Interne Organisation

Aufgaben und Zuständigkeiten im Bereich der Informationssicherheit

Maßnahme

Alle Zuständigkeiten im Bereich der Informationssicherheit müssen festgelegt und zugeordnet werden.

Umsetzung

Innerhalb der Informationssicherheitsrichtlinie der u-form Testsysteme GmbH & Co. KG wurde bereits grob beschrieben, wie die Verantwortlichkeiten aufgeteilt werden, an dieser Stelle werden diese nun detaillierter beschrieben.

Unternehmensleitung

Informationssicherheit ist eine Führungsaufgabe, die das gesamte Unternehmen betrifft. Es ist daher die Aufgabe der Unternehmensleitung bestehend aus Vorstand und Geschäftsführung,

• die Verantwortung für die Durchsetzung der in der Sicherheitspolitik formulierten Ziele und Grundsätze zu übernehmen und organisationsweit zu verankern.
• die Einführung technischer und organisatorischer Sicherheits- und Kontrollmaßnahmen zur Durchsetzung der Sicherheitspolitik zu unterstützen.
• ausreichend personelle und finanzielle Ressourcen für die Etablierung eines tragfähigen Sicherheitsmanagements zu genehmigen und zur Verfügung zu stellen.
• die Verantwortung für das Restrisiko der operativen Sicherheitsmaßnahmen und der Geschäftsfortführungs-Strategie zu übernehmen.

Führungskräfte

Jede Führungskraft trägt die Verantwortung für die Einhaltung der gültigen Sicherheitsrichtlinien in der Form, dass sie

• Maßnahmen unterstützt, die bei der Behebung von Schwachstellen und Untersuchung von Sicherheitsvorfällen helfen.
• nicht behebbare Schwachstellen oder wesentliche Vorfälle innerhalb ihres Verantwortungsbereiches an den zuständigen Informationssicherheitsbeauftragten melden.
• den Informationssicherheitsbeauftragten und den Datenschutzbeauftragten dabei unterstützt, Bewusstseinsbildung zu betreiben und die Mitarbeiter auf die Sicherheitspolitik zu verpflichten.
• das Informationsbedürfnis der Mitarbeiter in Bezug auf Informationssicherheit im Rahmen ihrer Möglichkeiten fördert und insbesondere den Zugang zu erforderlichen Schulungsmaßnahmen veranlasst.
• dafür Sorge trägt, dass für wichtige und sensible Informationen der Grad der Vertraulichkeit und Sensibilität entsprechend der Vorgaben der Sicherheitspolitik festgelegt werden.
• die Einhaltung der Sicherheitsrichtlinien und die Wahrung der Sorgfaltspflicht beim Umgang mit Informationen kontrolliert.
• im Fall von Verstößen gegen Sicherheitsrichtlinien die erforderlichen Maßnahmen veranlässt.

Informationssicherheitsbeauftragter (ISB)

Der ISB der u-form Testsysteme GmbH & Co. KG wird von der Unternehmensleitung bestellt. Er trägt die Gesamtverantwortung für das Management der Informationssicherheit im Unternehmen.

Zu seinen Pflichten gehören die

• Entwicklung und laufende Aktualisierung der Informationssicherheitspolitik (u.a. festgehalten in diesem Dokument).
• Ausarbeitung von Richtlinien zur Informationssicherheit.
• Festlegung einer Risikoanalysestrategie und die Erstellung von Risikoanalysen sowie daraus folgenden Maßnahmen.
• Auswahl und Planung der unternehmensweiten Informationssicherheitsmaßnahmen.
• Planung interner und/oder externer Audits zur Überprüfung der Wirksamkeit der angewendeten Maßnahmen.
• Überprüfung der angestrebten Sicherheitsziele auf ihre Erreichung.
• Verwaltung der für die Informationssicherheit zur Verfügung stehenden Ressourcen für die Umsetzung kurzfristig notwendiger Maßnahmen.
• Planung und Koordinierung von Schulungs- und Sensibilisierungsmaßnahmen in Bezug auf Informationssicherheit.
• Stärkung des Bewusstseins für Informationssicherheit im Managementbereich.

Er stellt die Ansprechstelle für alle am Sicherheitsmanagementprozess beteiligten Personen dar und berichtet der Unternehmensleitung regelmäßig über den Stand der Informationssicherheit. Je nach Bedarf kann er nach Absprache mit der Unternehmensleitung interne oder externe Berater hinzuziehen.

Aus einen Pflichten leiten sich folgende Befugnisse ab

• der ISB ist Weisungsbefugt gegenüber allen Mitarbeitenden im Bezug auf Belange des ISM
• der ISB ist berechtigt Arbeitsvorgaben zu definieren und deren Umsetzung einzufordern
• der ISB kann im Rahmen der internen Auditierung Einblick in ISM - relevante Vorgänge erhalten
• der ISB darf in Abstimmung mit der Geschäftsleitung (Stichwort Budget) Maßnahmen zur Weiterbildung organisieren und durchführen
• der ISB nutzt Teile seiner Arbeitszeit für die Erfüllung seiner Aufgaben - er erhält hierbei Rückendeckung der Geschäftsleitung

Datenschutzbeauftragter (DSB)

Der DSB der u-form Testsysteme GmbH & Co. KG wird von der Geschäftsführung bestellt. Er ist für die Überwachung der datenschutzrechtlich ordnungsgemäßen Verarbeitung personenbezogener Daten verantwortlich, falls eine derartige Verarbeitung stattfinden sollte. Je nach Bedarf kann er Maßnahmen durchführen, um die Mitarbeiter für Datenschutz zu sensibilisieren. Die Aufgaben des Datenschutzbeauftragten werden im Bundesdatenschutzgesetz (BDSG) beschrieben.

Der Datenschutzbeauftragte erhält analog zum ISB folgende Befugnisse

• der DSB ist berechtigt Arbeitsvorgaben zu definieren und deren Umsetzung einzufordern
• der DSB kann im Rahmen seiner Prüfungen Mitarbeitende bitten Informationen zu zeigen, Vorgehensweisen zu erläutern
• der DSB darf im Rahmen seiner Tätigkeit Einblick in relevante Dokumente einfordern
• der DSB darf in Abstimmung mit der Geschäftsleitung (Stichwort Budget) Maßnahmen zur Weiterbildung organisieren und durchführen
• der DSB nutzt Teile seiner Arbeitszeit für die Erfüllung seiner Aufgaben - er erhält hierbei Rückendeckung der Geschäftsleitung

Aufgabentrennung

Maßnahme

Miteinander in Konflikt stehende Aufgaben und Zuständigkeitsbereiche müssen getrennt werden, um das Risiko unautorisierter oder versehentlicher Änderung oder missbräuchlicher Anwendung der Werte der Organisation zu verringern.

Umsetzung

Auf Grund der geringen Unternehmensgröße ist es nicht möglich, eine stringente Aufgabentrennung zu realisieren, wodurch es zu diversen Überschneidungen hinsichtlich der Zuständigkeitsbereiche kommt. Jedoch werden Verwendung und Änderung der wichtigsten Informationen protokolliert.

Kontakt zu Behörden

Maßnahme

Es sind angemessene Kontakte zu relevanten Behörden zu pflegen.

Umsetzung

Wann welche Behörden im Notfall kontaktiert werden müssen, ist im Notfallhandbuch (Wiki) aufgeführt.

Im Kontext des normalen Betriebes gibt es weiterhin Kontakt zu folgenden Behörden:

Kontakt mit speziellen Interessensgruppen

Maßnahme

Es sind angemessene Kontakte mit speziellen Interessensgruppen oder sonstigen sicherheitsorganisierten Expertenforen und Fachverbänden zu pflegen.

Umsetzung

Es besteht regelmäßiger Kontakt zu der AuraSec GmbH, einem Beratungsunternehmen für IT-Sicherheit. Außerdem ist der TüV Rheinland und der von diesem bestellte externe Auditor Herr Hoppe als Ansprechpunkt vorhanden.

Zu Sicherheitsthemen informiert sich der ISB regelmäßig u.a. über die Expertenplattform “Heise Security”.

Informationssicherheit im Projektmanagement

Maßnahme

Informationssicherheit muss im Projektmanagement berücksichtigt werden, ungeachtet der Art des Projekts.

Umsetzung

Ein grundsätzlich hohes Maß an Informationssicherheit ist durch die für die Projektumsetzung (Programmierung) eingesetzten Technologien gewährleistet. Der Informationssicherheits-Aspekt dieser Technologien und der damit verbundenen Verfahren wird in der Leitlinie für sichere Entwicklung (Wiki) näher beschrieben. Für die Anpassung oder Erstellung neuer Einstellungstests finden sich Aspekte der Informationssicherheit im ISMS-Bereich Änderungsmanagement.

Bei größeren Kundenprojekten wird mit einem Pflichtenheft gearbeitet, in dessen Vorlage der Punkt “Testfälle” existiert. Im Zusammenarbeit mit dem Kunden kann dann festgehalten werden, welche Sicherheitsrisiken bestehen könnten und was zu testen ist.

Bei internen Projekten (kundenunabhängigen Produkt-Erweiterungs-Projekten oder auch Organisationsprojekt) wurde in 2024 der Prozess zur Sicherstellung von ISM-Konformität erweitert. Unter Projekte bei u-form (Wiki) ist der entsprechende Ablauf genauer beschrieben.

Reviewdatum: 12.11.2024, Johannes Imhof