Die Reife eines Unternehmens im Hinblick auf den Umgang mit Informationssicherheit hängt sehr stark von der Art ab, wie diese organisatorisch im Unternehmen verankert ist. Dabei geht es vor allem um Prozesse des Informationssicherheitsmanagements und um die Verantwortlichkeiten im Umfeld der Informationssicherheit. Die ISO 27001:2005 beziehungsweise ISO 27002:2005 als detaillierte Referenznorm gibt den groben Rahmen unter anderem für die Organisation von Informationssicherheit im Unternehmen und mit Blick auf externe Partner vor. Sie lässt jedoch offen, wie im Einzelnen die Rollenverteilt sein sollen. Die Zuweisung und Wahrnehmung von Verantwortlichkeiten ist aber entscheidend, da geschäftliche Entscheidungen zu treffen sind hinsichtlich der aufzuwendenden Mittel einerseits und des als adäquat angestrebten Sicherheitsniveaus andererseits. Da jedes Unternehmen andere Ausgangsvoraussetzungen mitbringt, gibt es hierfür kein Patentrezept, wohl aber Best Practices.
Lesen Sie mehr dazu in meinem Beitrag zum „Bulletin Security Management“, der an der Fachhochschule Brandenburg von Eberhard von Faber und Friedrich–L. Holl herausgegeben wird.