO oder ISB erarbeiten einen Prozess zur Informationssicherheit und koordinieren diesen.
  • Alle Mitarbeiterinnen und Mitarbeiter im Unternehmen müssen diesen Prozess und die Maßnahmen dazu umsetzen und ggf. verschiedene Risiken durch ihr Fachwissen bewerten.
  • Die Geschäftsführung oder -leitung haben eine herausragende Rolle bei der Informationssicherheit. Denn diese muss verstanden haben, warum das Unternehmen die Informationssicherheit braucht, welche Ressourcen (Geld, Personal, Wissen, etc.) die Ansprechpartner (CISO, ISO, IT-Grundschutz-Berater) benötigen oder wie mit den unterschiedlichen Risiken umgegangen wird.

Bei der Informationssicherheit gibt es folglich nicht eine einzige Person, die für das gesamte Unternehmen verantwortlich ist – in der Informationssicherheit müssen alle im Unternehmen mitarbeiten!

Anforderungen an Rollen in der Informationssicherheit

  • CISO (Chief Information Security Officer): Zu dieser Rolle gehören die taktische Verantwortung für die Informationssicherheit und eine beratende, steuernde Funktion. Angesiedelt ist sie meist in größeren oder komplexeren, oft auch räumlich verteilten Organisationen. Dort trennt man sie häufig von der Person des ISO. Allerdings können auch die Rollen CISO und ISO in einer Person vereint sein.
  • ISO (Information Security Officer): Der ISO, auch Beauftragter für Informationssicherheit genannt, ist verantwortlich für den Aufbau und den Betrieb eines Informationssicherheits-managementsystems (ISMS) im Unternehmen, etwa nach der Norm DIN ISO 27001 oder dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten IT-Grundschutz.
  • IT-Grundschutz-Praktiker unterstützen Unternehmen dabei, ihre Informationssicherheit nach dem IT Grundschutz-Standard des BSI zu managen. Deutsche Behörden sind überwiegend dazu verpflichtet, aber auch Unternehmen aus der freien Wirtschaft können nach diesem Standard vorgehen.
  • IT-Grundschutz-Berater sind vom BSI zertifizierte (externe) Berater, die Organisationen beim Entwickeln von Sicherheitskonzepten und beim Einführen eines ISMS nach dem IT-Grundschutz begleiten.
  • Auditoren: Wer die Wirksamkeit seines ISMS und das Einhalten entsprechender Standards wie ISO 27001 oder IT-Grundschutz prüfen möchte, lässt entsprechende Audits durch geeignete Auditoren durchführen. Audits zur Zertifizierung des ISMS können dabei nur externe, wiederum selbst zertifizierte Auditoren durchführen.

Neben diesen Funktionen, die die Mindestanforderungen im Bereich der Informationssicherheit abdecken, können sich je nach Unternehmen weitere Funktionen als sinnvoll erweisen, wie zum Beispiel Risikomanager, Notfallbeauftragte bzw. Business Continuity Manager oder lokale Sicherheitsmanager an verschiedenen Standorten.

Anforderungen an Informationssicherheitsbeauftragte

Um im Unternehmen die Aufgaben im Bereich der Informationssicherheit zu übernehmen, sind bestimmte Soft Skills hilfreich und verschiedene Fortbildungen helfen dabei, sich die geforderten Aufgaben und Rollen in der Informationssicherheit anzueignen.

Die Person sollte:

  • Extrem kommunikativ sein, da sie mit allen Bereichen im Unternehmen zu tun hat und mit jedem Bereich über die Informationssicherheit und die Maßnahmen für diese sprechen muss
  • Sehr gut in Prozessen denken können, um alle Prozesse im Unternehmen zu verstehen und diese dann zu schützen
  • Ein guter Projektmanager sein, um Aufgaben zu koordinieren und nicht selbst zu übernehmen
  • Leidensfähigkeit aufweisen. Denn ein Informationssicherheitsmanagementsystem bedeutet im ersten Schritt natürlich mehr Arbeit und Stress für die Mitarbeiterinnen und Mitarbeiter. Doch als Ansprechpartner muss man dennoch die Maßnahmen umsetzen können
  • Vorteilhaft ist ein beruflicher Hintergrund aus der Informationsverarbeitung – dieser muss nicht unbedingt ein technischer Hintergrund sein. Doch man sollte schon ein Verständnis dafür haben, was in der Informationsverarbeitung passiert.

Durch verschiedene Fortbildungen, Praxiserfahrung und den genannten Soft Skills kann man die Aufgaben des Informationssicherheitsbeauftragten im Unternehmen übernehmen.

Doch welche Weiterbildungen sind im Bereich der Informationssicherheit notwendig und sinnvoll?

Weiterbildungen in der Informationssicherheit

Mitarbeiterinnen und Mitarbeiter der Informationssicherheit müssen auf dem Laufenden bleiben. Denn zum einen ändern sich regelmäßig die gesetzlichen Anforderungen, wie beispielsweise das Bundesdatenschutzgesetz (BDSG-neu) oder das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) und zum anderen ändern sich auch Standards wie die ISO 27001 oder der BSI-IT-Grundschutz. Zusätzlich werden regelmäßig Verträge mit Unternehmenspartnern abgeschlossen, die berücksichtigt werden müssen.

Dazu ist es ratsam, sich im Bereich der Informationssicherheit weiterzubilden.

Die Rollen und zugehörige Zertifikate des CISO und ISO und des IT-Grundschutz-Praktikers haben keine befristete Gültigkeit. Dennoch ist es laut Prof. Christoph Thiel empfehlenswert, sich regelmäßig weiterzubilden, um eine effektive Informationssicherheit zu gewährleisten.

Die Rolle des IT-Grundschutz-Beraters hingegen ist sogar verpflichtet, regelmäßig nachzuweisen, dass er aktiv Projekte betreut und Fortbildungen in diesem Bereich erfolgreich absolviert hat.

Zusätzlich ist es ratsam sich selbst auf dem Laufenden zu halten. Dazu können wir zum einen die einzelnen Informationsseiten des Bundesamtes für Sicherheit in der Informationstechnik zu diesem Thema empfehlen oder auch den Internetauftritt des Heise Verlages. Denn hier werden aktuelle Sicherheitsvorfälle, Informationen über Sicherheitsprobleme und weitere Themen der Informationssicherheit besprochen.

Sie müssen als Unternehmen also nicht die neuste Technik einkaufen, um die Informationssicherheit in Ihrem Unternehmen zu gewährleisten. Sie können stattdessen das geeignete Fachpersonal beschäftigten und so die Prozesse im Unternehmen verstehen und mögliche Risiken der Informationssicherheit unterbinden.

 

TÜV NORD – Ihr Partner für berufliche Weiterbildungen

  • Über 600 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 460 verschiedenen Seminarthemen täglich an Sie weiter.
  • Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.
  • Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.

Unsere Seminar-Empfehlungen für Sie

Information Security Officer - ISO (TÜV)

In diesem Seminar lernen Sie, welche Aufgaben mit der Rolle des Information Security Officer, Informationssicherheitsbeauftragten oder IT-Sicherheitsbeauftragten verbunden sind. Sie erfahren, welches die entscheidenden Faktoren für den Erfolg eines Informationssicherheitsmanagementsystems (ISMS) sind und wie Sie häufig auftretende Fallstricke vermeiden können. Im Mittelpunkt des Seminars steht die Vorgehensweise nach ISO 27001, die gleichzeitig das Verständnis für den IT-Grundschutz herausbildet. Unsere Referenten diskutieren mit Ihnen typische Fragestellungen aus der Praxis, wie mögliche Probleme im ISMS-Prozess. Ein Blick auf notwendige Maßnahmen der Infrastruktur-, System-, Netzwerk- und Anwendungssicherheit sowie die unumgängliche Dokumentation rundet den Kurs ab. Die Inhalte werden in überschaubarer Runde in Form von Präsentationen, praktischen Übungen und Gruppendiskussionen interaktiv erarbeitet. Das Seminar schließt mit dem begehrten TÜV-Zertifikat ab.

ISO 27001 Lead Auditor (TÜV) / Auditor (TÜV)

In unserer ISO 27001 Lead Auditor (TÜV) Schulung bzw. ISO 27001 Auditor (TÜV) Schulung erlangen Sie fundiertes, praxisnahes und normkonformes Wissen, um Audits von Informationssicherheitsmanagementsystemen (ISMS) planen, durchführen und nachbereiten zu können. Anhand zahlreicher Best Practices sowie interessanter Übungen geben wir Ihnen einen Einblick in Ihre Rolle und Verantwortlichkeit als ISO 27001 Lead Auditor bzw. Auditorin. Nach abwechslungsreichen Schulungstagen endet die ISO 27001 Lead Auditor (TÜV) Ausbildung mit einer Prüfung, durch die Sie ein Personenzertifikat der Personenzertifizierungsstelle der TÜV NORD CERT erwerben.

Das Ziel unserer Lead Auditor Ausbildung ist es, Ihnen das Rüstzeug mitzugeben, das Sie für eine erfolgreiche und zielorientierte Durchführung von First-, Second- und Third-Party-Audits nach ISO/IEC 27001 (mit ISO/IEC 27002) in Verbindung mit ISO 19011 und ISO 17021 benötigen.

Chief Information Security Officer (TÜV)

Sie erhalten einen Überblick über die Standards zur Informationssicherheit. Wir vermitteln Ihnen Kenntnisse zur Definiton von Siherheitsstrategien und -zielen.

Ihre Ansprechpartnerin

Ihre Ansprechpartnerin: Melanie BraunschweigTÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

Tel.: +49 201 31955-42
Fax: +49 201 31955-70
mbraunschweig@tuev-nord.de