Verantwortlichkeiten und Pflichten

Der Informationssicherheitsbeauftragte ist für die Entwicklung, Einführung, Weiterentwicklung und Betrieb des ISMS verantwortlich und verfügt über ein Mitsprache-, Weisungs- und Vetorecht bei allen Entscheidungen, die die Informationssicherheit betreffen. Seine Aufgabe ist es, die Einhaltung der gesetzten Sicherheitsziele zu gewährleisten. Darüber hinaus vertritt der Informationssicherheitsbeauftragte die Institution im Bereich Informationssicherheitsmanagements in definierten internen und externen Gremien. Der Informationssicherheitsbeauftragte informiert und berät die Geschäftsführung in allen grundsätzlichen und wichtigen Fragen der Informationssicherheit. Zu den Hauptaufgaben des Informationssicherheitsbeauftragten zählen:

• Die Beratung hinsichtlich der Informationssicherheit.
• Das Einführen, Migrieren und Erhalten eines ISMS nach BSI Standard 200-1 „ISMS“.
• Das Anwenden von Informationssicherheitsweisungsbefugnissen.
• Die Erstellung von Sicherheitsdokumentationen und Sicherheitsrichtlinien.
• Das Spezifizieren von Sicherheitsanforderungen an Infrastrukturen, IT-Systeme, IT-Komponenten, Netze und Anwendungen.
• Die Beratung und Begleitung von internen und externen Projekten zu Sicherheitsfragen.
• Die Sensibilisierung und Schulung von Mitarbeitenden und Externen hinsichtlich Sicherheitsfragen und der Sicherheitskultur.
• Die Kontrolle und Aufrechterhaltung eines geeigneten IT-Sicherheitsniveaus.
• Die Feststellung und Auswertung von Sicherheitsvorfällen.
• Die Erstellung von Management-Reporten zur Informationssicherheit.
• Die Leitung des Informationssicherheitsmanagementteams.

Der Informationssicherheitsbeauftragte ist weiterhin zuständig für das Management von Informationssicherheitsrisiken. Der Informationssicherheitsbeauftragte pflegt einen Ansatz zur Risikoeinschätzung und führt Risikoanalysen gemäß des BSI Standards 200-3 „Risikomanagement“ durch. Die Ergebnisse berichtet der Informationssicherheitsbeauftragte an die Geschäftsführung. Der Informationssicherheitsbeauftragte wirkt darauf hin, dass Maßnahmen, die über das vorhandene Sicherheitsniveau hinausgehen, als strategisch notwendig erkannt, ergriffen und umgesetzt werden.

Der Informationssicherheitsbeauftragte und sein Stellvertreter sind dauerhafte Mitglieder des Informationssicherheitsmanagementteams.

Befugnisse

Der Informationssicherheitsbeauftragter ist in dieser Funktion organisatorisch der Geschäftsführung unterstellt, handelt im Vertrauen der Geschäftsführung und verantwortet der Geschäftsführung gegenüber Maßnahmen, die durch den Informationssicherheitsbeauftragten veranlasst wurden. Der Informationssicherheitsbeauftragte verfügt über ein direktes Vortragsrecht.

Der Informationssicherheitsbeauftragter ist gegenüber den Projektmanagern, den Systembetreuern, den Anwenderbetreuern sowie den Mitarbeitenden in Bezug auf die Informationssicherheit weisungsbefugt.

Der Informationssicherheitsbeauftragte ist in Abstimmung mit der Geschäftsführung ermächtigt, Anwendungen ganz oder zeitweise einzustellen, wenn die Sicherheitsziele der Institution gefährdet sind. Im Falle einer Gefahr im Verzug, kann der Informationssicherheitsbeauftragte auch ohne Abstimmung mit der Geschäftsführung eigenmächtig über die Abschaltung von Anwendungen verfügen. Diese Entscheidung ist anschließend zeitnah mit der Geschäftsführung zu überprüfen.

Der Informationssicherheitsbeauftragter ist ermächtigt Audits durchzuführen beziehungsweise zu veranlassen, die Aufschlüsse über den Stand der Informationssicherheit geben. Der Informationssicherheitsbeauftragter ist zwingend in alle die Informationssicherheit tangierenden Projekte einzubinden. Der Informationssicherheitsbeauftragter hat in Abstimmung mit der Geschäftsführung für die Erfüllung seines Aufgabenbereichs das jederzeitige Zutrittsrecht zu allen Stellen der Institution. Der Informationssicherheitsbeauftragter ist befugt, sämtliche hierfür erforderlichen Regelungen, Konzepte und Maßnahmen zu entwickeln und einzuführen.