47 lines
3 KiB
Markdown
47 lines
3 KiB
Markdown
<!-- docId: IMS-05-03 -->
|
|
<!-- status: entwurf -->
|
|
<!-- version: 0.1 -->
|
|
<!-- owner: Patrick Motsch -->
|
|
<!-- approver: Geschäftsführung PowerOn AG -->
|
|
<!-- approvedDate: -->
|
|
<!-- nextReview: 2027-06-03 -->
|
|
<!-- classification: intern -->
|
|
<!-- isoRefs: 9001:5.3; 27001:5.3 -->
|
|
|
|
# Rollen, Verantwortlichkeiten und Befugnisse
|
|
|
|
**Dokumenttyp:** Grundlagendokument (ISO 9001 / 27001 Kap. 5.3)
|
|
|
|
Aufgrund der kleinen Teamgrösse (2-5 Personen) werden Rollen gebuendelt. Bündelung ist zulässig; entscheidend ist die dokumentierte Zuweisung. **Namentliche Träger** stehen zentral im [Personen-Rollen-Mapping](personen-rollen-mapping.md) — diese Matrix enthält nur Funktionen.
|
|
|
|
## 1. Rollenmatrix
|
|
|
|
| Rolle | Verantwortung / Befugnis | Träger |
|
|
|---|---|---|
|
|
| Oberste Leitung (Geschäftsführung) | Gesamtverantwortung IMS, Freigabe Politiken, Ressourcen, Management-Review | → Mapping |
|
|
| Informationssicherheits-Beauftragter (ISB / CISO-Funktion) | ISMS-Pflege, Risikobeurteilung, SoA, Steuerung Annex-A-Controls | → Mapping |
|
|
| Qualitätsmanagement-Beauftragter (QMB) | QMS-Pflege, Prozesssteuerung, KVP, Audit-Koordination | → Mapping |
|
|
| Dokumentenlenkungs-Verantwortlicher | Pflege Header-Standard, Dokumentenregister, Review-Zyklen | → Mapping |
|
|
| Datenschutzverantwortlicher | DSG/DSGVO, AVV-Management | → Mapping |
|
|
| Betrieb / DevOps & Incident-Verantwortlicher | Server, Deployment, Backups, Vorfallbehandlung | → Mapping |
|
|
| Drittdienst-/Lieferanten-Verantwortlicher | Drittanbieter-Inventar, AVVs, Subunternehmer | → Mapping |
|
|
| Risiko-Eigner (Risk Owner) | Verantwortung je wesentlichem Risiko/Asset | gemäss [Risikoregister](../03_planung/risikoregister.md) |
|
|
| Interner Auditor | Unabhängige Prüfung des IMS | → Mapping (extern, Unabhängigkeit erforderlich) |
|
|
|
|
Amtsinhaber: [personen-rollen-mapping.md](personen-rollen-mapping.md) Abschnitt 2.
|
|
|
|
## 2. Hinweis zur Funktionstrennung
|
|
|
|
Da derzeit zentrale Rollen bei einer Person liegen, sind folgende kompensierende Massnahmen verbindlich:
|
|
|
|
- **Vier-Augen-Prinzip** bei Code-Review und Produktiv-Releases ([feature_release_bugfix.md](../05_betrieb/20260528_feature_release_bugfix.md)).
|
|
- **Protokollierung privilegierter Zugriffe** ([Logging & Monitoring](../05_betrieb/11_Logging_und_Monitoring.md)).
|
|
- **Internes Audit wird extern vergeben**, um Unabhängigkeit sicherzustellen ([Internes Audit](../06_bewertung/internes-audit.md)).
|
|
|
|
## 3. Operative Organisation
|
|
|
|
Die geschäftliche Aufgabenverteilung, Meetingstruktur (Operations, Verwaltungsrat) und Koordinationsrollen sind im [Organisationsreglement](organisationsreglement.md) geregelt. Die operative Entlastungsstruktur adressiert das Schlüsselpersonenrisiko (R-01) als kompensierende Massnahme.
|
|
|
|
## 4. Pflege
|
|
|
|
Änderungen an Rolleninhalten in dieser Matrix bzw. im Organisationsreglement; **Personenwechsel nur** im [Personen-Rollen-Mapping](personen-rollen-mapping.md). Wesentliche Änderungen im Management-Review bestätigen. Bei Teamwachstum Rollen entflechten (insb. interner Auditor, Release-Freigabe vs. Entwicklung).
|