M 2.1 Festlegung von Verantwortlichkeiten und Regelungen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Leiter IT, Leiter Organisation

Für alle wesentlichen Aufgaben und Geschäftsprozesse in einer Institution sollten die Verantwortlichkeiten nachvollziehbar geregelt sein. Die Aufgaben sollten dabei so zugeschnitten sein, dass es keine Überschneidungen zwischen ähnlichen Aufgaben gibt, aber auch keine Zuständigkeitslücken. Dies sollte für alle Bereiche eine Selbstverständlichkeit sein, für alle sicherheitsrelevanten Aufgaben ist es aber unabdingbar.

Die sicherheitsrelevanten Aufgaben aller internen und externen Mitarbeiter und Dienstleister müssen nachvollziehbar festgelegt sein. Sie müssen mit den Sicherheitszielen der Institution abgestimmt sein. Zu den Bereichen, die geregelt werden sollten, gehören beispielsweise:

Die Regelungen für Informationssicherheit sollten mit denen für Datenschutz und Geheimschutz in geeigneter Weise zusammengeführt werden, damit sie von den Mitarbeitern leichter adaptiert und besser wahrgenommen werden können. Wichtig ist auch, dass alle Regelungen zusammengenommen widerspruchsfrei sind.

Übergreifende Regelungen zur Informationssicherheit müssen als ein Aspekt der Informationsverarbeitung verbindlich festgelegt werden.

Es empfiehlt sich, Regelungen unter anderem über die Themen

zu treffen. Hinweise dazu finden sich in den Maßnahmenbeschreibungen der jeweils relevanten IT-Grundschutz-Bausteine.

Die in Kraft gesetzten Regelungen sind den betroffenen Mitarbeitern in geeigneter Weise bekannt zu geben (siehe M 3.2 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen). Es empfiehlt sich, die Bekanntgabe zu dokumentieren. Darüber hinaus sind sämtliche Regelungen in der aktuellen Form an einer Stelle vorzuhalten und bei berechtigtem Interesse zugänglich zu machen.

Die getroffenen Regelungen sind regelmäßig zu aktualisieren, um Missverständnisse, ungeklärte Zuständigkeiten und Widersprüche zu vermeiden und gegebenenfalls aufzulösen. Alle Regelungen sollten deshalb auch ein Erstellungsdatum oder eine Versionsnummer enthalten.

Prüffragen: