Der Informationssicherheitsbeauftragte trägt die Verantwortung für die Informationssicherheit in einem Unternehmen. Grundsätzlich liegt die Verantwortung für die Informationssicherheit in einem Unternehmen bei der Geschäftsleitung, dem Vorstand etc. Die Geschäftsleitung kann diese Aufgabe jedoch, wie jede Aufgabe delegieren. Wie weit eine solche Delegation gehen kann, wie weit auch Haftung abgegeben werden kann, in wieweit, die Geschäftsleitung weiter eine Kontrollverpflichtung hat, sich ggf. aus der, ggf. sogar privat bestehenden Haftung exkulpieren kann, hängt von der vertraglichen Gestaltung ab. Einzelheiten hierzu siehe zur Frage interner oder externer ISO.

Aufgaben des Informationssicherheitsbeauftragten

Der Informationssicherheitsbeauftragter ist Zuständig für alle Bereiche der  Informationssicherheit in einem Unternehmen bzw. einer Institution zuständig. Seine Aufgaben sind¹

• den Sicherheitsprozess zu steuern und zu koordinieren,
• die Leitung bei der Erstellung der Sicherheitsleitlinie zu unterstützen,
• die Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien zu koordinieren,
• Realisierungspläne für Sicherheitsmaßnahmen anzufertigen sowie ihre Umsetzung zu initiieren und zu überprüfen,
• der Leitungsebene und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit zu berichten,
• sicherheitsrelevante Projekte zu koordinieren,
• sicherheitsrelevante Vorfälle zu untersuchen sowie
• Sensibilisierungen und Schulungen zur Informationssicherheit zu initiieren und zu koordinieren.

In der Praxis bedeutet dies, dass der ISO ein unabhängiger Experte in allen Themen der Informationssicherheit sein sollte. Aufgabe des Informationssicherheitsbeauftragten ist somit, zusätzliches Know-how in das Unternehmen einzubringen. Daher ist es normalerweise nicht sinnvoll, IT-Leitung und Informationssicherheitsbeauftragter in Personalunion zu verbinden. IT-Leitung und ISB sind Partner und arbeiten vertrauensvoll gemeinsam an der sicheren IT.

Fußnoten:
1) Quelle:  BSI, Kurs IT-Grundschutz, 2.4 Informationssicherheitsbeauftragte