4
IT-Sicherheitsbeauftragter wem untergeben?
Hallo zusammen!
Eigentlich kenne ich es so, dass ein IT-Sicherheitsbeauftragter direkt der Geschäftsführung untergeben ist, was ja auch seinen Sinn hat. Das BSI sagt es ja genauso. Nun ist es hier der Fall, dass sich der IT-Leiter bei der Einführung der IT-Sicherheit gedacht hat, dass der IT-Sicherheitsbeauftragte besser dem IT-Leiter UND der Geschäftsführung unterstellt ist. Ich mache das nun schon einige Zeit so mit, aber so langsam nervt es mich. Unser externer Sachverständiger meinte damals schon zu mir, dass man mir dadurch ein ziemliches Mienenfeld vor die Füße wirft. Zur Zeit läuft es nämlich so ab: Nach 3 Monaten habe ich meinen regelmäßigen Bericht fertig. Dann muss ich den erst meinem IT-Leiter vorstellen, er verbessert dann noch hier und da, wirft dies und das Thema noch raus und dann wenn er es freigegeben hat, gehen wir beide gemeinsam zur Geschäftsführung und stellen das alles dort nochmal vor. Ich komme mir langsam schon vor, wie in einer Zensurstelle. Ich hatte mal in meinem Bericht stehen, dass unsere Netzwerkdrucker nicht durch Passwörter geschützt waren und dass jeder die hätte lahmlegen können. Diesen Punkt hatte ich ungeplant der GL vorgebracht. Mein IT-Leiter war wenig erfreut darüber, weil "es ja alles auf die IT zurückfällt"... und?!
Wir haben seit 3 Monaten einen neuen Geschäftsführer. ich überlege, ob ich ihm mal stecken soll, wie es bisher läuft. Wenn er daran etwas ändern möchte, kann er das dann ja machen. Wie läuft es in anderen Firmen? Was haben andere für Erfahrungen?
liebe Grüße, Gwaihir
Eigentlich kenne ich es so, dass ein IT-Sicherheitsbeauftragter direkt der Geschäftsführung untergeben ist, was ja auch seinen Sinn hat. Das BSI sagt es ja genauso. Nun ist es hier der Fall, dass sich der IT-Leiter bei der Einführung der IT-Sicherheit gedacht hat, dass der IT-Sicherheitsbeauftragte besser dem IT-Leiter UND der Geschäftsführung unterstellt ist. Ich mache das nun schon einige Zeit so mit, aber so langsam nervt es mich. Unser externer Sachverständiger meinte damals schon zu mir, dass man mir dadurch ein ziemliches Mienenfeld vor die Füße wirft. Zur Zeit läuft es nämlich so ab: Nach 3 Monaten habe ich meinen regelmäßigen Bericht fertig. Dann muss ich den erst meinem IT-Leiter vorstellen, er verbessert dann noch hier und da, wirft dies und das Thema noch raus und dann wenn er es freigegeben hat, gehen wir beide gemeinsam zur Geschäftsführung und stellen das alles dort nochmal vor. Ich komme mir langsam schon vor, wie in einer Zensurstelle. Ich hatte mal in meinem Bericht stehen, dass unsere Netzwerkdrucker nicht durch Passwörter geschützt waren und dass jeder die hätte lahmlegen können. Diesen Punkt hatte ich ungeplant der GL vorgebracht. Mein IT-Leiter war wenig erfreut darüber, weil "es ja alles auf die IT zurückfällt"... und?!
Wir haben seit 3 Monaten einen neuen Geschäftsführer. ich überlege, ob ich ihm mal stecken soll, wie es bisher läuft. Wenn er daran etwas ändern möchte, kann er das dann ja machen. Wie läuft es in anderen Firmen? Was haben andere für Erfahrungen?
liebe Grüße, Gwaihir
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 148131
Url: https://administrator.de/contentid/148131
Printed on: April 19, 2024 at 02:04 o'clock
4 Comments
Latest comment
Hi,
armer Kerl ;)
Deiner Schiderung nach bist du dem IT Leiter unterstellt, der deinen Bericht nachbessert, bevor du ihn abgeben darfst.
Das heißt, daß du nicht wertfrei berichten kannst, weil der IT Leiter erst noch nachbessert und deine Themen "anpasst".
Da du jedoch Stelleninhaber bist bekommst du den Ärger, wenn was schiefgeht.
Wär eine Klärung wert, aus eigenem Interesse.
Gruß wolfgang
armer Kerl ;)
Deiner Schiderung nach bist du dem IT Leiter unterstellt, der deinen Bericht nachbessert, bevor du ihn abgeben darfst.
Das heißt, daß du nicht wertfrei berichten kannst, weil der IT Leiter erst noch nachbessert und deine Themen "anpasst".
Da du jedoch Stelleninhaber bist bekommst du den Ärger, wenn was schiefgeht.
Wär eine Klärung wert, aus eigenem Interesse.
Gruß wolfgang
Hallo,
rein organisatorisch, oder zumindest Berichts Erstattend soltlest du der GF oder dem Vorstand unterstellt sein und nur so macht es Sinn.
Wenn du nicht damit rechnen musst direkt an die frische Luft gesetzt zu werden solltest du dich an den neuen GF wenden um hier Klarheit zu schaffen.
Das ein Problem auf die Fachateilung zurückfällt ist klar, nur, das ist immer so!
Als Sicherheitsbeauftragter bist du immer derjenige der dafür sorgt das die Fachabteilung mehr Arbet hat, und meistens ist in Irgendeiner Form auch die IT Abteilung betroffen.
(Wenn bei Personalabteilung die Zugriffsberechtigungen nicht den Vorschriften entsprechen ist das halt nicht nur ein Problem der PErsoalabteilung sondern auch für die IT)
Anders sieht es aus wenn du "nur" IT Sicherheitsbeauftragter bist. Dann ist der IT Chef schon der richtige Vorgesetzte...
Wobei du auch hier das Recht haben solltest, seine Entscheidungen gegenüber der GF anzusprechen und das dort auch mit Nachdruck
brammer
rein organisatorisch, oder zumindest Berichts Erstattend soltlest du der GF oder dem Vorstand unterstellt sein und nur so macht es Sinn.
Wenn du nicht damit rechnen musst direkt an die frische Luft gesetzt zu werden solltest du dich an den neuen GF wenden um hier Klarheit zu schaffen.
Das ein Problem auf die Fachateilung zurückfällt ist klar, nur, das ist immer so!
Als Sicherheitsbeauftragter bist du immer derjenige der dafür sorgt das die Fachabteilung mehr Arbet hat, und meistens ist in Irgendeiner Form auch die IT Abteilung betroffen.
(Wenn bei Personalabteilung die Zugriffsberechtigungen nicht den Vorschriften entsprechen ist das halt nicht nur ein Problem der PErsoalabteilung sondern auch für die IT)
Anders sieht es aus wenn du "nur" IT Sicherheitsbeauftragter bist. Dann ist der IT Chef schon der richtige Vorgesetzte...
Wobei du auch hier das Recht haben solltest, seine Entscheidungen gegenüber der GF anzusprechen und das dort auch mit Nachdruck
brammer
Mahlzeit,
richtig, ich bin nicht nur ITSB sondern auch Systemadministrator, eigentlich für den Bereich Drucker gar nicht zuständig, aber nachdem ich die Lücke in den Druckern aufgedeckt habe, durfte ich die alle selbst schließen, an knapp 50 Druckern....*kopfschüttel*
Im Moment rege ich mich darüber auf, dass ich den gesamten Zyklus (Strukturanalyse, Schutzbedarfsanalyse, Risikoanalyse etc.) in 10 Wochen machen sollte. Für meinen IT-Leiter war das mehr als genug Zeit. Ich bin nun in der 11. Woche und habe schon vieles verkürzen und Besprechungen streichen müssen, da ich sonst nicht fertig werden würde und das Tagesgeschäft ist ja auch noch da. Für sowas wichtiges sagt sogar das BSI, dass man dem ITSB viel Zeit für seine Aufgaben geben soll. Ich bin zwar noch lange nicht fertig, aber eine der endgültigen Maßnahmen wird folgende sein: "Dem IT-Sicherheitsbeauftragten genügend Zeit geben - [nicht umgesetzt]". Mal sehen, was mein IT-Leiter dazu meint, er wirds mit Sicherheit rausstreichen, es könnte ja auf ihn zurückfallen... *immernochkopfschüttel*
Grüße, Gwaihir
richtig, ich bin nicht nur ITSB sondern auch Systemadministrator, eigentlich für den Bereich Drucker gar nicht zuständig, aber nachdem ich die Lücke in den Druckern aufgedeckt habe, durfte ich die alle selbst schließen, an knapp 50 Druckern....*kopfschüttel*
Im Moment rege ich mich darüber auf, dass ich den gesamten Zyklus (Strukturanalyse, Schutzbedarfsanalyse, Risikoanalyse etc.) in 10 Wochen machen sollte. Für meinen IT-Leiter war das mehr als genug Zeit. Ich bin nun in der 11. Woche und habe schon vieles verkürzen und Besprechungen streichen müssen, da ich sonst nicht fertig werden würde und das Tagesgeschäft ist ja auch noch da. Für sowas wichtiges sagt sogar das BSI, dass man dem ITSB viel Zeit für seine Aufgaben geben soll. Ich bin zwar noch lange nicht fertig, aber eine der endgültigen Maßnahmen wird folgende sein: "Dem IT-Sicherheitsbeauftragten genügend Zeit geben - [nicht umgesetzt]". Mal sehen, was mein IT-Leiter dazu meint, er wirds mit Sicherheit rausstreichen, es könnte ja auf ihn zurückfallen... *immernochkopfschüttel*
Grüße, Gwaihir
Moin,
so wie ich das verstehe bist du mitarbeiter in der EDV-Abteilung und gleichzeitig Sicherheitsberater. Allein das finde ich persönlich schon eine ungünstige Kombination -> du darfst nichts einfach selbst entscheiden (das müsste dein Abt.-Leiter erst akzeptieren) und gleichzeitig darfst du es auch nicht kritisieren weil es auf die Abteilung zurückfällt.
Somit hast du eh nen Spagat vor dir. Selbst wenn dein Abteilungsleiter den Bericht nicht erst sieht dann würde ja immer ein Problem entstehen. Niemand wird sich selbst gern vor der GL hinstellen und nen eigenen Fehler vorstellen. Somit würdest du - ggf. sogar unabsichtlich - deine eigenen Fehler auch nie vorstellen (u.a. weil du die nicht siehst -> du gehst ggf. eben davon aus das es so wie es ist schon richtig wäre). DA ist es natürlich sinnvoll wenn jemand noch über den Bericht rüberguckt bevor der abgegeben wird.
Das dein Abt.-Leiter da natürlich passagen rauswirft ist nicht so schön. Jetzt wäre die Frage: Kann man mit dem Reden das die Passagen zwar gelöscht aber dann auch behoben werden? In dem Fall wäre es m.E. noch zu verschmerzen. Wenn natürlich die Passagen einfach so gestrichen werden - dann sieht das schon anders aus.
Natürlich gibt es auch immer ein Problem wenn du am Abteilungsleiter vorbei arbeitest. Ich würde das auch wenig lustig finden. Hier könnte man ja durchaus nen Punkt einführen das du diesen Bericht ERST dem Abteilungsleiter allein vorstellst und der dann ne Woche Zeit hat sich darüber Gedanken zu machen. Dann geht man das durch und spricht schonmal darüber wie man die Punkte bearbeitet / behebt (falls gewünscht). Danach könnt ihr gemeinsam der GL den Bericht vorstellen - und gleich die Lösungsvorschläge mit präsentieren. So fällt das nicht negativ auf die IT zurück (man sorgt ja bereits für Lösungen) und niemand verliert das Gesicht... Gleichzeitig braucht auch nichts "gestrichen" zu werden...
so wie ich das verstehe bist du mitarbeiter in der EDV-Abteilung und gleichzeitig Sicherheitsberater. Allein das finde ich persönlich schon eine ungünstige Kombination -> du darfst nichts einfach selbst entscheiden (das müsste dein Abt.-Leiter erst akzeptieren) und gleichzeitig darfst du es auch nicht kritisieren weil es auf die Abteilung zurückfällt.
Somit hast du eh nen Spagat vor dir. Selbst wenn dein Abteilungsleiter den Bericht nicht erst sieht dann würde ja immer ein Problem entstehen. Niemand wird sich selbst gern vor der GL hinstellen und nen eigenen Fehler vorstellen. Somit würdest du - ggf. sogar unabsichtlich - deine eigenen Fehler auch nie vorstellen (u.a. weil du die nicht siehst -> du gehst ggf. eben davon aus das es so wie es ist schon richtig wäre). DA ist es natürlich sinnvoll wenn jemand noch über den Bericht rüberguckt bevor der abgegeben wird.
Das dein Abt.-Leiter da natürlich passagen rauswirft ist nicht so schön. Jetzt wäre die Frage: Kann man mit dem Reden das die Passagen zwar gelöscht aber dann auch behoben werden? In dem Fall wäre es m.E. noch zu verschmerzen. Wenn natürlich die Passagen einfach so gestrichen werden - dann sieht das schon anders aus.
Natürlich gibt es auch immer ein Problem wenn du am Abteilungsleiter vorbei arbeitest. Ich würde das auch wenig lustig finden. Hier könnte man ja durchaus nen Punkt einführen das du diesen Bericht ERST dem Abteilungsleiter allein vorstellst und der dann ne Woche Zeit hat sich darüber Gedanken zu machen. Dann geht man das durch und spricht schonmal darüber wie man die Punkte bearbeitet / behebt (falls gewünscht). Danach könnt ihr gemeinsam der GL den Bericht vorstellen - und gleich die Lösungsvorschläge mit präsentieren. So fällt das nicht negativ auf die IT zurück (man sorgt ja bereits für Lösungen) und niemand verliert das Gesicht... Gleichzeitig braucht auch nichts "gestrichen" zu werden...
