Aufgaben eines ISB oder CISOs 

Beschreibung der Position:

Der CISO oder ISB ist verantwortlich für die Integration und Aufrechterhaltung der Informationssicherheit im Unternehmen. Diese Position ist als Bindeglied zwischen den unterschiedlichen Funktionen (Geschäftsführung, Datenschutz, IT, andere Führungskräfte) im Unternehmen. Der ISB bzw. CISO muss das Managementsystem an die Unternehmensziele anpassen und ständig auf Veränderungen des Umfeldes reagieren. Diese Funktion muss stets die Geschäftsführung unterreichten und beraten, um das Sicherheitsniveau im Unternehmen aufrecht zu halten.  

Die folgenden Punkte sind nicht abschließend und auch nicht zwingend notwendig. Sie dienen nur als Veranschaulichung wie komplex diese Position sein kann. 

Ausbildung:

Der ISB oder CISO muss eine ausreichende Ausbildung in viele Bereichen haben. Eine technische Ausbildung in Verbindung mit kaufmännischen Inhalten sollte favorisiert werden. (Studium der Wirtschaftsinformatik)

Je nach dem wie die Funktion abgedacht ist, ist eine Verschiebung in den technischen oder kaufmännischen Bereich möglich. Somit kommen auch: Studium der Informatik, Fachinformatiker, Studium der BWL in betracht.

Berufserfahrung:

Da der ISB/CISO eine Führungsaufgabe hat, muss er eine ausreichende Berufserfahrung im Bereich eines Seniors aufweisen. Er muss auf Augenhöhe mit dem Top Managements argumentieren und Entscheidungen vertreten können. Aus diesem Grund werden von gut 10 Jahren Berufserfahrung ausgegangen. 

Weiterbildung:

Nach dem Studium und der Berufserfahrung sollten auch einige der folgenden Zertifizierungen nicht fehlen. Diese sind nicht abschließend und können auch durch andere gleichwertige Zertifizierungen ersetzt werden.
Risikomanagement (ISO/IEC 31000, CRISC – Certified in Risk and Information Systems Control),
Information Sicherheits Management System (ISMS) (ISO/IEC 27001 (Implementer/ Auditor),CISA – Certified Information Systems Auditor, CISM – Certified Information Security Manager)),
IT Prozesse (ITIL 4 Managing Professional, CGEIT – Certified in the Governance of Enterprise IT),
Datenschutz (ISO/IEC 27701 Privacy Information Management System (PIMS) (Impelenter / Auditor))

Aufgaben:


Vorbeugung von Datenverlust: Verhinderung vom Verlust und Abfluss von Daten.


Analyse von Logdateien und Cert-Meldungen: Die Veränderungen um Umfeld des Unternehmens müssen fortlaufend analysiert werden. Dabei müssen die Logdateien und die Cert-Meldungen analysiert werden.


Betreiben eines SOC und Event Management: Ereignisse im Unternehmen müssen betrachtet und bewertet werden, damit diese nicht zu Risiken oder Störungen werden


Risikomanagement: Die Risikolage des Unternehmens besonders die IT-Risiken müssen fortlaufend analysiert und bewertet werden. Der CISO muss die notwendigen Maßnahmen planen bzw. freigeben, um die Risiken auf ein verträgliches Niveau zu halten.


Security-Architektur: Die eingesetzte Hard und Software muss zum Unternehmen und zur Sicherheitslage passen. Jede neue Hardware oder Software sollte betrachtet ujd genehmigt werden.


Identitäts- und Zugriffsmanagement (IAM): Ein gutes Berechtigungsmanagement stellt sicher, dass Mitarbeiter nur Zugriff auf die Daten erhalten, die sie auch benötigen. „Need to Know“


Programm-Management: Die Informationssicherheit muss auch in allen Projekten sichergestellt werden. Neue Software, neue Hardware oder die Veränderung des Unternehmens stellt auch immer eine Anpassung der Sicherheitsprozesse da.


Fehlersuche und Forensik: Herausfinden, was bei einem Datenleck schief gelaufen ist, die Verantwortlichen zur Rechenschaft ziehen, wenn sie aus dem eigenen Unternehmen stammen, und Pläne entwickeln, um ähnliche Krisen in Zukunft zu verhindern.


Governance und Compliance: Alle notwendigen Prozesse zum Schutz der Informationen müssen geplant dokumentiert und eingehalten werden.


Externer ISB oder CISO: Gute Mitarbeiter zu finden ist nicht einfach. Daher stellt sich die Frage kann man diese Position nicht auch extern vergeben. Diese Stelle kann man extern vergeben, man muss aber betrachten, dass ein externer Berater auf dieser Stelle keinerlei Entscheidungen für das Unternehmen treffen kann. Zudem muss man festhalten das ein externe Berater nicht jeden Tag im Unternehmen ist. Aus diesem Grund muss dem Berater ein interner Mitarbeiter zur Seite gestellt werden, der die Informationen bündelt und an den externen ISB/CISO weitergibt. Wenn Sie Interesse an einem externen ISB/CISO haben sprechen Sie uns an. 

Unsere Dienstleistung: Unser Partner  IT-Richtlinien.de bietet Vorlagen für Managementsysteme an. Diese Vorlagen sind geeignet für die Zertifizierung. 

Wir haben für die unterschiedlichen Managementsysteme Beratungsdienstleistungen. 


Informationssicherheit:

→ ISO/IEC 27001


Qualitätsmanagement:

→ ISO 9001


Business Continuity Management

→ ISO 22301


Compliance Management

→ ISO 37301

Vorheriger Beitrag Wie lange dauert der gesamte Zertifizierungsprozess
Nächster Beitrag Unterschiede in der internen Auditierung