Die IT-Sicherheit beschränkt sich nicht darauf hinreichende Kriterien für eine angemessene IT-Sicherheitstechnologie bereitzustellen.[1] Um einen IT-Sicherheitsprozess erfolgreich planen, umsetzen und aufrechterhalten zu können, muss ebenfalls eine geeignete Organisationsstruktur für Informationssicherheit vorhanden sein.[2] Zum Aufbau einer solchen müssen zunächst Rollen klar definiert werden, die die verschiedenen Aufgaben für die Erreichung der Sicherheitsziele wahrnehmen. In einem weiteren Schritt müssen Personen benannt werden, die qualifiziert sind, diese Rollen auszufüllen. Wie viele Personen, in welcher Organisationsstruktur und mit welchen Ressourcen mit Informationssicherheit beschäftigt sind, hängt von der Größe, Beschaffenheit und Struktur der jeweiligen Institution ab. Auf jeden Fall sollte als zentraler Ansprechpartner für die Koordination, Verwaltung und Kommunikation des Prozesses Informationssicherheit ein IT-Sicherheitsbeauftragter benannt sein. In größeren Institutionen gibt es darüber hinaus typischerweise weitere Personen, die verschiedene Teilaufgaben für Informationssicherheit wahrnehmen.[3]
Die folgenden Schritte sind zum Aufbau einer effektiven Organisationsstruktur im Bereich der IT-Sicherheit notwendig:
[1] Vgl. dazu Heckmann, MMR 2006, 280.
[2] IT-Grundschutz-Kataloge, 13 EL Stand 2013, S. 1886.
[3] BSI-Standard 100-2, S. 24.