3 KiB
Rollen, Verantwortlichkeiten und Befugnisse
Dokumenttyp: Grundlagendokument (ISO 9001 / 27001 Kap. 5.3)
Aufgrund der kleinen Teamgrösse (2-5 Personen) werden Rollen gebuendelt. Bündelung ist zulässig; entscheidend ist die dokumentierte Zuweisung. Namentliche Träger stehen zentral im Personen-Rollen-Mapping — diese Matrix enthält nur Funktionen.
1. Rollenmatrix
| Rolle | Verantwortung / Befugnis | Träger |
|---|---|---|
| Oberste Leitung (Geschäftsführung) | Gesamtverantwortung IMS, Freigabe Politiken, Ressourcen, Management-Review | → Mapping |
| Informationssicherheits-Beauftragter (ISB / CISO-Funktion) | ISMS-Pflege, Risikobeurteilung, SoA, Steuerung Annex-A-Controls | → Mapping |
| Qualitätsmanagement-Beauftragter (QMB) | QMS-Pflege, Prozesssteuerung, KVP, Audit-Koordination | → Mapping |
| Dokumentenlenkungs-Verantwortlicher | Pflege Header-Standard, Dokumentenregister, Review-Zyklen | → Mapping |
| Datenschutzverantwortlicher | DSG/DSGVO, AVV-Management | → Mapping |
| Betrieb / DevOps & Incident-Verantwortlicher | Server, Deployment, Backups, Vorfallbehandlung | → Mapping |
| Drittdienst-/Lieferanten-Verantwortlicher | Drittanbieter-Inventar, AVVs, Subunternehmer | → Mapping |
| Risiko-Eigner (Risk Owner) | Verantwortung je wesentlichem Risiko/Asset | gemäss Risikoregister |
| Interner Auditor | Unabhängige Prüfung des IMS | → Mapping (extern, Unabhängigkeit erforderlich) |
Amtsinhaber: personen-rollen-mapping.md Abschnitt 2.
2. Hinweis zur Funktionstrennung
Da derzeit zentrale Rollen bei einer Person liegen, sind folgende kompensierende Massnahmen verbindlich:
- Vier-Augen-Prinzip bei Code-Review und Produktiv-Releases (feature_release_bugfix.md).
- Protokollierung privilegierter Zugriffe (Logging & Monitoring).
- Internes Audit wird extern vergeben, um Unabhängigkeit sicherzustellen (Internes Audit).
3. Operative Organisation
Die geschäftliche Aufgabenverteilung, Meetingstruktur (Operations, Verwaltungsrat) und Koordinationsrollen sind im Organisationsreglement geregelt. Die operative Entlastungsstruktur adressiert das Schlüsselpersonenrisiko (R-01) als kompensierende Massnahme.
4. Pflege
Änderungen an Rolleninhalten in dieser Matrix bzw. im Organisationsreglement; Personenwechsel nur im Personen-Rollen-Mapping. Wesentliche Änderungen im Management-Review bestätigen. Bei Teamwachstum Rollen entflechten (insb. interner Auditor, Release-Freigabe vs. Entwicklung).