Rollen und Verantwortlichkeiten
Überblick
Ein effektives ISMS erfordert klare Rollen und Verantwortlichkeiten. Die RACI-Matrix (Responsible, Accountable, Consulted, Informed) definiert, wer für welche Aktivitäten verantwortlich ist, wer rechenschaftspflichtig ist, wer konsultiert werden muss und wer informiert werden muss.
RACI-Definitionen
R - Responsible (Verantwortlich)
Führt die Aufgabe aus und ist für die Umsetzung verantwortlich. Kann mehrere Personen umfassen.
A - Accountable (Rechenschaftspflichtig)
Trägt die letzte Verantwortung und ist rechenschaftspflichtig. Nur eine Person pro Aktivität.
C - Consulted (Konsultiert)
Wird vor Entscheidungen konsultiert und liefert Input. Zwei-Wege-Kommunikation.
I - Informed (Informiert)
Wird über Entscheidungen und Ergebnisse informiert. Ein-Wege-Kommunikation.
ISMS-Rollen
Management-Ebene
- Top Management / Geschäftsführung
- ISMS-Beauftragter / CISO
- IT-Leiter / CIO
- Abteilungsleiter
Fachliche Rollen
- IT-Sicherheitsbeauftragter
- Datenschutzbeauftragter (DSB)
- Risikomanager
- BCM-Manager
Operative Rollen
- IT-Administratoren
- Mitarbeiter
- Prozessverantwortliche
Prüfende Rollen
- Interner Auditor
- Externer Auditor
- Compliance-Beauftragter
RACI-Matrix: ISMS-Aktivitäten
| Aktivität | Top Management |
ISMS- Beauftragter |
IT- Leiter |
IT- Sicherheit |
DSB | Risiko- manager |
BCM- Manager |
Interner Auditor |
Mitarbeiter |
|---|---|---|---|---|---|---|---|---|---|
| ISMS-Strategie & Politik | A | R | C | C | C | I | I | I | I |
| Risikomanagement | A | R | C | R | C | R | C | I | I |
| Assetmanagement | A | R | R | R | C | C | I | I | I |
| Incident Management | A | R | C | R | C | C | C | I | I |
| BCM & Business Continuity | A | C | C | C | C | C | R | I | I |
| DORA Compliance | A | R | R | R | C | C | C | C | I |
| Meldepflichten | A | R | C | R | R | C | I | I | I |
| Testmanagement | A | R | C | R | I | C | C | C | I |
| Awareness & Schulungen | A | R | C | R | C | I | I | I | R |
| Internes Audit | A | C | C | C | C | C | C | R | I |
| Management Review | R | R | C | C | C | C | C | C | I |
| Kontinuierliche Verbesserung | A | R | C | R | C | C | C | C | I |
Rollenbeschreibungen
Top Management / Geschäftsführung
Trägt die oberste Verantwortung für das ISMS, genehmigt die ISMS-Politik, stellt Ressourcen bereit und führt Management Reviews durch.
ISMS-Beauftragter / CISO
Verantwortlich für die Koordination und Umsetzung des ISMS, Berichterstattung an das Management und Sicherstellung der ISMS-Effektivität.
IT-Leiter / CIO
Verantwortlich für die IT-Infrastruktur, technische Umsetzung von Sicherheitsmaßnahmen und Koordination mit dem ISMS-Beauftragten.
IT-Sicherheitsbeauftragter
Operative Umsetzung von IT-Sicherheitsmaßnahmen, Incident Response, Vulnerability Management und technische Sicherheitskontrollen.
Datenschutzbeauftragter (DSB)
Beratung bei Datenschutzfragen, Überwachung der DSGVO-Compliance und Meldung von Datenschutzverletzungen.
Risikomanager
Durchführung von Risikoanalysen, Risikobewertungen und Erstellung von Risikobehandlungsplänen.
BCM-Manager
Verantwortlich für Business Continuity Management, BIA-Durchführung, BCP-Erstellung und -Tests.
Interner Auditor
Durchführung interner ISMS-Audits, Überprüfung der Normkonformität und Erstellung von Audit-Berichten.
Verantwortlichkeiten im Detail
Strategische Verantwortung
Top Management und ISMS-Beauftragter tragen strategische Verantwortung für die ISMS-Entwicklung und -Governance.
Operative Verantwortung
IT-Sicherheitsbeauftragter, Risikomanager und BCM-Manager sind für die operative Umsetzung verantwortlich.
Compliance-Verantwortung
DSB und Compliance-Beauftragte überwachen die Einhaltung regulatorischer Anforderungen wie DORA und DSGVO.
Prüfende Verantwortung
Interne und externe Auditoren überprüfen die Wirksamkeit und Normkonformität des ISMS.
Zusammenhang mit anderen ISMS-Komponenten
- Risikomanagement: Risikomanager ist für die Durchführung von Risikoanalysen verantwortlich
- Assetmanagement: IT-Leiter und IT-Sicherheitsbeauftragter verwalten IKT-Assets
- BCM: BCM-Manager ist für Business Continuity Pläne verantwortlich
- Incident Management: IT-Sicherheitsbeauftragter leitet Incident Response
- DORA: ISMS-Beauftragter koordiniert DORA-Compliance, IT-Leiter ist für technische Umsetzung verantwortlich
- Testmanagement: IT-Sicherheitsbeauftragter organisiert Penetrationstests und TLPT