Geschäftsführung

Informationen:

• Ziel und Zweck:
  

  • Ziel dieser Position ist es, den Betrieb des Unternehemns zu leiten und zu lenken

• Verantwortung:
  

  • Geschäftsführer

• Ausführende Mitarbeiter:
  

  • Jeweilige Abteilungsleitungen und benannte Beauftragte

• Mitwirkende:
  

  • Mitarbeiter der jeweiligen Abteilungen

• Information an:
  

  • Ggf. Gesellschafter

Aufgaben:

• Leiten und lenken des Unternehmens

• Managementreview

• Ressourcenmanagement

• Verantwortung für das betriebliche Managementsystem übernehmen

Relevante Prozesse

• Kapitel "Führung" der Managementnormen

• Managementbewertung

• Ressourcenmanagement

Verbindliche Anforderungen (gesetzliche- & behördliche Anforderungen / Kundenanforderungen)

• BGB, Handelsgesetzbuch, ...

• Umsetzung der kundenspezifischen Anforderungen entlang der Lieferkette

Abteilungsrisiken (Risiken und Chancen)

Managementsysteme:

• Missachtung geltender Vorschriften und Gesetze

• Missmanagement

• Einsparungen auf Kosten der Produktsicherheit

• Keine Ausübung der Beobachtungspflicht des Unternehmens

• Keine ausreichende Bereitsstellung von notwendigen Ressourcen

• Die Oberste leitung zeigt keine Führung und Verantwortung für das betriebliche Managementsystem

Inhalte für das Asset-Risk-Management:

• Gesellschafter / Geschäftsführer 

• Die Notwendigkeit in Informationssicherheit zu investieren wird nicht gesehen 

• Fehlentscheidungen beim Einsatz von IT-Systemen im Unternehmen 

• Einsatz von Softwaresysteme der Unternehmensgruppe, ohne gesonderte Überprüfung der eigenen IT-Compliance

• Streng vertrauliche Dokumente 

• Dokumente sind einem nicht authorisierten Personenkreis zugänglich 

• Verträge 

• Vertragliche Inhalte sind unzureichend vor unbefugtem Zugriff geschützt 

• Lückenhaft geschlossene Verträge zu IT-Diensteanbietern 

• Rechtskataster 

• Nichteinhaltung von rechtlichen Rahmenbedingungen 

• Der technische und organisatorische Datenschutz ist nicht nachweisbar 

• Die datenverarbeitenden Verfahren sind nicht dokumentiert 

• Managementsystem 

• Die etablierten Verfahren zur Sicherstellung der Informationssicherheit werden nicht eingehalten

• Die dokumentierten Verfahren und Prozesse sind nicht messbar (Fehlende Kennzahlen)

• Das etablierte Managementsystem wird intern nicht überprüft (Fehlende interne Audits)

• Nachweise zur Reaktion nach einem Informationssicherheitsvorfall fehlen 

• Kunden 

• Nichterfüllung der Kundenanforderungen im Hinblick der Cybersicherheit 

• Die Kundenanforderungen zur Informationssicherheit sind unbekannt und nicht bewertet

• Mitarbeiter 

• Unzureichende Pflichtenübertragung an einzelne Mitarbeiter 

• Unzureichende Qualifizierung der Mitarbeiter in eingesetzten Schlüssel-Positionen

• Fehlende Verpflichtung der Mitarbeiter im Hinblick der Informationssicherheit 

• Liquide Mittel 

• Unzureichende finanzielle Mittel zur Aufrechterhaltung der Informationssicherheit

• Infrastruktur 

• Outsourcing der gesamten IT-Infrastruktur 

• Missachtung der Informationssicherheit im Hinblick der eingesetzten Anlagen und Maschinen (Betreiberhaftung)

• Ein wirksamer Zutrittsschutz zu schutzwürdigen Assets ist nicht gewährleistet 

• Lieferanten 

• Einsatz eines nicht qualifizierten IT-Diensteanbieters 

• Anforderungen an die Informationssicherheit werden im Rahmen der Lieferkette nicht sichergestellt

• Versicherungen 

• Fehlender Versicherungsschutz im Hinblick von Cyberattacken

IST-Situation:

• Übernehmen Sie die aufgeführten potentiellen Risiken und definieren Sie nun, ob diese Risiken bei Ihnen im Unternehmen auftreten können bzw. eventuell bereits abgesichert sind

• Definieren Sie die derzeitig etablierten Vermeidungs- und Entdeckungsmaßnahmen

• Bewerten Sie die Risiken z. B. mit der FMEA-Methode

Planung:

• Definieren Sie einen Maßnahmenplan, um die derzeitigen Risiken abzumildern bzw. zu beseitigen („Chancen“)

• Beachten Sie die Wirksamkeitsprüfung getroffener Maßnahmen

• Die veränderte Situation stellt nun die neue Ist-Situation dar

Notwendige Umsetzung

Managementsysteme:

• Die Oberste Leistung muss im Rahmen des betrieblichen Managementsystems Führung und Verantwortung zur Erreichung ihrer festlegten Ziele zeigen, als auch die Führungskräfte in Bezug ihrer Aufgabenwahrnehmung ausreichend unterstützen

• Bereitstellung notwendiger Ressourcen