Mittwoch, 8. Mai 2024

ISB und ITSB - Ist das nicht das selbe?

Unterschied und Zusammenarbeit zwischen Informationssicherheitsbeauftragten und IT-Sicherheitsbeauftragten

In der komplexen Welt der IT-Sicherheit sind klare Rollen und Verantwortlichkeiten unerlässlich, um die Integrität und Vertraulichkeit von Unternehmensdaten zu schützen. Zwei Schlüsselpositionen, die oft diskutiert werden, sind der Informationssicherheitsbeauftragte (ISB) und der IT-Sicherheitsbeauftragte (ITSB). Obwohl sie ähnlich klingen, haben diese Rollen unterschiedliche Schwerpunkte und Zuständigkeiten. In diesem Blogartikel werden wir die Unterschiede zwischen diesen beiden wichtigen Rollen erörtern und besonders darauf eingehen, wie sie bei der Erstellung organisatorischer Dokumente zusammenarbeiten.

Ein Team aus einem Informationssicherheitsbeauftragten und einem IT-Sicherheitsbeauftragten arbeitet intensiv zusammen, um einen Cyberangriff abzuwehren. Die Szene zeigt eine Frau und einen Mann, die konzentriert auf Bildschirme blicken und in einem mit blauem und grünem Licht erleuchteten Büro arbeiten.
ISB und ITSB - ein unschlagbares Team in der Cyberabwehr

Was macht ein Informationssicherheitsbeauftragter?

Der ISB ist in erster Linie für die Entwicklung einer übergreifenden Informationssicherheitsstrategie verantwortlich. Diese Rolle beinhaltet das Management von Risiken, die Sensibilisierung von Mitarbeitern für Sicherheitsbelange und die Reaktion auf Sicherheitsvorfälle. Ein ISB muss nicht nur über tiefgehendes Wissen in Informationssicherheitsprinzipien verfügen, sondern auch die Fähigkeit besitzen, dieses Wissen in klare, umsetzbare Strategien zu übersetzen, die den Geschäftszielen und gesetzlichen Anforderungen entsprechen.

Zu den Hauptaufgaben des ISB gehören:

  • Die Entwicklung von Sicherheitsrichtlinien und -verfahren.
  • Durchführung von Schulungen zur Informationssicherheit.
  • Überwachung der Einhaltung von Sicherheitsvorschriften.

Was macht ein IT-Sicherheitsbeauftragter?

Im Gegensatz dazu konzentriert sich der ITSB auf den Schutz der IT-Infrastruktur und technischen Ressourcen einer Organisation. Diese Rolle ist intensiv mit der Implementierung technischer Sicherheitsmaßnahmen wie Firewalls und Antivirenprogrammen betraut. Ein ITSB muss ein tiefgehendes technisches Verständnis von Netzwerk- und Systemsicherheit haben und ist oft direkt verantwortlich für die Durchführung von Sicherheitsaudits und das Management von Sicherheitsvorfällen.

Zu den Hauptaufgaben des ITSB gehören:

  • Management von Zugriffskontrollen und Authentifizierungsverfahren.
  • Überwachung und Sicherstellung der Netzwerksicherheit.
  • Bewertung und Absicherung gegen bekannte Schwachstellen.

Zusammenarbeit in der Dokumentenerstellung

Während der ISB strategische Richtlinien und Verfahrensweisen entwirft, die den Rahmen für die Sicherheitspolitik der Organisation festlegen, ist der ITSB oft mit der technischen Ausarbeitung und Implementierung dieser Richtlinien betraut. Die Zusammenarbeit zwischen ISB und ITSB ist entscheidend, um sicherzustellen, dass die Sicherheitsstrategien sowohl umfassend als auch praktisch umsetzbar sind.

Der ISB erstellt und pflegt Dokumentationen, die die allgemeinen Sicherheitsrichtlinien, Strategien und Compliance-Anforderungen definieren. In der Zwischenzeit liefert der ITSB die technische Expertise, die benötigt wird, um spezifische Sicherheitslösungen und Protokolle zu definieren, die in diesen Dokumenten vorgeschlagen werden.

Vergleichstabelle ISB vs. ITSB

Kriterium Informationssicherheitsbeauftragter (ISB) IT-Sicherheitsbeauftragter (ITSB)
Ziel der Rolle Entwicklung und Überwachung der Informationssicherheitsstrategie zum Schutz von Daten und IT-Systemen. Sicherstellung der Sicherheit der IT-Infrastruktur und technischen Ressourcen.
Hauptaufgaben - Strategieentwicklung
- Risikomanagement
- Schulungen durchführen
- Incident Management
- Compliance-Überwachung
- Technische Sicherheitsmaßnahmen umsetzen
- Netzwerksicherheit
- Zugriffskontrollen
- Vulnerability Management
- Sicherheitsaudits durchführen
Schwerpunkte Strategische und organisatorische Aspekte der Informationssicherheit. Technische Aspekte der IT-Sicherheit und operative Umsetzung.
Dokumentenerstellung Erarbeitet organisatorische Dokumente wie Richtlinien und Verfahrensanweisungen. Liefert technische Details und Unterstützung bei der Implementierung dieser Richtlinien.
Benötigte Fähigkeiten - Umfassendes Verständnis von Informationssicherheitsprinzipien
- Risikobewertung
- Starke kommunikative Fähigkeiten
- Tiefes technisches Verständnis von Netzwerk- und Systemsicherheit
- Erfahrung mit Sicherheitstechnologien
Zusammenarbeit und Interaktion Definiert die strategischen und regelbasierten Aspekte der Sicherheitspolitik und -verfahren. Fokussiert sich auf die technische Umsetzung und Absicherung entsprechend der vom ISB definierten Richtlinien.


Wie sind ISB und ITSB in der ISO 27001 verankert?

In der ISO 27001, dem führenden internationalen Standard für Informationssicherheitsmanagementsysteme (ISMS), finden sowohl der Informationssicherheitsbeauftragte (ISB) als auch der IT-Sicherheitsbeauftragte (ITSB) spezifische Erwähnungen und Rollen. Die ISO 27001 legt großen Wert auf die Festlegung klar definierter Verantwortlichkeiten innerhalb eines ISMS, was sich in den Anforderungen an die Rollen von ISB und ITSB widerspiegelt. Der ISB spielt eine entscheidende Rolle bei der Einrichtung, Überwachung, Aufrechterhaltung und ständigen Verbesserung des ISMS, gemäß den Klauseln zur Führung und Engagement des Top-Managements. Der ITSB hingegen hat häufig die operative Verantwortung für spezifische Sicherheitssysteme und -kontrollen, die in den Annex A Controls ausführlich beschrieben werden. Diese Rollen ergänzen sich gegenseitig und sorgen gemeinsam für eine robuste Sicherheitsarchitektur, die den Anforderungen der ISO 27001 entspricht und dabei hilft, die organisatorischen Ziele zu erreichen und rechtliche sowie regulatorische Anforderungen zu erfüllen.

Vergleich der Rollen in der ISO 27001:2022

ISO 27001 Normpunkt/Control Relevanz für ISB/ITSB
5.3 Rollen, Verantwortlichkeiten und Befugnisse der Organisation Hier wird explizit die Zuweisung von Verantwortlichkeiten angesprochen, was direkt die Rollen von ISB und ITSB berührt.
6.1.1 Bewertung von Risiken und Chancen ISB ist oft verantwortlich für das Risikomanagement, was eine Schlüsselkomponente der ISO 27001 darstellt.
9.1 Überwachung, Messung, Analyse und Bewertung ISB und ITSB sind aktiv an der Überwachung und Bewertung der Sicherheitsperformance beteiligt.
A.6.3 Informationssicherheitsbewusstsein, -ausbildung und -schulung, A.6.5 Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung ISB und ITSB können bei der Sicherheitsschulung und dem Prozessmanagement bei Personaländerungen beteiligt sein.
A.5.37 Dokumentierte Betriebsabläufe, A.8.32 Änderungsmanagement, A.8.6 Kapazitätssteuerung ITSB hat typischerweise eine Schlüsselrolle bei der Handhabung operativer Controls zur IT-Sicherheit.
A.8.20 Netzwerksicherheit, A.8.21 Sicherheit von Netzwerkdiensten, A.8.22 Trennung in Netzwerken ITSB ist direkt beteiligt bei der Implementierung und Wartung von Netzwerksicherheitsmechanismen.
A.5.8 Informationssicherheit im Projektmanagement, A.8.26 Anforderungen an die Anwendungssicherheit ITSB spielt eine entscheidende Rolle in der Sicherheit von Systementwicklungen und deren Wartung.
A.5.24 Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen, A.5.25 Beurteilung und Entscheidung über Informationssicherheitsereignisse, A.5.26 Reaktion auf Informationssicherheitsvorfälle, A.5.27 Erkenntnisse aus Informationssicherheitsvorfällen, A.5.28 Sammeln von Beweismaterial, A.6.8 Meldung von Informationssicherheitsereignissen ISB und ITSB sind oft zentral bei der Reaktion und dem Management von Sicherheitsvorfällen.


Fazit

Obwohl der Informationssicherheitsbeauftragte und der IT-Sicherheitsbeauftragte auf den ersten Blick ähnliche Rollen zu spielen scheinen, ergänzen sich ihre Aufgaben und Zuständigkeiten in Wirklichkeit.  Durch die klare Trennung ihrer Schwerpunkte können Unternehmen eine robuste Sicherheitsinfrastruktur aufbauen, die sowohl die strategischen als auch technischen Aspekte der Informationssicherheit abdeckt. Indem sie in der Erstellung von Sicherheitsdokumentationen zusammenarbeiten, stellen sie sicher, dass die Organisation nicht nur sicher, sondern auch regelkonform ist.