M 2.225 Zuweisung der Verantwortung für Informationen, Anwendungen und IT-Komponenten
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Fachverantwortliche, Administrator, Mitarbeiter
Um zu einer umfassenden Gesamtsicherheit zu gelangen, ist die Beteiligung aller Mitarbeiter einer Organisation an der Umsetzung der erforderlichen IT-Sicherheitsmaßnahmen erforderlich. Für alle Informationen, Anwendungen und IT-Komponenten sollte daher festgelegt werden, wer für diese und deren Sicherheit verantwortlich ist. Hierfür sollte immer eine konkrete Person (inklusive Vertreter) und keine abstrakte Gruppe benannt werden, damit die Zuständigkeit jederzeit deutlich erkennbar ist. Bei komplexeren Informationen, Anwendungen und IT-Komponenten sollten alle Verantwortlichen und deren Vertreter namentlich genannt sein.
Umgekehrt sollten natürlich alle Mitarbeiter wissen, für welche Informationen, Anwendungen und IT-Komponenten sie in welcher Weise verantwortlich sind.
Jeder Mitarbeiter ist dabei für das verantwortlich, was in seinem Einflussbereich liegt, es sei denn, es ist explizit anders geregelt. Beispielsweise ist die Leitungsebene der Organisation verantwortlich für alle grundsätzlichen Entscheidungen bei der Einführung einer neuen Anwendung, der Leiter IT zusammen mit dem IT-Sicherheitsmanagement für die Ausarbeitung von Sicherheitsvorgaben, die Administratoren für deren korrekte Umsetzung und die Benutzer für den sorgfältigen Umgang mit den zugehörigen Informationen, Anwendungen und Systemen.
Die Fachverantwortlichen als die "Eigentümer" von Informationen und Anwendungen müssen sicherstellen, dass
- der Schutzbedarf der Informationen, Anwendungen und IT-Komponenten korrekt festgestellt wurde,
- die erforderlichen Sicherheitsmaßnahmen umgesetzt werden,
- dies regelmäßig (z. B. täglich, wöchentlich, monatlich) überprüft wird,
- die Aufgaben für die Umsetzung der Sicherheitsmaßnahmen klar definiert und zugewiesen werden,
- der Zugang bzw. Zugriff zu den Informationen, Anwendungen und IT-Komponenten geregelt ist,
- die Sicherheit gefährdende Abweichungen schriftlich dokumentiert werden.
Die Fachverantwortlichen müssen zusammen mit dem IT-Sicherheitsmanagement entscheiden, wie mit eventuellen Restrisiken umgegangen wird.