Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

Ihr Inhalt

10000:04

4 Organisation der Informationssicherheit

VdS 10000
T1 Um mit möglichst geringem Aufwand das notwendige Sicherheitsniveau zu definieren, umzusetzen und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage anzupassen, ist es notwendig, eine entsprechende Organisation zu etablieren.

4.1 Verantwortlichkeiten

VdS 10000
G1 Verantwortlichkeiten (siehe Abschnitte 4.2 bis 4.10) MÜSSEN eindeutig und widerspruchsfrei zugewiesen werden.

4.1.1 Zuweisung und Dokumentation

VdS 10000
G1 Es MUSS für jede Verantwortlichkeit dokumentiert werden:
G1.1 1. welche Ziele erreicht werden sollen
G1.2 2. für welche Ressourcen die Verantwortlichkeit besteht
G1.3 3. welche Aufgaben erfüllt werden müssen, damit die Ziele erreicht werden
G1.4 4. welche Berechtigungen an die Verantwortlichkeit gebunden sind, um diese wahrnehmen zu können
G1.5 5. welche Ressourcen für die Wahrnehmung der Verantwortlichkeit zur Verfügung stehen
G1.6 6. wie und durch welche Position(en) die Erfüllung der Verantwortlichkeit überprüft wird
G1.7 7. welche Positionen die Verantwortlichkeit wahrnehmen

4.1.2 Funktionstrennungen

VdS 10000
G1 Bei der Verteilung der Verantwortlichkeiten MUSS das Prinzip der Funktionstrennung umgesetzt werden. Widersprüchliche Verantwortlichkeiten DÜRFEN NICHT von ein und derselben Person oder Organisationseinheit wahrgenommen werden.
E1 Wenn eine Funktionstrennung nicht oder nur mit einem unverhältnismäßig hohen Aufwand durchführbar ist, KÖNNEN widersprüchliche Verantwortlichkeiten von ein und derselben Person oder Organisationseinheit wahrgenommen werden.
G2 In diesem Fall MÜSSEN folgende Anforderungen erfüllt werden:
G2.1 1. Die rechtliche Zulässigkeit wurde geprüft.
G2.2 2. Es werden andere Maßnahmen wie Überwachung von Tätigkeiten, Kontrollen oder Leitungsaufsicht umgesetzt.
G2.3 3. Die nicht durchgeführte Funktionstrennung wird in der Dokumentation der Funktionsverteilung (siehe Abschnitt 4.1.1) besonders hervorgehoben und begründet.
G3 Um Zuständigkeitslücken oder Überschneidungen von Verantwortlichkeiten zu vermeiden, MÜSSEN die entsprechenden Regelungen jährlich vom Informationssicherheitsbeauftragten (ISB) überprüft werden.

4.1.3 Zeitliche Ressourcen

VdS 10000
G1 Um zugewiesene Verantwortlichkeiten wahrzunehmen, MÜSSEN die entsprechenden Mitarbeiter im erforderlichen Umfang (siehe Abschnitt 4.1.1) von anderen Tätigkeiten freigestellt werden.

4.1.4 Delegieren von Aufgaben

VdS 10000
E1 Verantwortliche für Informationssicherheit KÖNNEN Aufgaben an andere Personen delegieren.
G1 Die Verantwortung für delegierte Aufgaben verbleibt jedoch bei ihnen, sodass sie die Erfüllung und das Ergebnis der delegierten Aufgaben überprüfen MÜSSEN.

4.2 Topmanagement

VdS 10000
G1 Das Topmanagement MUSS sich zur Wahrnehmung folgender Verantwortlichkeiten verpflichten:
G1.1 1. Übernehmen der Gesamtverantwortung für die Informationssicherheit
G1.2 2. In Kraft setzen von Richtlinien für die Informationssicherheit (IS-Richtlinien)
G1.3 3. Bereitstellen der notwendigen technischen, finanziellen und personellen Ressourcen für die Informationssicherheit
G1.4 4. Einbetten der Informationssicherheit in die Strukturen, Hierarchien und Arbeitsabläufe der Organisation

4.3 Informationssicherheitsbeauftragter (ISB)

VdS 10000
G1 Das Topmanagement MUSS die Verantwortlichkeiten eines Informationssicherheitsbeauftragten (ISB) einem Mitarbeiter zuweisen.
G2 Dieser MUSS darauf hinwirken, dass die in der Leitlinie zur Informationssicherheit (IS-Leitlinie) definierten Ziele der Informationssicherheit erreicht werden.
G3 Hierfür MUSS er insbesondere die folgenden Verantwortlichkeiten wahrnehmen:
G3.1 1. Steuern, Koordinieren und Prüfen der technischen und organisatorischen Maßnahmen, kontinuierliches Verbessern der Informationssicherheit, insbesondere Anpassen der Informationssicherheit an neue Bedrohungen, Änderungen im technischen und organisatorischen Umfeld und an neue gesetzliche, betriebliche und vertragliche Anforderungen
G3.2 2. jährliches Berichten an das Informationssicherheitsteam (IST) über den aktuellen Stand der Informationssicherheit, insbesondere über Mängel, Risiken und Sicherheitsvorfälle
E1.1 Es SOLLTE sichergestellt werden, dass die Verantwortlichkeiten des ISB auch in seiner Abwesenheit wahrgenommen werden.
E1.2 Dies KANN z. B. durch eine Stellvertreterregelung umgesetzt werden.

4.4 Informationssicherheitsteam (IST)

VdS 10000
G1 Das Topmanagement MUSS ein Informationssicherheitsteam (IST) bestellen.
G2 In diesem MÜSSEN folgende Organisationseinheiten bzw. Positionen persönlich oder durch einen Repräsentanten vertreten sein:
G2.1 1. Topmanagement
G2.2 2. ISB
G2.3 3. IT-Verantwortliche
G2.4 4. Mitarbeiter (z. B. über Betriebsrat)
G2.5 5. Verantwortliche für den Datenschutz (z. B. Datenschutzmanager und/oder Datenschutzbeauftragter)
G3 Das Team MUSS den ISB unterstützen, insbesondere bei den folgenden Tätigkeiten:
G3.1 1. Erkennen und Bewerten neuer Bedrohungen und Schwachstellen
G3.2 2. Entwickeln und Bewerten von Maßnahmen zur Informationssicherheit
G3.3 3. organisationsweites Steuern und Koordinieren der Maßnahmen zur Informationssicherheit

4.5 IT-Verantwortliche

VdS 10000
G1 Die Aufgaben eines IT-Verantwortlichen MÜSSEN vom Topmanagement mindestens einem Mitarbeiter zugewiesen werden.
G2 IT-Verantwortliche MÜSSEN folgende Aufgaben wahrnehmen:
G2.1 1. Umsetzen der IS-Richtlinien in ihrem Verantwortungsbereich durch entsprechende technische und organisatorische Maßnahmen
G2.2 2. Abstimmen aller Maßnahmen mit dem ISB, die aus ihrer Sicht zur Verbesserung und Erhaltung der Informationssicherheit in ihrem Verantwortungsbereich ergriffen werden müssen sowie deren Planung, Koordination und Umsetzung

4.6 Administratoren

VdS 10000
G1 Die Verantwortlichkeiten eines Administrators MÜSSEN mindestens einem Mitarbeiter zugewiesen werden.
G2 Administratoren MÜSSEN in Abstimmung mit dem IT-Verantwortlichen die technischen Maßnahmen für die Informationssicherheit implementieren.

4.7 Vorgesetzte

VdS 10000
G1 Vorgesetzte, die Verantwortung für Mitarbeiter tragen, MÜSSEN sicherstellen, dass die getroffenen technischen und organisatorischen Maßnahmen zur Informationssicherheit in Bezug auf die ihnen unterstellten Mitarbeiter umgesetzt werden.

4.8 Mitarbeiter

VdS 10000
G1 Mitarbeiter MÜSSEN folgende Aufgaben wahrnehmen:
G1.1 1. Einhalten und Umsetzen aller sie oder ihre Tätigkeit betreffenden Maßnahmen zur Informationssicherheit
G1.2 2. Melden von Störungen, Ausfällen und Sicherheitsvorfällen

4.9 Projektverantwortliche

VdS 10000
G1 Projektverantwortliche MÜSSEN den ISB bei allen Projekten mit Auswirkung auf die Informationsverarbeitung konsultieren, um sicherzustellen, dass sicherheitsrelevante Aspekte ausreichend beachtet werden.

4.10 Externe

VdS 10000
G1 Externe MÜSSEN verpflichtet werden, die sie betreffenden Maßnahmen und Regelungen zur Informationssicherheit einzuhalten bzw. umzusetzen, sofern sie Zugriff auf kritische Informationen besitzen oder sie nichtöffentliche Bereiche der Informationstechnologie (IT) der Organisation nutzen.
10000/04.txt · Zuletzt geändert: 24.01.2020 16:52 (Externe Bearbeitung)

Hier finden Sie unser Impressum und unsere Datenschutzerklärung.