In diesem Beitrag beschäftigen wir uns mit der Organisation im Rahmen des Informationssicherheits-Managements. Wie bei allen Management-Systemen, die in irgendeiner Weise den PDCA-Zyklus (Plan-Do-Control-Act) anwenden, braucht es die Menschen, die sich auf die Reise begeben.
Die Möglichkeiten der Organisation sind vielfältig
Schaut man sich die unterschiedlichen Standards dazu an, ergibt sich ein großer Gestaltungsspielraum für die Abbildung des Themas in der Organisation:
- In der ISO 27001:2024 wird eine klare Organisation gefordert, die Ausgestaltung aber dem Unternehmen überlassen
- In der speziell für das Gesundheitswesen angepassten ISO 27779:2016 wird mindestens eine Person gefordert, die fachlich geeignet ist oder von der Unternehmensleitung entsprechend ausgebildet wird
- Im Grundschutz (2023, Baustein ISMS.1.A4) und dem B3S-Standard (ANF-MN 8) ist die Bestellung eines Informationssicherheitsbeauftragten eine MUSS-Forderung
- Auch die amerikanischen NIST-SP800 Standards geben die Bestellung eines Information Security Officers vor (NIST SP800-53r5 Control PM-2)
- In den verschiedenen Standards werden darüber hinaus diverse Stäbe und Verantwortliche gefordert, allerdings überwiegend als SOLL-Vorgaben
Unterschiedliche Schwerpunkte der verschiedenen Standards
Während COBIT einen besonderen Wert auf der Verankerung in der Organisation und den Abgleich mit der Unternehmensstrategie legt, fokussiert der Grundschutz stark und detailtief auf die technische Infrastruktur.
Diese Freiheitsgrade sind nachvollziehbar, denn ein Labor mit 50 Mitarbeitenden hat nicht die wirtschaftlichen und organisatorischen Ressourcen wie eine Universitätsklinik mit 18.000 Mitarbeitenden oder ein multinationales Unternehmen im Wirkungsbereich verschiedener Gesetze. Die Organisation des Informationssicherheitsmanagements muss sich an das Unternehmen und seine Ziele anpassen können.
Also, was brauchen Sie?
- Im Krankenhaus brauchen Sie auf jeden Fall einen Informationssicherheitsbeauftragten, das ergibt sich aus dem B3S-Standard, oder besser §391 Abs. 4 SGB V. Der ISB kann intern angestellt oder extern beauftragt sein, muss aber fachlich qualifiziert sein und die Zeit und Ressourcen für seine Tätigkeit vom Unternehmen bereitgestellt bekommen. In anderen Gesundheitsunternehmen kommt es darauf an, ob es einen Branchenstandard gibt und das Unternehmen unter oder über der KRITIS-Schwelle liegt. Grundsätzlich empfiehlt es sich immer, über die Bestellung eines ISB nachzudenken.
- Als Schnittstelle in die Organisation bietet sich die Bildung eines Stabes an, der sich mit dem Thema Informationssicherheit beschäftigt. Dieser sollte sich aus Mitgliedern der relevanten Berufsgruppen zusammensetzen. Der Datenschutzbeauftragte sollte ebenfalls eingebunden sein.
- Besonders in kleinen Organisationen kann man sich überlegen, die Aufgabe bestehenden Stäben oder Teams zu übertragen bzw. Aufgaben zu kombinieren, beispielsweise Krisen-Stab und Informationssicherheits-Stab.
Sie sehen, in der Organisation der Informationssicherheit gibt es einen großen Gestaltungsspielraum, solange Sie nicht KRITIS-Unternehmen sind. Es muss aber gemacht werden, geben Sie den Verantwortlichen den Raum dafür.
In den nächsten Beiträgen geht es um die inhaltliche Arbeit und wir gehen auf volles Risiko!
Hier geht’s zum Artikel „Informationsinventar und Risikomanagement“, Teil 3 unserer Blog-Serie.
Cyber-Risiko-Check – ein neues Angebot der Oberender AG
Sie wollen schon jetzt wissen, wo Sie in der Informationssicherheit stehen? Super – dann lassen Sie uns zusammen den Cyber-Risiko-Check machen. Mehr Infos dazu gibt’s hier.