topperharley1402
19.11.2024
view2276
view10
0
Goto Top

Itsb und Admin

gelöstFrageSicherheit
Hallo zusammen!

Ich habe eine Frage zur Itsb Bestellung.

Ich selber bin einziger IT Admin und gehöre mit zur R&D Abteilung. Nun ist der Plan ISO 27001 zu machen. Dafür habe ich die Weiterbildung zum Itsb gemacht. Nun kam das Problem auf, dass keiner so genau weiß, ob ich es werden darf. Es wird sonst nur von Rollenproblemen bezüglich IT Leitung oder CEO gesprochen aber nicht von normalen Admins, die die Doppelrolle haben.

Wie seht ihr das? Habt ihr dazu Erfahrungen gemacht oder passendes Material dafür?

Viele Grüße,
Basti
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 669618

Url: https://administrator.de/forum/itsb-und-admin-669618.html

Ausgedruckt am: 21.12.2024 um 16:12 Uhr

10 Kommentare
Neuester Kommentar
Goto Top
150631
150631 19.11.2024 um 18:57:44 Uhr
Goto Top
Hast Du dann nur eine beratende Funktion oder geht es auch um deinen Hintern?
topperharley1402
topperharley1402 19.11.2024 um 18:59:39 Uhr
Goto Top
Bisher gibt's noch gar keine Regelung, aber geht schon in die Richtung, alles Komplett, wie ein richtiger Ciso.
em-pie
em-pie 19.11.2024 um 19:01:20 Uhr
Goto Top
Moin,

Das ist ein Interessenskonflikt.
Der Informationssicherheitsbeauftragte soll ja die die Aktivitäten der IT mit im Auge behalten. Nicht, dass man denen etwas unterstellt/ misstraut, aber manchmal sieht man den Wald vor lauter Bäumen nicht.

Zudem: Informationssicherheit ist der IT-Sicherheit im wesentlichen übergeordnet. Denn Daten auf Papier haben mit IT wenig zu tun, dafür aber mit Information…

Wenn du das in Personalunion machst, wird der Bock zum Gärtner face-wink
heart1
ds6.eu
ds6.eu 19.11.2024 um 20:28:02 Uhr
Goto Top
Korrekt, ist ein Widerspruch.
gravelking
gravelking 20.11.2024 um 07:28:19 Uhr
Goto Top
Natürlich besteht hier ein gewisser Interessenskonflikt. Die Norm ist hier aber auch nicht ganz klar.
Im Anhang A wird zwar von Aufgabentrennung gesprochen, aber auf der anderen Seite, obliegt es der Geschäftsführung, Rollen und Verantwortlichkeiten in einem ISMS zuzuweisen.

In der Praxis ist es in der Regel kein Thema, wenn ein Admin oder in vielen Fällen auch der IT-Leiter diese Rolle übernimmt.
Ist ja normalerweise auch so, das es keine OneMan-Show ist, sondern das es ein interdisziplinäres Team gibt, das sich die Aufgaben die von der Norm gefordert wird teilt und auch als Kontrollorgan dient, um das Thema Personalunion zu entschärfen.
Wir hatten bisher in 13 Jahren mit verschiedenen Auditoren sowohl bei der ISO217001 als auch bei TISAX keinerlei Probleme damit.
Auch bei Lieferanten von uns, bei denen ich Lieferantenaudits durchgeführt habe, wird das in der Regel so gehandhabt und war bei Zertifizierungsaudits kein großes Thema.
nachgefragt
nachgefragt 20.11.2024 um 07:44:36 Uhr
Goto Top
Moin.

Zur Wahrung der Unabhängigkeit sollte der ISB direkt der obersten Leitung zugeordnet sein. Eine Integration in die IT-Abteilung kann zu Rollenkonflikten führen, da der ISB seine Verpflichtung zur Kontrolle der Sicherheitsmaßnahmen nicht frei von Beeinflussung wahrnehmen kann.
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standar ...

Wenn ich beim BSI "sollte" lese, ist Spielraum da.
cse
cse 20.11.2024 um 08:01:40 Uhr
Goto Top
Zitat von @gravelking:

Natürlich besteht hier ein gewisser Interessenskonflikt. Die Norm ist hier aber auch nicht ganz klar.
Im Anhang A wird zwar von Aufgabentrennung gesprochen, aber auf der anderen Seite, obliegt es der Geschäftsführung, Rollen und Verantwortlichkeiten in einem ISMS zuzuweisen.

In der Praxis ist es in der Regel kein Thema, wenn ein Admin oder in vielen Fällen auch der IT-Leiter diese Rolle übernimmt.
Ist ja normalerweise auch so, das es keine OneMan-Show ist, sondern das es ein interdisziplinäres Team gibt, das sich die Aufgaben die von der Norm gefordert wird teilt und auch als Kontrollorgan dient, um das Thema Personalunion zu entschärfen.
Wir hatten bisher in 13 Jahren mit verschiedenen Auditoren sowohl bei der ISO217001 als auch bei TISAX keinerlei Probleme damit.
Auch bei Lieferanten von uns, bei denen ich Lieferantenaudits durchgeführt habe, wird das in der Regel so gehandhabt und war bei Zertifizierungsaudits kein großes Thema.

kann mich dem nur anschließen, war selbst einige Jahre ISB (+IT Teamleiter) und habe TISAX initial "zertifizieren" lassen (aufs Wording muss man bei TISAX ja extrem achten ;D).
Das Thema kam mit dem Auditor auch auf, aber er sagte aus dass ein Problem sein kann aber nicht sein muss.
Auf der anderen Seite wäre sonst nur ein Externer in Frage gekommen, da man ja auch etwas Wissen mitbringen muss, welches die normalen Bürohoschis ja nicht haben und ein Interesse gabs auch nicht, weil die Firma halt dumm war, denn sowas muss man schon vergüten.

Ende vom Lied, man wollte sich keine Mühe geben mich zu halten, bin den Mist los und genieße mein Adminleben in einem anderen Unternehmen, jetzt machts ein Externer (natürlich viel teurer). Mist deshalb, wenn alles an einem hängen blieb obwohl eigentlich alle mitmachen sollten, soll heißen für die meisten war die Zertifizierung eher eine Bürde und nervte (obwohl zwingend notwendig fürs Geschäft).

Das ganze Thema selbst ISB zu sein ist ähnlich wie Finanzvorstand in einer Kleingartenanlage, muss man sich mega gut überlegen. Schlimmer ist eigentlich nur DSB.
Mr-Gustav
Mr-Gustav 20.11.2024 um 08:05:52 Uhr
Goto Top
Das Problem ist ja das du dich selber überwachen müsstest....
kpunkt
kpunkt 20.11.2024 um 08:35:06 Uhr
Goto Top
https://www.liidu.de/unterschied-zwischen-dsb-isb-und-itsb

„Um eine wirkungsvolle Ausübung der Rolle des ITSB zu gewährleisten, empfiehlt es sich, den Beauftragten nicht in die IT-Abteilung zu integrieren, da deren Interessen und Ziele sich oftmals nicht mit den Aufgaben des ITSB decken. Vor allem die Optimierung der IT-Sicherheit auf der einen und das effiziente Funktionieren der EDV (als Hauptaufgabe der IT-Abteilung) auf der anderen Seite harmonieren häufig nicht. Eine Trennung der beiden Funktionen ist daher sinnvoll.“ (Vgl. Schmidl/Tannen, in: Kipker, Cybersecurity, 1. Auflage 2020, Rn. 38-48)
gravelking
Lösung gravelking 20.11.2024 um 09:46:55 Uhr
Goto Top
Wie vorher so schön gesagt wurde, ist das Wording entscheidend.
Solange es Begrifflichkeiten gibt wie, "empfiehlt es sich", "sinnvoll", oder auch "sollte",
Ist es keine MUSS-Anforderung.
Und es zeigt sich oft auch in Audits, das nur die muss Forderungen umgesetzt werden, was ja auch legitim ist.
Ich glaube da machen sich auch die Auditoren nichts vor, in der Regel bekommt den ITSB Job jemand aufs Auge gedrückt, der sowieso schon mehr als genug innerbetriebliche Hobbies hat, und dann auch eben nur die MUSS-Anforderungen umsetzt. Das ist in vielen KMU`s auch gar nicht anders möglich, da schlichtweg das Budget fehlt, hier eine separate Stelle zu schaffen. Und wie @cse schon gesagt hat, die "normalen Bürohoschis" die Kompetenz hierzu nicht mitbringen.
Solange die Norm hier keine Klarheit schafft, würde ich mir keinen Kopf machen.
heart3
gelöstFrageSicherheit
Mehr von topperharley1402topperharley1402Kann pfSense Gui per VPN von einem IPv6 Client nicht erreichentopperharley1402 - 13 Kommentare
Heiß diskutiert
itzwich1Aktuelle NAS Empfehlungitzwich1 - 57 KommentareKamelleCa. 600.000 Archive in komplexer Ordnerstruktur entpackenKamelle - 47 Kommentarem.sterZwei lokale Mailserver - Lösungsweg gesuchtm.ster - 30 KommentareMicitiEmpfehlung Hardware für Heim-NetzwerkMiciti - 22 Kommentareukulele-7Keine DNS-Auflösung auf bestimmte Domainukulele-7 - 22 KommentareJudgelgSharepoint Teams Kalender erstellenJudgelg - 21 KommentareMysticFoxDEIntel feuert Pat - Halleluja!MysticFoxDE - 19 KommentareSarekHLProblem mit SMB-Versionen?SarekHL - 19 Kommentaretobias3355Chkdsk Neustart ohne Rückfragetobias3355 - 15 KommentareVisuciusDevolutions Remote Desktop Manager - bin begeistert!Visucius - 15 KommentareBN2023Excel - Problem mit WENN-DANN Formel für eine VertretungsregelBN2023 - 15 KommentareGhent74Feste IP via DHCP im DHCP Bereich oder im statischen Bereich?Ghent74 - 14 Kommentare