Informationssicherheitsbeauftragter

Rundschreiben 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT)

4.4. Die Geschäftsleitung hat die Funktion des Informationssicherheitsbeauftragten einzurichten. Diese Funktion umfasst die Verantwortung für die Wahrnehmung aller Belange der Informationssicherheit innerhalb des Instituts und gegenüber Dritten. Sie stellt sicher, dass die in der IT-Strategie, der Informationssicherheitsleitlinie und den Informationssicherheitsrichtlinien des Instituts festgelegten Ziele und Maßnahmen hinsichtlich der Informationssicherheit sowohl intern als auch gegenüber Dritten transparent gemacht und deren Einhaltung regelmäßig sowie anlassbezogen überprüft und überwacht werden.

Die Funktion des Informationssicherheitsbeauftragten umfasst insbesondere die nachfolgenden Aufgaben:

– die Geschäftsleitung beim Festlegen und Anpassen der Informationssicherheitsleitlinie zu unterstützen und in allen Fragen der Informationssicherheit zu beraten; dies umfasst auch Hilfestellungen bei der Lösung von Zielkonflikten (z. B. Wirtschaftlichkeit kontra Informationssicherheit)

– Erstellung von Informationssicherheitsrichtlinien und ggf. weiteren einschlägigen Regelungen sowie die Kontrolle ihrer Einhaltung

– den Informationssicherheitsprozess im Institut zu steuern und zu koordinieren sowie diesen gegenüber IT-Dienstleistern zu überwachen und bei allen damit zusammenhängenden Aufgaben mitzuwirken

– die Beteiligung bei der Erstellung und Fortschreibung des Notfallkonzepts bzgl. der Informationssicherheitsbelange

– die Realisierung von Informationssicherheitsmaßnahmen zu initiieren und zu überwachen

– Überwachung und Hinwirkung auf Einhaltung der Informationssicherheit bei Projekten und Beschaffungen

– als Ansprechpartner für Fragen der Informationssicherheit innerhalb des Instituts und für Dritte bereitzustehen

– Informationssicherheitsvorfälle zu untersuchen und an die Geschäftsleitung zu berichten

– Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und zu koordinieren.

Der Informationssicherheitsbeauftragte kann durch ein Informationssicherheitsmanagement-Team unterstützt werden.

4.5. Die Funktion des Informationssicherheitsbeauftragten ist organisatorisch und prozessual unabhängig auszugestalten, um mögliche Interessenskonflikte zu vermeiden.

Zur Vermeidung möglicher Interessenkonflikte werden insbesondere folgende Maßnahmen beachtet:

-Funktions- und Stellenbeschreibung für den Informationssicherheitsbeauftragten, seinen Vertreter und ggf. weiterer Stellen

– Festlegung der erforderlichen Ressourcenausstattung für die Funktion des Informationssicherheitsbeauftragten

– ein der Funktion zugewiesenes Budget für Informationssicherheitsschulungen im Institut und die persönliche Weiterbildung des Informationssicherheitsbeauftragten sowie seines Vertreters

– unmittelbare und jederzeitige Gelegenheit zur Berichterstattung des Informationssicherheitsbeauftragten an die Geschäftsleitung

– Verpflichtung der Beschäftigten des Instituts sowie der IT-Dienstleister zur sofortigen und umfassenden Unterrichtung des Informationssicherheitsbeauftragten über alle bekannt gewordenen informationssicherheitsrelevanten Sachverhalte, die das Institut betreffen

– die Funktion des Informationssicherheitsbeauftragten wird von den Bereichen getrennt, die für den Betrieb und die Weiterentwicklung der IT-Systeme zuständig sind

– der Informationssicherheitsbeauftragte nimmt keinesfalls Aufgaben der Internen Revision wahr.

4.6. Jedes Institut hat die Funktion des Informationssicherheitsbeauftragten grundsätzlich im eigenen Haus vorzuhalten.

Im Hinblick auf regional tätige (insbesondere verbundangehörige) Institute sowie kleine (insbesondere gruppenangehörige) Institute ohne wesentliche eigenbetriebene IT mit einem gleichgerichteten Geschäftsmodell und gemeinsamen IT-Dienstleistern für die Abwicklung von bankfachlichen Prozessen ist es im Hinblick auf die regelmäßig (verbund- oder gruppenseitig) vorhandenen Kontrollmechanismen zulässig, dass mehrere Institute einen gemeinsamen Informationssicherheitsbeauftragten bestellen, wobei vertraglich sicherzustellen ist, dass dieser gemeinsame Informationssicherheitsbeauftragte die Wahrnehmung der einschlägigen Aufgaben der Funktion in allen betreffenden Instituten jederzeit gewährleisten kann. In diesem Fall ist jedoch in jedem Institut eine zuständige Ansprechperson für den Informationssicherheitsbeauftragten zu benennen.

Institute können die Funktion des Informationssicherheitsbeauftragten grundsätzlich mit anderen Funktionen im Institut kombinieren.

Die Möglichkeit, sich externer Unterstützung per Servicevertrag zu bedienen, bleibt für die Institute unberührt.

Rundschreiben 10/2018 (VA) – Versicherungsaufsichtliche Anforderungen an die IT (VAIT)

4.5. Die Geschäftsleitung hat die Funktion des Informationssicherheitsbeauftragten einzurichten. Diese überwachende Funktion umfasst die Wahrnehmung aller Belange der Informationssicherheit innerhalb des Unternehmens und gegenüber Dritten. Sie stellt sicher, dass die in der IT-Strategie, der Informationssicherheitsleitlinie und den Informationssicherheitsrichtlinien des Unternehmens festgelegten Ziele und Maßnahmen hinsichtlich der Informationssicherheit sowohl intern als auch – sofern und soweit geboten – gegenüber Dritten transparent gemacht und deren Einhaltung regelmäßig sowie anlassbezogen überprüft und überwacht werden.

Diese überwachende Funktion kann durch eine oder mehrere natürliche Personen abgebildet werden, wobei einer dieser Personen die Verantwortung dafür zukommt, dass die Funktion ihre Aufgaben ordnungsgemäß erfüllt. Es ist nicht zulässig, diese Verantwortung auf mehrere natürliche Personen aufzuspalten.

Die Funktion des Informationssicherheitsbeauftragten umfasst insbesondere die nachfolgenden Aufgaben:

– Erstellung von Informationssicherheitsrichtlinien und ggf. weiteren einschlägigen Regelungen sowie die Kontrolle ihrer Einhaltung,

– den Informationssicherheitsprozess im Unternehmen zu steuern und zu koordinieren sowie diesen gegenüber IT-Dienstleistern zu überwachen und bei allen damit zusammenhängenden Aufgaben mitzuwirken,

– die Beteiligung bei der Erstellung und Fortschreibung des Notfallkonzepts bzgl. der Informationssicherheitsbelange,

– die Realisierung von Informationssicherheitsmaßnahmen zu initiieren und zu überwachen,

– Überwachung und Hinwirkung auf Einhaltung der Informationssicherheit bei Projekten und Beschaffungen,

– als Ansprechpartner für Fragen der Informationssicherheit innerhalb des Unternehmens und für Dritte bereitzustehen,

– Informationssicherheitsvorfälle zu untersuchen und an die Geschäftsleitung zu berichten,

– Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und zu koordinieren.

Der Informationssicherheitsbeauftragte kann durch ein Informationssicherheitsmanagement-Team unterstützt werden.

4.6. Die Funktion des Informationssicherheitsbeauftragten ist aufbau- und ablauforganisatorisch angemessen unabhängig auszugestalten, um mögliche Interessenskonflikte zu vermeiden.

Unternehmen können, wenn dies dem Risikoprofil entspricht, die Funktion des Informationssicherheitsbeauftragten mit anderen Funktionen im Unternehmen kombinieren.

Zur Vermeidung möglicher Interessenkonflikte werden zudem insbesondere folgende Maßnahmen beachtet:

– Funktions- und Stellenbeschreibung für den Informationssicherheitsbeauftragten, seinen Vertreter und ggf. weitere Stellen,

– Festlegung der erforderlichen Ressourcenausstattung für die Funktion des Informationssicherheitsbeauftragten,

– ein der Funktion zugewiesenes Budget für Informationssicherheitsschulungen im Unternehmen und die persönliche Weiterbildung des Informationssicherheitsbeauftragten sowie seines Vertreters und ggf. des Informationssicherheitsmanagement-Teams,

– unmittelbare und jederzeitige Gelegenheit zur Berichterstattung des Informationssicherheitsbeauftragten an die Geschäftsleitung,

– Verpflichtung der Beschäftigten des Unternehmens sowie der IT-Dienstleister zur sofortigen und umfassenden Unterrichtung des Informationssicherheitsbeauftragten über alle bekannt gewordenen informationssicherheitsrelevanten Sachverhalte, die das Unternehmen betreffen,

– die Funktion des Informationssicherheitsbeauftragten wird angemessen von den Bereichen getrennt, die für den Betrieb und die Weiterentwicklung der IT-Systeme zuständig sind,

– der Informationssicherheitsbeauftragte nimmt keine Aufgaben der internen Revision wahr.

4.7. Jedes Unternehmen sollte die Funktion des Informationssicherheitsbeauftragten im eigenen Unternehmen vorhalten.

Bei Ausgliederung der Funktion des Informationssicherheitsbeauftragten sind die hierfür jeweils geltenden Anforderungen zu erfüllen.

Bei der Entscheidung für oder gegen die Ausgliederung hat das Unternehmen das Ausmaß zu berücksichtigen, in dem IT-bezogene Geschäftsaktivitäten im eigenen Unternehmen oder durch externe Dienstleister betrieben werden.

Aufbauend auf dieser Betrachtung muss die Frage eine Rolle spielen, wie eine sachgerechte Funktionsausübung des Informationssicherheitsbeauftragten gewährleistet werden kann.

Rundschreiben 11/2019 (WA) – Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT)

27 Die KVG hat die Funktion des Informationssicherheitsbeauftragten einzurichten. Diese Funktion umfasst die Verantwortung für die Wahrnehmung aller Belange der Informationssicherheit innerhalb der KVG und gegenüber Dritten. Sie stellt sicher, dass die in der IT-Strategie, der Informationssicherheitsleitlinie und den Informationssicherheitsrichtlinien der KVG niedergelegten Ziele und Maßnahmen hinsichtlich der Informationssicherheit sowohl intern als auch gegenüber Dritten transparent gemacht und deren Einhaltung überprüft und überwacht werden.

Die Funktion des Informationssicherheitsbeauftragten umfasst insbesondere die nachfolgenden Aufgaben:

– Erstellung von Informationssicherheitsrichtlinien und ggf. weiteren einschlägigen Regelungen sowie die Kontrolle ihrer Einhaltung,

– den Informationssicherheitsprozess in der KVG zu steuern und zu koordinieren sowie diesen gegenüber IT-Dienstleistern zu überwachen und bei allen damit zusammenhängenden Aufgaben mitzuwirken,

– Beteiligung bei der Erstellung und Fortschreibung des Notfallkonzepts bzgl. der IT-Belange,

– die Realisierung von Informationssicherheitsmaßnahmen zu initiieren und zu überwachen,

– Beteiligung bei Projekten mit IT-Relevanz,

– als Ansprechpartner für Fragen der Informationssicherheit innerhalb der KVG und für Dritte bereitzustehen,

– Informationssicherheitsvorfälle zu untersuchen und diesbezüglich an die Geschäftsleitung zu berichten,

– Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und zu koordinieren.

28 Die Funktion des Informationssicherheitsbeauftragten ist organisatorisch und prozessual unabhängig auszugestalten, um mögliche Interessenskonflikte zu vermeiden.

Zur Vermeidung möglicher Interessenkonflikte werden insbesondere folgende Maßnahmen beachtet:

– Funktions- und Stellenbeschreibung für den Informationssicherheitsbeauftragten und seinen Vertreter,

– Festlegung der erforderlichen Ressourcenausstattung für die Funktion des Informationssicherheitsbeauftragten,

– ein der Funktion zugewiesenes Budget für Informationssicherheitsschulungen in der KVG und die persönliche Weiterbildung des Informationssicherheitsbeauftragten sowie seines Vertreters,

– unmittelbare und jederzeitige Gelegenheit zur Berichterstattung des Informationssicherheitsbeauftragten an die Geschäftsleitung,

– Verpflichtung der Beschäftigten der KVG sowie der IT-Dienstleister zur sofortigen und umfassenden Unterrichtung des Informationssicherheitsbeauftragten über alle bekannt gewordenen IT sicherheitsrelevanten Sachverhalte, die die KVG betreffen.

– Die Funktion des Informationssicherheitsbeauftragten wird aufbauorganisatorisch von den Bereichen getrennt, die für den Betrieb und die Weiterentwicklung der IT-Systeme zuständig sind.

– Der Informationssicherheitsbeauftragte nimmt keinesfalls Aufgaben der Internen Revision wahr.

29 Jede KVG hat die Funktion des Informationssicherheitsbeauftragten grundsätzlich im eigenen Haus vorzuhalten.

KVGen können die Funktion des Informationssicherheitsbeauftragten grundsätzlich mit anderen Funktionen in der KVG kombinieren. Sofern eine Kombination mit der Funktion des Datenschutzbeauftragten erfolgen soll, sind ergänzend die datenschutzrechtlichen Voraussetzungen zu prüfen.

Nur in folgenden Fällen kann der Informationssicherheitsbeauftragte außerhalb der KVG angesiedelt werden:

KVGen mit geringer Mitarbeiteranzahl und ohne wesentlichen eigenen IT-Betrieb, bei denen die IT-Dienstleistungen im Wesentlichen durch einen externen IT-Dienstleister erbracht werden, können die Funktion des Informationssicherheitsbeauftragten auf einen fachlich qualifizierten Dritten übertragen.

Konzernangehörige KVGen mit geringer Mitarbeiteranzahl und ohne wesentlichen eigenen IT-Betrieb, bei denen IT-Dienstleistungen im Wesentlichen durch konzernangehörige Unternehmen erbracht werden, können die Funktion des Informationssicherheitsbeauftragten auch auf den Informationssicherheitsbeauftragten eines übergeordneten Konzernunternehmens übertragen.

In beiden Fällen ist in der KVG eine interne Ansprechperson für den Informationssicherheitsbeauftragten zu benennen.

Die Möglichkeit, sich externer Unterstützung per Servicevertrag zu bedienen, bleibt unberührt.

Die Funktion des Informationssicherheitsbeauftragten umfasst insbesondere die nachfolgenden Aufgaben:

– die Erstellung von Informationssicherheitsrichtlinien und ggf. weiteren einschlägigen Regelungen sowie die Kontrolle ihrer Einhaltung

– den Informationssicherheitsprozess im Institut zu steuern und zu koordinieren sowie diesen gegenüber IT-Dienstleistern zu überwachen und bei allen damit zusammenhängenden Aufgaben mitzuwirken

– die Beteiligung bei der Erstellung und Fortschreibung des Notfallkonzepts bezüglich der Informationssicherheitsbelange

– die Realisierung von Informationssicherheitsmaßnahmen zu initiieren und zu überwachen

– die Überwachung und Hinwirkung auf die Einhaltung der Informationssicherheit bei Projekten und Beschaffungen

– als Ansprechpartner für Fragen der Informationssicherheit innerhalb des Instituts und für Dritte bereitzustehen

– Informationssicherheitsvorfälle zu untersuchen und an die Geschäftsleitung zu berichten

– Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und zu koordinieren.

Der Informationssicherheitsbeauftragte kann durch ein Informationssicherheitsmanagement-Team unterstützt werden.

4.5. Die Funktion des Informationssicherheitsbeauftragten ist organisatorisch und prozessual unabhängig auszugestalten, um mögliche Interessenkonflikte zu vermeiden.

Zur Vermeidung möglicher Interessenkonflikte werden insbesondere folgende Maßnahmen beachtet:

– Funktions- und Stellenbeschreibung für den Informationssicherheitsbeauftragten, seinen Vertreter und ggf. weitere Stellen

– Festlegung der erforderlichen Ressourcenausstattung für die Funktion des Informationssicherheitsbeauftragten

– ein der Funktion zugewiesenes Budget für Informationssicherheitsschulungen im Institut und die persönliche Weiterbildung des Informationssicherheitsbeauftragten sowie seines Vertreters

– unmittelbare und jederzeitige Gelegenheit zur Berichterstattung des Informationssicherheitsbeauftragten an die Geschäftsleitung

– Die Funktion des Informationssicherheitsbeauftragten wird von den Bereichen getrennt, die für den Betrieb und die Weiterentwicklung der IT-Systeme zuständig sind.

– Der Informationssicherheitsbeauftragte nimmt keinesfalls Aufgaben der Internen Revision wahr.

4.6. Jedes Institut hat die Funktion des Informationssicherheitsbeauftragten grundsätzlich im eigenen Haus vorzuhalten.

Institute können die Funktion des Informationssicherheitsbeauftragten grundsätzlich mit anderen Funktionen im Institut kombinieren.

Nur in folgenden Fällen kann der Informationssicherheitsbeauftragte außerhalb des Instituts angesiedelt werden:

Institute mit geringer Mitarbeiteranzahl, geringem Informationsrisiko und ohne wesentliche eigen betriebene IT, bei denen die IT-Dienstleistungen im Wesentlichen durch einen externen IT-Dienstleister erbracht werden, können die Funktion des Informationssicherheitsbeauftragten auf einen fachlich qualifizierten Dritten übertragen.

Konzernangehörige Institute mit geringer Mitarbeiteranzahl, geringem Informationsrisiko und ohne wesentliche eigen betriebene IT, bei denen IT-Dienstleistungen im Wesentlichen durch konzernangehörige Unternehmen erbracht werden, können die Funktion des Informationssicherheitsbeauftragten auch auf den Informationssicherheitsbeauftragten eines Konzernunternehmens übertragen.

In beiden Fällen ist im Institut eine interne Ansprechperson für den Informationssicherheitsbeauftragten zu benennen.

Die Möglichkeit, sich externer Unterstützung per Servicevertrag zu bedienen, bleibt für die Institute unberührt.