GC.8.1.1 — Festlegung von Rollen und Zuständigkeiten
MUSS
Security level: normal-SdT
Effort 0
BSI-Methodik-Grundschutz-plus-plus
Sub-control of GC.8.1
Statement (Anforderung)
Governance und Compliance MUSS die Rollen und Zuständigkeiten im Rahmen des ISMS inklusive ihrer Kompetenzen bzw. Befugnisse zuweisen.
Guidance (Erläuterung)
Im Rahmen des ISMS sind die Rollen hinsichtlich der Aufgaben, der dafür notwendigen Qualifikation und der notwendigen Befugnisse festgelegt. Eine zentrale Rolle wäre beispielsweise der "Informationssicherheitsbeauftragte" (ISB).
Statement properties
| Name | Value |
|---|---|
| documentation | Tätigkeits- & Rollenbeschreibung |
| result | die Rollen und Zuständigkeiten im Rahmen des ISMS |
| result_specification | inklusive ihrer Kompetenzen bzw. Befugnisse |
| action_word | zuweisen |
| modal_verb | MUSS |
Control properties
| Name | Value |
|---|---|
| alt-identifier | 5cc59bb1-af0d-457f-a548-03373447fec7 |
| sec_level | normal-SdT |
| effort_level | 0 |
Framework mappings
this control ↔ the corresponding control in each framework (toggle per framework in Settings)
Auto-generated similarity matches — orientation only, verify before use. The score is the text-similarity confidence, not an authoritative crosswalk.
| Framework | Mapped control | Mapped control title | Match |
|---|---|---|---|
| GitHub Security Controls 🐙 | GH-GOV-01 | Limit owner roles | |
| GitHub Security Controls 🐙 | GH-GOV-02 | Verified domains | |
| GitHub Security Controls 🐙 | GH-GOV-03 | Organization-owned work only | |
| GitHub Security Controls 🐙 | GH-GOV-04 | Base permission read or none | |
| GitHub Security Controls 🐙 | GH-GOV-05 | Restrict repository creation and visibility | |
| GitHub Security Controls 🐙 | GH-GOV-06 | Disable forking of private repositories | |
| GitHub Security Controls 🐙 | GH-GOV-07 | Security policy published | |
| GitHub Security Controls 🐙 | GH-GOV-08 | Deletion and transfer governance |
Sub-controls
- GC.8.1.1.1 Informationssicherheitsbeauftragter
Raw OSCAL JSON (complete control)
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"controls": [
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"controls": [
{
"class": "BSI-Methodik-Grundschutz-plus-plus",
"id": "GC.8.1.1.1.1",
"parts": [
{
"id": "GC.8.1.1.1.1_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Tätigkeits- & Rollenbeschreibung"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "das direkte Vorspracherecht des ISB bei der Institutionsleitung"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "verankern"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS das direkte Vorspracherecht des ISB bei der Institutionsleitung verankern."
},
{
"id": "GC.8.1.1.1.1_gdn",
"name": "guidance",
"prose": "Das Vorspracherecht trägt dazu bei, dass die Institutionsleitung ein vollständiges und unverfälschtes Bild über den Stand der Informationssicherheit erhält. Ohne dieses direkte Vorsprachrecht kann es passieren, dass andere Organisationseinheiten sicherheitsrelevante Informationen in der Weitergabe beeinflussen."
}
],
"props": [
{
"name": "alt-identifier",
"value": "2daf1f95-862a-4b5e-9d63-90723384a0df"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Vorspracherecht des Informationssicherheitsbeauftragten"
}
],
"id": "GC.8.1.1.1",
"params": [
{
"id": "gc.8.1.1.1-prm1",
"label": "einer unabhängigen Person",
"props": [
{
"name": "alt-identifier",
"value": "96ebe8f3-2419-45d0-b981-dc973d21c17c"
}
]
}
],
"parts": [
{
"id": "GC.8.1.1.1_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Sicherheitsorganisation"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "die Rolle des Informationssicherheitsbeauftragten {{einer unabhängigen Person}}"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": ", welche unmittelbar der Institutionsleitung unterstellt ist,"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "zuweisen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS die Rolle des Informationssicherheitsbeauftragten {{ insert: param, gc.8.1.1.1-prm1 }} , welche unmittelbar der Institutionsleitung unterstellt ist, zuweisen."
},
{
"id": "GC.8.1.1.1_gdn",
"name": "guidance",
"prose": "Informationssicherheit liegt in der Verantwortung der Institutionsleitung. Die operative Aufgabe „Informationssicherheit“ wird an einen Informationssicherheitsbeauftragten (ISB) delegiert, der diese Aufgabe innerhalb der Institution koordiniert und vorantreibt. Daher ist diese Rolle in jeder Institution (unabhängig von Art und Größe) zu besetzen. Je nach Art und Ausrichtung der Institution wird der ISB anders genannt. Häufige Titel sind neben dem Informationssicherheitsbeauftragten, Chief Information Security Officer (CISO) oder Informationssicherheitsmanager (ISM). Die Hauptaufgabe des ISB besteht darin, die Institutionsleitung bei deren Aufgabenwahrnehmung bezüglich der Informationssicherheit zu beraten und diese bei der Umsetzung zu unterstützen. Zu den ISB-Aufgaben gehört es u.a., den Sicherheitsprozess operativ zu steuern und zu koordinieren, die Institutionsleitung bei der Erstellung der Sicherheitsleitlinie zu unterstützen, die Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien zu koordinieren, den Umsetzungsplan für Sicherheitsmaßnahmen anzufertigen, sowie ihre Umsetzung zu initiieren und zu überprüfen, der Institutionsleitung und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit zu berichten, sicherheitsrelevante Projekte zu koordinieren, sicherheitsrelevante Vorfälle zu untersuchen, sowie Sensibilisierungen und Schulungen zur Informationssicherheit zu initiieren und zu koordinieren."
}
],
"props": [
{
"name": "alt-identifier",
"value": "96ebe8f3-2419-45d0-b981-dc973d21c17c"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Informationssicherheitsbeauftragter"
}
],
"id": "GC.8.1.1",
"parts": [
{
"id": "GC.8.1.1_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Tätigkeits- & Rollenbeschreibung"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "die Rollen und Zuständigkeiten im Rahmen des ISMS"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "inklusive ihrer Kompetenzen bzw. Befugnisse"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "zuweisen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "MUSS"
}
],
"prose": "Governance und Compliance MUSS die Rollen und Zuständigkeiten im Rahmen des ISMS inklusive ihrer Kompetenzen bzw. Befugnisse zuweisen."
},
{
"id": "GC.8.1.1_gdn",
"name": "guidance",
"prose": "Im Rahmen des ISMS sind die Rollen hinsichtlich der Aufgaben, der dafür notwendigen Qualifikation und der notwendigen Befugnisse festgelegt. Eine zentrale Rolle wäre beispielsweise der \"Informationssicherheitsbeauftragte\" (ISB)."
}
],
"props": [
{
"name": "alt-identifier",
"value": "5cc59bb1-af0d-457f-a548-03373447fec7"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "0"
}
],
"title": "Festlegung von Rollen und Zuständigkeiten"
}