Читать книгу INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle - Jens Libmann - Страница 31

Diese Gruppe trifft die maßgeblichen Beschlüsse in Bezug auf InfSec. Das Team wird von der Geschäftsführung geleitet und von den Bereichsleitern ergänzt.

In der Praxis wird die Trennung zwischen den beiden Zirkeln nicht so scharf vorgenommen, wie in der Beispieldarstellung. Hier geht es ja lediglich darum, das zugrunde liegende Prinzip darzustellen. De facto werden bei Bedarf immer wieder diverse Experten aus dem Kreis der Ansprechpartner zu den Meetings des Entscheidungsgremiums eingeladen. Dort haben sie die Möglichkeit, Informationen vorzutragen, die für weitere fundamentale Dispositionen relevant sind.

Geschäftsführung: In Säule 1 - Bewusstseinsbildung wurde die Rolle der Geschäftsführung bereits ausgiebig beschrieben. Die Unternehmensleitung nimmt aktiv üblicherweise nur an der Erstellung des Leitbilds (Ebene 1) und möglicherweise an der Formulierung der Elemente der normativen Stufe (Ebene 2) teil. In den anderen Schichten der Richtlinienpyramide erfolgen nur mehr Entscheidungs- und Genehmigungstätigkeiten. Die Firmenleitung bestimmt in der Regel einen Verantwortlichen - den InfSec-Beauftragten - der alle Sicherheitsagenden wahrnimmt.

Bereichsleiter: Diese Bezeichnung umfasst alle Führungskräfte der maßgeblichen Bereiche, wie Revision, Marketing, IKT, Einkauf, Vertrieb, Forschung, usw. Nicht nur technische Stellen, sondern auch Vertreter der Fachabteilungen werden in das Entscheidungsgremium einbezogen. Schlussendlich fungieren diese ja als Auftraggeber für jegliche Art von Informationsverarbeitung. Als „Datenherren“ sind sie für ihre Anwendung verantwortlich. Folglich liegt es nahe, zuständige Abteilungsleiter in alle sie betreffenden Sicherheitsbemühungen zu involvieren.

Die Grenzen zwischen Informationssystemen werden durch Eigentumsrechte gezogen. Als Eigentümer wird in der Regel der verantwortliche Auftraggeber, Leiter oder Verursacher von Informationen angesehen. Da Geschäftsprozesse den Rahmen für die inhaltliche Datenverarbeitung bieten, ist in vielen Fällen der Zuständige des jeweiligen Produktionsablaufs dessen Inhaber. Werden mehrere Prozesse, wie Bestellung, Lieferung oder Lagerhaltung innerhalb einer Anwendung, beispielsweise der „Buchhaltung“ durchgeführt, dann ist deren Eigner der Leiter der Buchhaltung. Selbstverständlich kann er seine Aufgaben an die Führungskräfte der einzelnen Prozessvorgänge delegieren. Als Ausschlaggebender für die Gesamtanwendung gilt jedoch in allen Fällen er selbst. Ist die Kompetenz nicht klar bestimmt, dann wird diese von der Geschäftsleitung festgelegt. Der Rolle des Eigentümers eines Informationssystems werden wir später noch bei der Klassifizierung der schützenswerten Objekte begegnen.

Dazu ein konkretes Beispiel: Der Leiter der Buchhaltung als Fachabteilung und der IKT-Abteilungschef als Dienstleister sind in das Entscheidungsgremium integriert. Beide können hier zusammen unter Mithilfe anderer Know-How-Träger optimale Lösungen erarbeiten. Darin liegt der Synergie-Effekt. Erfahrungsgemäß kommt es mitunter vor, dass Techniker eine aus deren Sicht sinnvolle Sicherheitslösung vorschlagen. Aus der Perspektive der Betroffenen kann diese aber völlig unpraktikabel sein. Auf der anderen Seite erkennt die Fachabteilung aufgrund intensiver Beschäftigung mit der Anwendung eher Handlungsbedarf als die IKT-Abteilung, die ja lediglich das System betreibt, auf der die Applikation läuft.

InfSec-Beauftragter: An diese Stelle wird die oberste Verantwortung für InfSec delegiert. Der InfSec-Beauftragte bildet das Bindeglied zwischen allen Teilnehmern des Organisationsprinzips. Aus diesem Grund ist in der Darstellung seine Position Teil von beiden Sicherheitszirkeln, dem InfSecC und dem Entscheidungsgremium. Während er ersterer Gruppierung vorsteht, hat er in der Zweiten lediglich eine beratende Funktion.

Grundsätzlich obliegt der Rolle des InfSec-Beauftragten die zentrale Koordination bei der:

1 Festlegung der InfSec-Ziele des Unternehmens,

1 Entwicklung einer unternehmensweiten InfSec-Politik,

1 Realisierung der Sicherheitskonzepte in organisatorischer und technischer Hinsicht,

1 Überwachung aller Maßnahmen zur Einhaltung der Sicherheitsvorschriften,

1 Beschaffung, Durchführung der Ausschreibungen, Installation, Management und Wartung der Sicherheitssysteme,

1 Benutzer- und Rechteverwaltung,

1 Definition und Verwaltung der erforderlichen personellen und finanziellen Ressourcen.

Für alle diese Wirkungsbereiche ist der InfSec-Beauftragte nicht nur erster Ansprechpartner für sämtliche Stellen innerhalb des Unternehmens, sondern auch für Externe, wie Kunden, Geschäftspartner, Fachbereiche und andere.

Egal, ob diese Funktion nur eine einzige Person oder eine ganze Abteilung wahrnimmt, in allen Fällen ist zweckmäßig, sie als Stabstelle der Geschäftsführung anzusiedeln. Unvorteilhaft wäre, diese Position innerhalb einer untergeordneten Stelle, wie beispielsweise der IKT-Abteilung zu etablieren. In diesem Fall hätte der InfSec-Beauftragte innerhalb der Aufbauorganisation nicht die erforderliche Kompetenz, unternehmensweite Entscheidungen durchzusetzen.