Ist ein CISO/CSO für KMU sinnvoll?

Vorab erstmal eine Begriffserklärung. Was ist ein CISO und was ein CSO?

Ein CISO ist ein „Chief Information Security Officer“. Er ist verantwortlich für die Informationssicherheit in einem Unternehmen. Seine Aufgaben umfassen unter anderem:

  • Aufbau und Betrieb einer Organisationseinheit zur Umsetzung der Sicherheitsziele.
  • Ausarbeitung, Anpassung von Sicherheitsrichtlinien.
  • Auditierung der Funktionseinheiten zum Stand der Umsetzung und Weiterentwicklung der Sicherheitsvorschriften
  • Trainings und Kampagnen entwickeln, um bei den Mitarbeitern Bewusstsein für Sicherheit zu schaffen.
  • Portfolio Management der sicherheitsrelevanten Geschäftsprozesse.

Der CISO berichtet meist der Geschäftsführung direkt, da die IT-Sicherheit nur eine Untermenge seiner Aufgaben darstellt. Der Aufgabenbereich eines CISO umfasst alle Informationswerte eines Unternehmens, also auch z.B. Aktenordner und Papier.
Die IT-Abteilung ist lediglich Informationslieferant für den CISO. Im Rahmen eines „Information Security Management System“ auditiert der CISO die IT-Abteilung und berichtet die Ergebnisse direkt an die Geschäftsleitung. Ein CISO sollte also der IT-Abteilung übergeordnet sein.

Der CSO ist der „Chief Security Officer“. Er hat ähnliche Aufgaben wie der CISO, allerdings umfasst sein Aufgabengebiet nicht nur die Informationssicherheit, sondern auch die organisatorische und physische Sicherheit, wie auch elektronische und mechanische Sicherheitseinrichtungen. Der CSO ist direkt verantwortlich für die Durchführung, Einhaltung und Entwicklung von sicherheitsrelevanten Themen. Auch der CSO ist der Geschäftsleitung direkt unterstellt.

Weiterlesen