Wie die Anforderungen des Aufsichtsrechts sich auf die Tätigkeiten des ISB auswirken.
Maximilian Hussong, Leitung Beauftragtenwesen, Datenschutz & Informationssicherheit, Sparkasse Langen Seligenstadt
Informationssicherheitsbeauftragte (ISB) lassen sich in die zweite Ebene des „Three Lines of Defence-Models for internal governance“ (TLoD) einordnen und haben damit vor allem überwachende und beratende Aufgaben. Auch aus den BAIT ergibt sich eine beratende Rolle für die Geschäftsführung. Doch inwieweit werden Informationssicherheitsbeauftragte in die Erstellung von Strategien oder Leitlinien eingebunden?
Die IT-Strategie als Arbeitsgrundlage des Informationssicherheitsbeauftragten
Neben den aufsichtsrechtlichen Anforderungen orientiert sich der Informationssicherheitsbeauftragte am definierten Sicherheitsziel des Unternehmens. Dieses Ziel lässt sich aus der IT-Strategie ableiten. Für die Erstellung dieser Strategie ist die Geschäftsführung verantwortlich, dies ergibt sich aus BAIT Tz. 1 „Die Geschäftsleitung hat eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen.“
SEMINARTIPPS
Schutzbedarfs- & Risikoanalyse: Prozesspflichten und Prüffelder, 24.03.2020, Köln.
IT-Risikomanagement 2020, 24.06.2020, Frankfurt/Offenbach.
Neue BAIT zum Notfallmanagement: Umsetzungsprobleme & Best Practice, 25.06.2020, Frankfurt/Offenbach.
FCH Fit & Proper VORSTAND: Fokus Gesamtbanksteuerung/Risikomanagement, 25.11.2020, Frankfurt/M.
Prüfung (NEUE) BAIT im Fokus der Bankenaufsicht, 25.–26.11.2020, Düsseldorf.
Die Praxis zeigt, dass die Geschäftsführung bei der Erstellung der IT-Strategie auf die Impulse der Fachspezialisten aus den Bereichen IT und IT-Sicherheit angewiesen ist. Dabei können auch konkrete Vorschläge in Bezug auf die Sicherheitsziele durch den Informationssicherheitsbeauftragten hilfreich sein. Besonders die Quantifizierung der Sicherheitsziele, also die Erstellung der Kennzahlen, erfordert einen guten Überblick über die Elemente der Strukturanalyse, denn häufig ist es schwer, Sicherheit in Form von messbaren Zahlen oder Werten auszudrücken.
Unterstützung der Geschäftsführung bei der Erstellung der Informationssicherheits-Leitlinie
In Bezug auf die Rolle des ISB hinsichtlich der Erstellung der Informationssicherheitsleitlinie findet die BaFin im Gegensatz zur Erstellung der IT-Strategie eindeutige Worte. Dem ISB wird nach BAIT Tz. 18 sogar die Aufgabe zuteil, die Geschäftsführung bei der Erstellung und Anpassung der Informationssicherheits-Leitlinie zu unterstützen. Hierzu gehören, ähnlich wie es bei der IT-Strategie der Fall sein dürfte, auch die Unterbreitung von Vorschlägen für Zieldefinitionen und messbare Ziele.
Die Unterstützung der Geschäftsführung bei der Erstellung von Strategie und Leitlinie kann sich der ISB gut zu Nutze machen, um Feststellungen bei Prüfungshandlungen zu behandeln oder bestehenden Risiken entgegenzuwirken. Bei Mängeln in der Awareness der Mitarbeiter zum Thema Informationssicherheit ließen sich beispielsweile explizite Ziele festlegen, mit denen Mitarbeiter verpflichtet werden, entsprechende wiederkehrende Sensibilisierungsprogramme zu durchlaufen.
PRAXISTIPPS
- Für die Geschäftsführung: Holen Sie sich die Anregungen Ihrer Fachexperten bei der Erstellung der IT-Strategie und Informationssicherheitsleitlinie ein.
- Für Informationssicherheitsbeuftragte: Nutzen Sie die Chance bei der Beratung der Geschäftsleitung in Bezug auf die Erstellung der IT-Strategie sowie der Informationssicherheitsleitlinie und der Sicherheitsziele.
Beitragsnummer: 3907