Informationssicherheit ist ein Job für ein ganzes Team
Wenn Sie die Informationssicherheit aufbauen wollen, brauchen Sie ein ganzes Team. Wenn Sie nur eine Person dafür einsetzen, ist das Projekt meist zum Scheitern verurteilt. Im weiteren Verlauf finden definieren wir einzelnen Rollen im ISMS.
Teammitglieder
Informationssicherheitsbeauftragter (ISB): Der Managementbeauftragte, der für die ISO 27001 oder TISAX verantwortlich ist. Diese Person ist verantwortlich, die Prozesse zu steuern. Die Person muss Erfahrungen im Management und auch vom Fachgebiet haben.
IT-Leiter: Der Mann für das Fachliche in der IT. Diese Person muss die einzelnen IT-Prozesse steuern und die notwendigen Maßnahmen umsetzen, um die Informationssicherheit sicher zu stellen.
Datenschutzbeauftragter: Als Unterstützung zum ISB muss der DSB alle Maßnahmen mittragen die personenbezogenen Daten betreffen.
Interner Auditor: Der interne Auditor muss unabhängig sein und darf nicht direkt im Managementsystem mitarbeiten.
Risikomanager: Der Risikomanager betreut das Risikomanagement und erhebt die Risiken, berichtet diese an die oberste Leitung und verfolgt die Umsetzung der Maßnahmen.
Auslagerung der einzelnen Rollen
Das Auslagern der Rollen ist möglich und bei kleinen Organisationen auch sinnvoll. Wir bieten Ihnen Dienstleistungen für eine Auslagerung an.
Norm Anforderungen
Die ISO 27001 ist in diesen Punkten sehr klar. Die oberste Leitung, muss alle notwendigen Ressourcen für die Implementierung und Aufrechterhaltung des Managements freigeben. (ISO 27001:7.1)
Zusätzlich gibt die ISO 27001 vor, dass die oberste Leitung Führungsstärke zeigen und hinter dem Managementstehen. Die oberste Leitung muss die Mitarbeiter unterstützen und im bestenfalls auch die Mitarbeiter befähigen. (ISO 27001:5.1)
Fazit
Die Einführung der ISO 27001 mit nur einer Person ist nur schwer möglich und auch nicht sinnvoll.