ISO 27001 Anforderung 5.3 – Organisatorische Rollen und Verantwortlichkeiten

Was beinhaltet Abschnitt 5.3?

Ganz einfach: ISO 27001 strebt nach Klarheit und Konzentration auf die Kernbestandteile des ISMS – wer insgesamt verantwortlich ist, wer für bestimmte Teile verantwortlich ist, alles gute und logische Geschäftspraktiken. Sie müssen nachweisen, dass bestimmte Rollen (nicht unbedingt Personen) vorhanden sind, vom Top-Management ernannt wurden und dass diese den relevanten interessierten Parteien mitgeteilt und klar dokumentiert werden, sodass keine Unklarheiten bestehen. Die Anforderung ist hier ziemlich hoch und leicht zu dokumentieren und passt auch zu anderen Teilen des Informationssicherheitsmanagementsystems, z. B. zu den Eigentümern von Sicherheitsrisiken in 6.1, zu den Eigentümern von Informationssicherheitszielen in 6.2 usw.

So kann eine Person mehr als eine Rolle übernehmen und Sie können die Arbeit vereinheitlichen, indem Sie beispielsweise einen Vorstand alles überwachen lassen, um Managementbewertungen gemäß 9.3 nachzuweisen und das Informationssicherheitsmanagementsystem vollständig zu integrieren. Machen Sie einfach klar, wer wofür verantwortlich ist. Denken Sie bei der Auswahl der Rollen an interessierte Parteien und an die praktische Umsetzung. Beispielsweise könnte die Rolle des CISO (Chief Information Security Officer) für Ihre Kunden bedeuten, dass Sie die Informationssicherheit ernst nehmen, und dies könnte von einem leitenden Angestellten zusätzlich zu seiner Hauptaufgabe oder, in einer größeren Organisation, von einer vollwertigen Person übernommen werden -zeitliche Rolle für sich.

Sie können sich auch für einen TISO (Technical Information Security Officer) oder einen gleichwertigen Beauftragten entscheiden, der technischer ist und sich auf diese Aspekte des ISMS konzentrieren kann, wenn die anderen Rollen von eher kommerziell/strategisch ausgerichteten Personen übernommen werden. Sehen Sie sich Anhang A 6.1.1 (über die Organisation der Informationssicherheit) an und stellen Sie sicher, dass Sie diese Anforderung mit der Kontrolle in Anhang A in Einklang bringen.

ISO 27001 strebt insbesondere nach Klarheit in den Rollen und Verantwortlichkeiten für:

• Sicherstellen, dass das Informationssicherheitsmanagementsystem den Anforderungen der International Organization for Standardization entspricht
• Die Berichterstattung über die Leistung des ISMS (was viel einfacher ist, wenn alles an einem Ort ist)

Es kann durchaus sein, dass ein leitender Angestellter im Rahmen der Führungsverpflichtung zur Informationssicherheit (5.1) die Verantwortung für das ISMS trägt, die Ausführung jedoch natürlich an andere in der Organisation delegieren oder an spezialisierte Parteien wie die virtuelle Organisation auslagern kann CISO, um das herum viele der ISMS.online-Partner Dienstleistungen anbieten. Denken Sie daran, es zu dokumentieren!

Machen Sie es einfacher mit ISMS.online

Die ISMS.online-Plattform erleichtert dem Top-Management die Festlegung einer Informationssicherheitsrichtlinie, die mit dem Zweck und Kontext der Organisation im Einklang steht.

Ihr ISMS umfasst eine vorgefertigte Informationssicherheitsrichtlinie, die problemlos an Ihr Unternehmen angepasst werden kann. Diese Richtlinie dient als Rahmen für die Überprüfung der Ziele und beinhaltet Verpflichtungen zur Erfüllung aller geltenden Anforderungen und zur kontinuierlichen Verbesserung des Managementsystems. Diese Richtlinie kann problemlos mit interessierten Parteien geteilt und für Ausschreibungen oder andere externe Kommunikation eingereicht werden.