Benutzer-Werkzeuge
Webseiten-Werkzeuge
Seitenleiste
10000:04
Inhaltsverzeichnis
4 Organisation der Informationssicherheit
| VdS 10000 | |
|---|---|
| T1 | Um mit möglichst geringem Aufwand das notwendige Sicherheitsniveau zu definieren, umzusetzen und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage anzupassen, ist es notwendig, eine entsprechende Organisation zu etablieren. |
4.1 Verantwortlichkeiten
| VdS 10000 | |
|---|---|
| G1 | Verantwortlichkeiten (siehe Abschnitte 4.2 bis 4.10) MÜSSEN eindeutig und widerspruchsfrei zugewiesen werden. |
4.1.1 Zuweisung und Dokumentation
| VdS 10000 | |
|---|---|
| G1 | Es MUSS für jede Verantwortlichkeit dokumentiert werden: |
| G1.1 | 1. welche Ziele erreicht werden sollen |
| G1.2 | 2. für welche Ressourcen die Verantwortlichkeit besteht |
| G1.3 | 3. welche Aufgaben erfüllt werden müssen, damit die Ziele erreicht werden |
| G1.4 | 4. welche Berechtigungen an die Verantwortlichkeit gebunden sind, um diese wahrnehmen zu können |
| G1.5 | 5. welche Ressourcen für die Wahrnehmung der Verantwortlichkeit zur Verfügung stehen |
| G1.6 | 6. wie und durch welche Position(en) die Erfüllung der Verantwortlichkeit überprüft wird |
| G1.7 | 7. welche Positionen die Verantwortlichkeit wahrnehmen |
4.1.2 Funktionstrennungen
| VdS 10000 | |
|---|---|
| G1 | Bei der Verteilung der Verantwortlichkeiten MUSS das Prinzip der Funktionstrennung umgesetzt werden. Widersprüchliche Verantwortlichkeiten DÜRFEN NICHT von ein und derselben Person oder Organisationseinheit wahrgenommen werden. |
| E1 | Wenn eine Funktionstrennung nicht oder nur mit einem unverhältnismäßig hohen Aufwand durchführbar ist, KÖNNEN widersprüchliche Verantwortlichkeiten von ein und derselben Person oder Organisationseinheit wahrgenommen werden. |
| G2 | In diesem Fall MÜSSEN folgende Anforderungen erfüllt werden: |
| G2.1 | 1. Die rechtliche Zulässigkeit wurde geprüft. |
| G2.2 | 2. Es werden andere Maßnahmen wie Überwachung von Tätigkeiten, Kontrollen oder Leitungsaufsicht umgesetzt. |
| G2.3 | 3. Die nicht durchgeführte Funktionstrennung wird in der Dokumentation der Funktionsverteilung (siehe Abschnitt 4.1.1) besonders hervorgehoben und begründet. |
| G3 | Um Zuständigkeitslücken oder Überschneidungen von Verantwortlichkeiten zu vermeiden, MÜSSEN die entsprechenden Regelungen jährlich vom Informationssicherheitsbeauftragten (ISB) überprüft werden. |
4.1.3 Zeitliche Ressourcen
| VdS 10000 | |
|---|---|
| G1 | Um zugewiesene Verantwortlichkeiten wahrzunehmen, MÜSSEN die entsprechenden Mitarbeiter im erforderlichen Umfang (siehe Abschnitt 4.1.1) von anderen Tätigkeiten freigestellt werden. |
4.1.4 Delegieren von Aufgaben
| VdS 10000 | |
|---|---|
| E1 | Verantwortliche für Informationssicherheit KÖNNEN Aufgaben an andere Personen delegieren. |
| G1 | Die Verantwortung für delegierte Aufgaben verbleibt jedoch bei ihnen, sodass sie die Erfüllung und das Ergebnis der delegierten Aufgaben überprüfen MÜSSEN. |
4.2 Topmanagement
| VdS 10000 | |
|---|---|
| G1 | Das Topmanagement MUSS sich zur Wahrnehmung folgender Verantwortlichkeiten verpflichten: |
| G1.1 | 1. Übernehmen der Gesamtverantwortung für die Informationssicherheit |
| G1.2 | 2. In Kraft setzen von Richtlinien für die Informationssicherheit (IS-Richtlinien) |
| G1.3 | 3. Bereitstellen der notwendigen technischen, finanziellen und personellen Ressourcen für die Informationssicherheit |
| G1.4 | 4. Einbetten der Informationssicherheit in die Strukturen, Hierarchien und Arbeitsabläufe der Organisation |
4.3 Informationssicherheitsbeauftragter (ISB)
| VdS 10000 | |
|---|---|
| G1 | Das Topmanagement MUSS die Verantwortlichkeiten eines Informationssicherheitsbeauftragten (ISB) einem Mitarbeiter zuweisen. |
| G2 | Dieser MUSS darauf hinwirken, dass die in der Leitlinie zur Informationssicherheit (IS-Leitlinie) definierten Ziele der Informationssicherheit erreicht werden. |
| G3 | Hierfür MUSS er insbesondere die folgenden Verantwortlichkeiten wahrnehmen: |
| G3.1 | 1. Steuern, Koordinieren und Prüfen der technischen und organisatorischen Maßnahmen, kontinuierliches Verbessern der Informationssicherheit, insbesondere Anpassen der Informationssicherheit an neue Bedrohungen, Änderungen im technischen und organisatorischen Umfeld und an neue gesetzliche, betriebliche und vertragliche Anforderungen |
| G3.2 | 2. jährliches Berichten an das Informationssicherheitsteam (IST) über den aktuellen Stand der Informationssicherheit, insbesondere über Mängel, Risiken und Sicherheitsvorfälle |
| E1.1 | Es SOLLTE sichergestellt werden, dass die Verantwortlichkeiten des ISB auch in seiner Abwesenheit wahrgenommen werden. |
| E1.2 | Dies KANN z. B. durch eine Stellvertreterregelung umgesetzt werden. |
4.4 Informationssicherheitsteam (IST)
| VdS 10000 | |
|---|---|
| G1 | Das Topmanagement MUSS ein Informationssicherheitsteam (IST) bestellen. |
| G2 | In diesem MÜSSEN folgende Organisationseinheiten bzw. Positionen persönlich oder durch einen Repräsentanten vertreten sein: |
| G2.1 | 1. Topmanagement |
| G2.2 | 2. ISB |
| G2.3 | 3. IT-Verantwortliche |
| G2.4 | 4. Mitarbeiter (z. B. über Betriebsrat) |
| G2.5 | 5. Verantwortliche für den Datenschutz (z. B. Datenschutzmanager und/oder Datenschutzbeauftragter) |
| G3 | Das Team MUSS den ISB unterstützen, insbesondere bei den folgenden Tätigkeiten: |
| G3.1 | 1. Erkennen und Bewerten neuer Bedrohungen und Schwachstellen |
| G3.2 | 2. Entwickeln und Bewerten von Maßnahmen zur Informationssicherheit |
| G3.3 | 3. organisationsweites Steuern und Koordinieren der Maßnahmen zur Informationssicherheit |
4.5 IT-Verantwortliche
| VdS 10000 | |
|---|---|
| G1 | Die Aufgaben eines IT-Verantwortlichen MÜSSEN vom Topmanagement mindestens einem Mitarbeiter zugewiesen werden. |
| G2 | IT-Verantwortliche MÜSSEN folgende Aufgaben wahrnehmen: |
| G2.1 | 1. Umsetzen der IS-Richtlinien in ihrem Verantwortungsbereich durch entsprechende technische und organisatorische Maßnahmen |
| G2.2 | 2. Abstimmen aller Maßnahmen mit dem ISB, die aus ihrer Sicht zur Verbesserung und Erhaltung der Informationssicherheit in ihrem Verantwortungsbereich ergriffen werden müssen sowie deren Planung, Koordination und Umsetzung |
4.6 Administratoren
| VdS 10000 | |
|---|---|
| G1 | Die Verantwortlichkeiten eines Administrators MÜSSEN mindestens einem Mitarbeiter zugewiesen werden. |
| G2 | Administratoren MÜSSEN in Abstimmung mit dem IT-Verantwortlichen die technischen Maßnahmen für die Informationssicherheit implementieren. |
4.7 Vorgesetzte
| VdS 10000 | |
|---|---|
| G1 | Vorgesetzte, die Verantwortung für Mitarbeiter tragen, MÜSSEN sicherstellen, dass die getroffenen technischen und organisatorischen Maßnahmen zur Informationssicherheit in Bezug auf die ihnen unterstellten Mitarbeiter umgesetzt werden. |
4.8 Mitarbeiter
| VdS 10000 | |
|---|---|
| G1 | Mitarbeiter MÜSSEN folgende Aufgaben wahrnehmen: |
| G1.1 | 1. Einhalten und Umsetzen aller sie oder ihre Tätigkeit betreffenden Maßnahmen zur Informationssicherheit |
| G1.2 | 2. Melden von Störungen, Ausfällen und Sicherheitsvorfällen |
4.9 Projektverantwortliche
| VdS 10000 | |
|---|---|
| G1 | Projektverantwortliche MÜSSEN den ISB bei allen Projekten mit Auswirkung auf die Informationsverarbeitung konsultieren, um sicherzustellen, dass sicherheitsrelevante Aspekte ausreichend beachtet werden. |
4.10 Externe
10000/04.txt · Zuletzt geändert: 24.01.2020 16:52 (Externe Bearbeitung)
