Beim Aufbau eines Informationssicherheitsmanagementsystem (ISMS) steht der Informationssicherheitsbeauftragte (ISB) im Mittelpunkt. Doch was macht so ein ISB eigentlich? Wir möchten Ihnen die Aufgaben dieser wichtigen Funktion darstellen und die benötigten Qualifikationen etwas genauer beleuchten.
Quelle: 16. SEPTEMBER 2022| NOCH KEIN KOMMENTAR | VON MARTIN OBERBERGER
Besteht die Pflicht einen Informationssicherheitsbeauftragten zu bestellen?
Grundsätzlich besteht für die meisten Unternehmen keine gesetzliche Pflicht, einen Informationssicherheitsbeauftragten zu bestellen. Sollten Sie jedoch ein ISMS aufbauen wollen und eine Zertifizierung nach der ISO 27001 anstreben, kommt dem ISB eine Schlüsselfunktion zu. Über eine mögliche organisatorische Einordnung haben wir bereits geschrieben, nun wollen wir uns seinen konkreten Aufgaben widmen.
Welche Aufgaben hat der ISB?
Um es vorwegzunehmen: Die Aufgaben eines ISBs sind bedeutsam und vielfältig. Neben den Qualifikationen sind auch eine ganze Menge an sogenannten Softskills erforderlich, um einen erfolgreichen Beitrag zur Informationssicherheit leisten zu können. Bei der Aufzählung der Aufgaben erheben wir keinen Anspruch auf Vollständigkeit, sie soll Ihnen jedoch eine erste Orientierungshilfe bieten:
- Der ISB ist dafür zuständig, das Informationssicherheitsmanagementsystem (ISMS) zu entwickeln, zu implementieren, zu koordinieren, kontinuierlich zu verbessern und über die Leistungsfähigkeit zu berichten.
- Dabei wird Realisierung von geeigneten Maßnahmen zur Steigerung der Informationssicherheit initiiert und kontrolliert.
- Es werden Konzepte, Richtlinien und Regelungen kreiert und erlassen.
- Weiterhin berät der Informationssicherheitsbeauftragte die Unternehmensleitung in allen Fragen der Informationssicherheit, da diese auch nach Einführung eines ISBs die Gesamtverantwortung für die Thematik trägt.
- Die Analyse von Informationssicherheitsvorfällen werden vom ISB geleitet und entsprechende Maßnahmen zur zukünftigen Vermeidung vorgeschlagen.
- Der Informationssicherheitsbeauftragte konzipiert zielgruppengerechte Trainingsprogramme und flankierende Kommunikation, um Awareness für die Belange der Informationssicherheit bei allen Mitarbeitenden zu schaffen und führt diese Programme durch.
Wünschenswerte Qualifikationen und Softskills
Die Qualifikationen, Erfahrungen und Karriereverläufe des ISBs können recht unterschiedlich sein. Nicht zu unterschätzen sind dabei die Softskills.
- Fachliche Qualifikation
Fachliche Qualifikationen und Erfahrungen in den Bereichen Informationssicherheit und Informationstechnik sind ein Muss. Prozessdenken und Kenntnisse zur Planung, Organisation und Steuerung von Projekten sind ebenfalls unabdingbar. - Der Blick für das Ganze
Einen ganz wichtigen Aspekt, um die Rolle des ISBs erfolgreich zu gestalten, spielen die Softskills. So sollte der Informationssicherheitsbeauftragte immer das große Ganze im Blick haben, sich selbst und andere gut organisieren können und mit analytischen und kommunikativen Fähigkeiten punkten können. - Kommunikation und Moderation
Gerade die kommunikativen Fähigkeiten sind von unschätzbarem Wert, um Akzeptanz auf allen Ebenen zu erreichen. Der ISB erfüllt oftmals die Rolle des Moderators, manchmal auch die eines Mediators. Das erfordert selbstverständlich auch ein hohes Maß an Team- und Kooperationsfähigkeit. - Konflikt- und Durchsetzungsfähigkeit
Bei gelegentlichem Auftreten systemimmanenter Konflikte im ISMS-Team sind auch Konflikt- und Durchsetzungsfähigkeit gefragt. Und da der Aufbau eines ISMS eher ein Marathon als ein Sprint ist, sind auch Geduld und Beharrlichkeit gefragte Komponenten. All das natürlich gepaart mit einem gesunden Mix an Diplomatie. - Lebenslanges Lernen
Die Affinität für Themen der IT und neue Technologien in diesem Umfeld sollten eine gegebene Sache sein. Sie ahnen es: Ein ISB sollte gerne Neues lernen und ständige Weiterbildung ist unerlässlich. Da nichts Beständiger ist als der Wandel, ist lebenslanges Lernen für ihn eine Selbstverständlichkeit. Und zwar auf der fachlichen Ebene aber auch im normativen Bereich. - Branchen- und Organisationskenntnisse
Zu guten Letzt sind auch Kenntnisse der Organisation und der Branche gefragt.
Der Informationssicherheitsbeauftragte als Führungskraft
Die beschrieben Aufgaben des ISBs sind in diesem Artikel generisch dargestellt und erfordern in der Praxis viel Detailaufgaben. Sie variieren in den Schwerpunkten je nach Branche, Größe und weiteren Gegebenheiten der Unternehmen. Gerade in Kombination mit den umfangreichen Softskills haben wir an dieser Stelle eine gewisse Idealvorstellung dargestellt. Aber warum sollten Sie sich mit weniger zufrieden geben?
Die Zusammenstellung der Aufgaben lässt einen zu dem Schluss kommen: Der Informationssicherheitsbeauftragte ist eine Führungskraft.