Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.193 Aufbau einer geeigneten Organisationsstruktur für IT-Sicherheit - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.193 Aufbau einer geeigneten Organisationsstruktur für IT-Sicherheit

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement-Team

Planung und Einrichtung der IT-Sicherheitsorganisation

Um einen IT-Sicherheitsprozesses erfolgreich planen, umsetzen und aufrechterhalten zu können, muss eine geeignete Organisationsstruktur vorhanden sein. Es müssen also Rollen definiert sein, die die verschiedenen Aufgaben für die Erreichung der IT-Sicherheitsziele wahrnehmen müssen. Außerdem müssen Personen benannt sein, die qualifiziert sind und denen ausreichend Ressourcen zur Verfügung stehen, um diese Rollen auszufüllen.

Zu Beginn eines IT-Sicherheitsprozesses kann sich herausstellen, dass es keine übergreifende Struktur für IT-Sicherheit gibt. In den meisten Behörden und Unternehmen gibt es allerdings bereits Personen, die für verschiedene Aspekte der IT-Sicherheit zuständig sind. Hier muss eine geeignete, übergreifende IT-Sicherheitsorganisation aufgebaut werden. Auch wenn bereits eine IT-Sicherheitsorganisation etabliert ist, sollte regelmäßig überlegt werden, ob diese noch angemessen ist oder an neue Rahmenbedingungen angepasst werden muss.

Funktion des IT-Sicherheitsbeauftragten

Die Art und Ausprägung einer IT-Sicherheitsorganisation hängt von der Größe, Beschaffenheit und Struktur der jeweiligen Institution ab. In jeder Institution muss allerdings die Funktion des IT-Sicherheitsbeauftragten eingerichtet werden, der für alle Belange der IT-Sicherheit zuständig ist. Die Aufgaben des IT-Sicherheitsbeauftragten sind unter anderem:

Der IT-Sicherheitsbeauftragte muss bei allen Projekten mit IT-Bezug beteiligt werden, damit sichergestellt ist, dass sicherheitsrelevante Aspekte ausreichend beachtet werden. Dazu gehören z. B. die Beschaffung von IT-Systemen oder die Gestaltung von IT-gestützten Geschäftsprozessen.

Um den direkten Zugang zur Behörden- bzw. Unternehmensleitung sicherzustellen, ist es empfehlenswert, diese Rolle als Stabsstelle einzurichten.

In kleinen Organisationen kann die Funktion des IT-Sicherheitsbeauftragten auch von einem qualifizierten Mitarbeiter neben anderen Aufgaben wahrgenommen werden. Maßgeblich ist, dass dem IT-Sicherheitsbeauftragten ausreichend Zeit für seine Aufgaben zugebilligt wird. Vor allem bei der erstmaligen Einrichtung des IT-Sicherheitsprozesses müssen hierfür auch hinreichende zeitliche Ressourcen eingeplant werden. Ebenfalls wichtig bei der Planung der IT-Sicherheitsorganisation ist die Benennung eines qualifizierten Vertreters des IT-Sicherheitsbeauftragten.

Auswahl des IT-Sicherheitsbeauftragten

Der IT-Sicherheitsbeauftragte sollte über Wissen und Erfahrung in den Gebieten Informationstechnik und IT-Sicherheit verfügen. Weiterhin sollte er über die folgenden Qualifikationen und Eigenschaften verfügen:

Ein IT-Sicherheitsbeauftragter alleine kann nicht für angemessene Sicherheit in allen Bereichen einer Institution sorgen. Daher sind Kommunikations- und Präsentationsfähigkeiten wichtig. Die Leitungsebene muss in zentralen Fragen des IT-Sicherheitsprozesses immer wieder eingebunden werden, außerdem müssen Entscheidungen eingefordert werden. Die Zusammenarbeit mit den IT-Benutzern verlangt viel Geschick, da diese von der Notwendigkeit der (für sie manchmal etwas lästigen) IT-Sicherheitsmaßnahmen überzeugt werden müssen. Mindestens genauso heikel ist die Befragung der Mitarbeiter nach sicherheitskritischen Vorkommnissen und Schwachstellen. Um bei diesen Befragungen nützliche Ergebnisse zu erzielen, müssen die Mitarbeiter davon überzeugt werden, dass ehrliche Antworten nicht zu Problemen für sie selbst führen.

Aufbau eines IT-Sicherheitsmanagement-Teams

In größeren Organisationen ist es sinnvoll, ein IT-Sicherheitsmanagement-Team aufzubauen, das den IT-Sicherheitsbeauftragten unterstützt und sämtliche übergreifende Belange der IT-Sicherheit regelt und Pläne, Vorgaben und Richtlinien erarbeitet. Die Größe und die Zusammenstellung des IT-Sicherheitsmanagement-Teams sollten in Abhängigkeit vom Umfang des IT-Sicherheitsprozesses und der dafür benötigten Ressourcen und Expertisen definiert werden. In BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise sind verschiedene Varianten dargestellt, wie eine Aufbauorganisation des IT-Sicherheitsmanagements aussehen kann.

Auswahl des IT-Sicherheitsmanagement-Teams

Um die verschiedenen Sichten der IT-Sicherheit in der Organisation zu berücksichtigen, sollten im IT-Sicherheitsmanagement-Team folgende Vertreter zusammenarbeiten:

Benennung eines verantwortlichen Managers

Auf Leitungsebene sollte die Aufgabe IT-Sicherheit eindeutig einem verantwortlichen Manager zugeordnet sein, an den der IT-Sicherheitsbeauftragte direkt berichtet. In kleinen Organisationen kann auch ein Geschäftsführer diese Aufgabe übernehmen.

Überprüfung der IT-Sicherheitsorganisation

Eine einmal aufgebaute IT-Sicherheitsorganisation ist nicht statisch. Geschäftsprozesse und Umfeldbedingungen ändern sich permanent, so dass auch die IT-Sicherheitsorganisation immer wieder überdacht werden muss. Dabei sollte beispielsweise beleuchtet werden, ob die Aufgaben und Kompetenzen innerhalb des IT-Sicherheitsprozesses ausreichend klar definiert waren, aber auch, ob vorgesehene Aufgaben nicht wahrgenommen werden konnten. Vor allem sollten die folgenden Punkte abgeklopft werden:

Anpassung und Verbesserung der IT-Sicherheitsorganisation

Die IT-Sicherheitsorganisation muss regelmäßig in Bezug auf Effizienz und Effektivität optimiert werden. Hat sich herausgestellt, dass Prozesse oder Regelungen für die IT-Sicherheitsorganisation Schwächen haben, müssen diese abgestellt werden.

Dokumentation

Die Aufgaben, Verantwortungen und Kompetenzen im IT-Sicherheitsmanagement müssen nachvollziehbar dokumentiert sein. Dazu gehören auch die wesentlichen Arbeitsanweisungen und organisatorischen Regelungen.

Ergänzende Kontrollfragen: