Zur Startseite
Navigation überspringen

Suche

Oft gesucht
Oft gesucht
  1. Sie sind hier:
  2. Personenverzeichnis
  4. IT-Sicherheitsbeauftragter

Die IT-Sicherheitsbeauftragte unterstützt die Hochschulleitung bei der Wahrnehmung aller Aufgaben rund um das Thema Informationssicherheit. Die IT-Sicherheitsbeauftragte ist eine Stabsstelle des Präsidiums mit direktem Berichtsweg. Organisatorisch wird die Rolle der IT-Sicherheitsbeauftragten vom Leiter des Hochschulrechenzentrums koordiniert. Die Aufgaben umfassen den Aufbau, Betrieb und Weiterentwicklung des Informationssicherheitsmanagementsystems (ISMS), projektbezogene Unterstützungsleistungen und sicherheitsvorfallbezogene Tätigkeiten. Insbesondere für die Behandlung von IT-Sicherheitsvorfällen hat die IT-Sicherheitsbeauftragte erweiterte Kompetenzen und Weisungsbefugnisse gegenüber den Mitgliedern und Angehörigen der Fachhochschule Erfurt.

ISMS-Aufbau

IT-Sicherheitsrichtlinie

  • Stellenwert der IT-Sicherheit in der Hochschule definieren
  • Übernahme der Gesamtverantwortung der IT-Sicherheit durch die Hochschulleitung
  • Festlegung des Geltungsbereiches der IT-Sicherheitsrichtlinie
  • Abstimmung der IT-Sicherheitsziele mit den Zielen der Hochschule
  • Festlegung des Sicherheitsstandards/Methodik/Vorgehens unter Berücksichtigung geltender gesetzlicher und vertraglicher Regelungen (bspw. BSI IT-Grundschutz, ISO 27001, etc.)
  • Aufbau und Weiterentwicklung der IT-Sicherheitsorganisation (z.B. Beauftragter, Gremium, Managementteam/ IT-Sicherheitsteam)
  • Wahrnehmen von Befugnisse im Rahmen der IT-Sicherheit
  • Berichtswege des IT-Sicherheitsbeauftragten definieren
  • Sensibilisierungs- und Schulungsmaßnahmen definieren
  • Ressourcen zur Umsetzung planen
  • Aktualisierung der IT-Sicherheitsrichtlinie der Hochschule
  • Bekanntmachung der IT-Sicherheitsleitlinie an der Fachhochschule

IT-Sicherheitsprozesse

(zur Erstellung und Aktualisierung von IT-Sicherheitskonzepten angelehnt an das IT-Grundschutzprofil für Hochschulen vom BSI)

  • Implementierung eines Prozesses zur Erhebung einer Strukturanalyse mit Abhängigkeiten
  • Implementierung eines Prozesses zur Schutzbedarfsfeststellung, inklusive Gefährdungsbeurteilung
  • Festlegen von Sicherheitsanforderungen / angemessenes Niveau der IT-Sicherheit definieren zum Schutz der IT-Systeme auf dem Stand der Technik
  • Durchführung initialer Sicherheitschecks / Analyse bisheriger Aktivitäten zur IT-Sicherheit
  • Risikobeurteilungen und Unterstützung bei Erarbeitung von risikosenkenden Maßnahmen mit beteiligten Organisationseinheiten
  • Ableitung Risikobehandlungsplan sowie Nachverfolgung und Berichterstattung über die Umsetzung

IT-Sicherheitsbetrieb

Übergreifend

  • Beratung der Hochschulleitung in Fragen zur IT-Sicherheit
  • Unterstützung der Hochschulleitung bei der Wahrnehmung ihrer Aufgaben hinsichtlich der IT-Sicherheit
  • Regelmäßige Aktualisierung der IT-Sicherheitsrichtlinie#
  • Regelmäßige Aktualisierung der IT-Sicherheitsprozesse
  • Fortlaufende Aktualisierung der IT-Sicherheitskonzepte
  • Vorbereiten von Dienstanweisungen zur Wahrung und Verbesserung des Schutzniveaus
  • Durchführung und/oder Koordination von zielgruppenorientierten Schulungsmaßnahmen zum Thema IT-Sicherheit
  • kontinuierliche Messung des Reifegrades der IT-Sicherheit sowie Abgleich und Weiterentwicklung der IT-Sicherheitsziele

 Berichte

  • Unterrichtung der Hochschulleitung zum Stand der IT-Sicherheit
  • Jahresbericht zur IT-Sicherheit an Präsidium, Senat
  • Inhalt:
    • Projektfortschritt ISMS-Aufbau
    • sofern vorhanden Risikobewertung nach Grundschutzchecks
    • Umsetzungsstand Risikobehandlungsplan
    • potenzielle/bestätigte Sicherheitsvorfälle

Aktualiserung IT-Sicherheitskonzepte

  • anlassbezogene Aktualisierung der Strukturanalyse und Auswirkungsanalysen
  • zyklische Durchführung von Schutzbedarfsfeststellungenfortlaufende
  • Aktualisierung von Sicherheitsanforderungen nach Stand der Technik unter Berücksichtigung des Schutzbedarfs
  • Regelmäßige Prüfung der Umsetzungsstatus von Sicherheitsanforderungen
  • Regelmäßige Prüfung der Einhaltung von Sicherheitsrichtlinien und Regelungen
  • wiederkehrende Kontrolle von Maßnahmen hinsichtlich ihrer Wirksamkeit und Effizienz, Nachverfolgung des Risikobehandlungsplans
  • Zusammenarbeit mit anderen Beauftragten der Fachhochschule, insbesondere Zuarbeit und Beratung bezüglich technisch-organisatorischer Maßnahmen
  • Planung und Durchführung bzw. Koordination kleinerer Sicherheitschecks und langfristiger Audits oder Penetrationstests
  • Regelmäßige und anlassbezogene Nachverfolgung und Aktualisierung des Risikobehandlungsplans

Projektunterstützung

  • Begleitung IT-sicherheitsrelevanter Projekte und Digitalisierungsmaßnahmen
  • Unterstützung bei projektbezogenen Sicherheitskonzepten
  • projektbezogene Vertragsprüfungen hinsichtlich Einhaltung und Auswirkung auf die IT-Sicherheit
  • Aktive Begleitung bei der Umsetzung von IT-Sicherheitsmaßnahmen
  • Unterstützung bei Software-/Produktentscheidungen durch Erstellung von Bewertungskriterien und Begleitung von Software-/Produkttests

Sicherheitsvorfallbezogene Tätigkeiten

  • Implementierung eines IT-Sicherheitsvorfallprozesses
  • Leitung der Analyse und Nachbearbeitung von IT-Sicherheitsvorfällen
  • Dokumentation der IT-Sicherheitsmaßnahmen sowie Kontrolle dieser Maßnahmen
  • Weisungsbefugnisse zur Wahrung des Sicherheitsniveaus in Abstimmung mit dem Präsidium
  • Mitglied in besonderer Aufbauorganisation (Krisenstab)

Anton Gutfreund

Kontakt
Altonaer Straße
0361 6700 7142it-sicherheit@fh-erfurt.de