2.9 KiB
Rollen, Verantwortlichkeiten und Befugnisse
Dokumenttyp: Grundlagendokument (ISO 9001 / 27001 Kap. 5.3)
Aufgrund der kleinen Teamgrösse (2-5 Personen) werden Rollen gebuendelt. Bündelung ist zulässig; entscheidend ist die dokumentierte, namentliche Zuweisung. Wo Funktionstrennung fehlt, greifen kompensierende Massnahmen.
1. Rollenmatrix
| Rolle | Verantwortung / Befugnis | Träger |
|---|---|---|
| Oberste Leitung (Geschäftsführung) | Gesamtverantwortung IMS, Freigabe Politiken, Ressourcen, Management-Review | Patrick Motsch (p.motsch@poweron.swiss) |
| Informationssicherheits-Beauftragter (ISB / CISO-Funktion) | ISMS-Pflege, Risikobeurteilung, SoA, Steuerung Annex-A-Controls | Patrick Motsch |
| Qualitätsmanagement-Beauftragter (QMB) | QMS-Pflege, Prozesssteuerung, KVP, Audit-Koordination | Patrick Motsch |
| Dokumentenlenkungs-Verantwortlicher | Pflege Header-Standard, Dokumentenregister, Review-Zyklen | Patrick Motsch |
| Datenschutzverantwortlicher | DSG/DSGVO, AVV-Management | Patrick Motsch |
| Betrieb / DevOps & Incident-Verantwortlicher | Server, Deployment, Backups, Vorfallbehandlung | Patrick Motsch |
| Drittdienst-/Lieferanten-Verantwortlicher | Drittanbieter-Inventar, AVVs, Subunternehmer | Patrick Motsch |
| Risiko-Eigner (Risk Owner) | Verantwortung je wesentlichem Risiko/Asset | gemäss Risikoregister |
| Interner Auditor | Unabhängige Prüfung des IMS | Extern, noch zu benennen (Unabhängigkeit erforderlich) |
2. Hinweis zur Funktionstrennung
Da derzeit zentrale Rollen bei einer Person liegen, sind folgende kompensierende Massnahmen verbindlich:
- Vier-Augen-Prinzip bei Code-Review und Produktiv-Releases (feature_release_bugfix.md).
- Protokollierung privilegierter Zugriffe (Logging & Monitoring).
- Internes Audit wird extern vergeben, um Unabhängigkeit sicherzustellen (Internes Audit).
3. Operative Organisation
Die geschäftliche Aufgabenverteilung, Meetingstruktur (Operations, Verwaltungsrat) und Koordinationsrollen sind im Organisationsreglement geregelt. Dort adressiert die vorgeschlagene Struktur auch die Entlastung zentraler Personen (kompensierende Massnahme zu R-01).
4. Pflege
Änderungen an der Rollenzuweisung werden hier nachgeführt und im Management-Review bestätigt. Operative Anpassungen zusätzlich im Organisationsreglement. Bei Teamwachstum sind Rollen zu entflechten (insb. interner Auditor, Release-Freigabe vs. Entwicklung).