Das Thema Informationssicherheit ist eine gemeinsame Aufgabe aller Mitarbeitenden und sollte daher Teil der Unternehmenskultur sein. Hauptverantwortlich für die Informationssicherheit sind insbesondere folgende Parteien:
-
CEO & Vorstand: Sie verantworten Informationssicherheit als Teil der Gesamtstrategie eines Unternehmens.
-
CIO oder CTO: Als Führungskraft für Infrastruktur und IT-Systeme verantworten sie meist auch die Informationssicherheitsabteilung.
-
Chief Information Security Officer (CISO)/ Informationssicherheitsbeauftragter (ISB): Zuständig für die Überwachung und Implementierung von Informationssicherheitsmaßnahmen und -prozessen im Unternehmen. Ein CISO koordiniert gegebenenfalls weitere Beauftragte für Informationssicherheit (Information Security Officer, ISO) und arbeitet eng mit anderen Abteilungen wie Risikomanagement und Datenschutz zusammen.
-
Asset-Besitzer: Sie verantworten ihre Assets und führen eine Schutzbedarfsanalyse, Risikomanagementprozesse und in Policies definierte regelmäßige Aufgaben durch z. B eine jährliche Berechtigungszertifizierung nach der Identity and Access Management (IAM) Policy.
-
Alle weiteren Mitarbeiter: Auch die übrigen Mitarbeiter sollten für das Thema Informationssicherheit sensibilisiert sein. Sie sollten z. B. den zulässigen Gebrauch von Betriebsmitteln kennen und beachten, ihre Vertraulichkeitsverpflichtungen einhalten, sowie Informationsklassifizierungen anwenden können.