Wer moderiert eine Schutzbedarfsfeststellung?

Die originären Aufgaben eines Informationssicherheitsbeauftragten (ISB) bestehen darin, die Informationssicherheit in einer Organisation zu steuern, zu überwachen und kontinuierlich zu verbessern. Zu den wichtigsten Aufgaben zählen: 1. **Entwicklung und Pflege des Informationssicherheitsmanagementsystems (ISMS):** Aufbau, Dokumentation und Weiterentwicklung von Richtlinien, Verfahren und Maßnahmen zur Informationssicherheit. 2. **Beratung und Sensibilisierung:** Schulung und Sensibilisierung der Mitarbeitenden für Themen der Informationssicherheit sowie Beratung der Geschäftsleitung und Fachabteilungen. 3. **Risikomanagement:** Identifikation, Bewertung und Behandlung von Risiken für die Informationssicherheit. 4. **Überwachung und Kontrolle:** Überprüfung der Einhaltung von Sicherheitsrichtlinien und gesetzlichen Vorgaben, Durchführung von Audits und Kontrollen. 5. **Meldung und Behandlung von Sicherheitsvorfällen:** Koordination und Nachverfolgung von Sicherheitsvorfällen sowie Einleitung von Gegenmaßnahmen. 6. **Berichtswesen:** Regelmäßige Berichterstattung an die Geschäftsleitung über den Status der Informationssicherheit. 7. **Ansprechpartner für externe Stellen:** Kommunikation mit externen Partnern, Behörden oder Auditoren in Fragen der Informationssicherheit. Der ISB hat dabei eine beratende und koordinierende Funktion, ist aber in der Regel nicht für die operative Umsetzung einzelner Maßnahmen verantwortlich.

Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet einen systematischen Ansatz, um Informationssicherheit in Organisationen zu etablieren. Die Prozesse nach IT-Grundschutz sind klar strukturiert und orientieren sich am Lebenszyklus eines Informationssicherheitsmanagementsystems (ISMS). Hier die wichtigsten Prozesse und deren Struktur: **1. Initiierung und Management der Informationssicherheit** - **Verantwortlichkeiten festlegen:** Benennung eines Informationssicherheitsbeauftragten (ISB). - **Sicherheitsleitlinie erstellen:** Festlegung der Ziele und Rahmenbedingungen. - **Ressourcen bereitstellen:** Zeit, Personal und Budget sichern. **2. Strukturanalyse** - **Erfassung der Organisation:** Beschreibung der Aufbau- und Ablauforganisation. - **IT-Strukturanalyse:** Identifikation aller relevanten IT-Systeme, Anwendungen und Kommunikationsverbindungen. - **Schutzbedarfsfeststellung:** Bewertung, wie schützenswert die einzelnen Informationen und Systeme sind (normal, hoch, sehr hoch). **3. Modellierung** - **Zuordnung der IT-Grundschutz-Bausteine:** Auswahl passender Bausteine aus dem IT-Grundschutz-Kompendium für die identifizierten Systeme und Prozesse. **4. Basis-Sicherheitscheck** - **Soll-Ist-Vergleich:** Überprüfung, welche Anforderungen aus den Bausteinen bereits erfüllt sind und wo Handlungsbedarf besteht. **5. Risikoanalyse (optional, bei erhöhtem Schutzbedarf)** - **Zusätzliche Risiken identifizieren:** Für Bereiche mit hohem oder sehr hohem Schutzbedarf werden spezifische Risiken analysiert und zusätzliche Maßnahmen abgeleitet. **6. Umsetzung der Maßnahmen** - **Maßnahmenplan erstellen:** Planung und Priorisierung der umzusetzenden Sicherheitsmaßnahmen. - **Maßnahmen umsetzen:** Technische, organisatorische und personelle Maßnahmen implementieren. **7. Aufrechterhaltung und kontinuierliche Verbesserung** - **Wirksamkeitskontrolle:** Regelmäßige Überprüfung der umgesetzten Maßnahmen (z.B. durch Audits). - **Aktualisierung:** Anpassung an neue Bedrohungen, Technologien und organisatorische Änderungen. - **Dokumentation:** Lückenlose Dokumentation aller Prozesse und Maßnahmen. **8. Zertifizierung (optional)** - **Audit durch externe Prüfer:** Nach erfolgreicher Umsetzung kann eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz erfolgen. **Relevante Quellen und weiterführende Informationen:** - [BSI IT-Grundschutz-Kompendium](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html) - [BSI IT-Grundschutz-Methodik](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/IT-Grundschutz-Methodik/it-grundschutz-methodik_node.html) Diese strukturierte Vorgehensweise unterstützt Organisationen dabei, ein angemessenes und nachvollziehbares Sicherheitsniveau zu erreichen und kontinuierlich zu verbessern.

Der Verantwortliche für die Informationssicherheit ist in der Regel eine Person oder eine Gruppe innerhalb einer Organisation, die dafür zuständig ist, die Informationssicherheitsrichtlinien zu entwickeln, umzusetzen und zu überwachen. Diese Rolle kann verschiedene Titel haben, wie zum Beispiel Chief Information Security Officer (CISO IT-Sicherheitsauftragter oder Informationssicherheitsmanager. Die Hauptaufgaben umfassen die Identifizierung von Sicherheitsrisiken, die Implementierung von Sicherheitsmaßnahmen, die Schulung der Mitarbeiter und die Einhaltung von gesetzlichen und regulatorischen Anforderungen.

Die Größe des Teams für Informationssicherheit in einer Behörde mit 600 Mitarbeitern kann variieren, abhängig von verschiedenen Faktoren wie der Komplexität der IT-Infrastruktur, den spezifischen Sicherheitsanforderungen und den gesetzlichen Vorgaben. Allgemein wird jedoch empfohlen, dass ein Team für Informationssicherheit aus mindestens 1 bis 3 % der Gesamtmitarbeiterzahl bestehen sollte. Für eine Behörde mit 600 Mitarbeitern könnte dies bedeuten, dass ein Team von etwa 6 bis 18 Personen angemessen wäre. Es ist wichtig, dass das Team über verschiedene Kompetenzen verfügt, darunter Risikomanagement, Compliance, Incident Response und Schulung der Mitarbeiter. Eine genaue Analyse der spezifischen Bedürfnisse und Risiken der Behörde sollte jedoch die endgültige Teamgröße bestimmen.

Ja, der Informationssicherheitsbeauftragte kann in der IT-Abteilung arbeiten. Es ist jedoch wichtig, dass er unabhängig agieren kann, um Interessenkonflikte zu vermeiden. Die Position sollte so gestaltet sein, dass der Beauftragte in der Lage ist, Sicherheitsrichtlinien und -maßnahmen objektiv zu überwachen und durchzusetzen, ohne von den operativen IT-Aktivitäten beeinflusst zu werden.