Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.225 Zuweisung der Verantwortung für Informationen, Anwendungen und IT-Komponenten - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.225 Zuweisung der Verantwortung für Informationen, Anwendungen und IT-Komponenten

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Fachverantwortliche, Administrator, Mitarbeiter

Um zu einer umfassenden Gesamtsicherheit zu gelangen, ist die Beteiligung aller Mitarbeiter einer Organisation an der Umsetzung der erforderlichen IT-Sicherheitsmaßnahmen erforderlich. Für alle Informationen, Anwendungen und IT-Komponenten sollte daher festgelegt werden, wer für diese und deren Sicherheit verantwortlich ist. Hierfür sollte immer eine konkrete Person (inklusive Vertreter) und keine abstrakte Gruppe benannt werden, damit die Zuständigkeit jederzeit deutlich erkennbar ist. Bei komplexeren Informationen, Anwendungen und IT-Komponenten sollten alle Verantwortlichen und deren Vertreter namentlich genannt sein.

Umgekehrt sollten natürlich alle Mitarbeiter wissen, für welche Informationen, Anwendungen und IT-Komponenten sie in welcher Weise verantwortlich sind.

Jeder Mitarbeiter ist dabei für das verantwortlich, was in seinem Einflussbereich liegt, es sei denn, es ist explizit anders geregelt. Beispielsweise ist die Leitungsebene der Organisation verantwortlich für alle grundsätzlichen Entscheidungen bei der Einführung einer neuen Anwendung, der Leiter IT zusammen mit dem IT-Sicherheitsmanagement für die Ausarbeitung von Sicherheitsvorgaben, die Administratoren für deren korrekte Umsetzung und die Benutzer für den sorgfältigen Umgang mit den zugehörigen Informationen, Anwendungen und Systemen.

Die Fachverantwortlichen als die "Eigentümer" von Informationen und Anwendungen müssen sicherstellen, dass

Die Fachverantwortlichen müssen zusammen mit dem IT-Sicherheitsmanagement entscheiden, wie mit eventuellen Restrisiken umgegangen wird.