45 lines
2.9 KiB
Markdown
45 lines
2.9 KiB
Markdown
<!-- docId: IMS-05-03 -->
|
|
<!-- status: entwurf -->
|
|
<!-- version: 0.1 -->
|
|
<!-- owner: Patrick Motsch -->
|
|
<!-- approver: Geschäftsführung PowerOn AG -->
|
|
<!-- approvedDate: -->
|
|
<!-- nextReview: 2027-06-03 -->
|
|
<!-- classification: intern -->
|
|
<!-- isoRefs: 9001:5.3; 27001:5.3 -->
|
|
|
|
# Rollen, Verantwortlichkeiten und Befugnisse
|
|
|
|
**Dokumenttyp:** Grundlagendokument (ISO 9001 / 27001 Kap. 5.3)
|
|
|
|
Aufgrund der kleinen Teamgrösse (2-5 Personen) werden Rollen gebuendelt. Bündelung ist zulässig; entscheidend ist die dokumentierte, namentliche Zuweisung. Wo Funktionstrennung fehlt, greifen kompensierende Massnahmen.
|
|
|
|
## 1. Rollenmatrix
|
|
|
|
| Rolle | Verantwortung / Befugnis | Träger |
|
|
|---|---|---|
|
|
| Oberste Leitung (Geschäftsführung) | Gesamtverantwortung IMS, Freigabe Politiken, Ressourcen, Management-Review | Patrick Motsch (p.motsch@poweron.swiss) |
|
|
| Informationssicherheits-Beauftragter (ISB / CISO-Funktion) | ISMS-Pflege, Risikobeurteilung, SoA, Steuerung Annex-A-Controls | Patrick Motsch |
|
|
| Qualitätsmanagement-Beauftragter (QMB) | QMS-Pflege, Prozesssteuerung, KVP, Audit-Koordination | Patrick Motsch |
|
|
| Dokumentenlenkungs-Verantwortlicher | Pflege Header-Standard, Dokumentenregister, Review-Zyklen | Patrick Motsch |
|
|
| Datenschutzverantwortlicher | DSG/DSGVO, AVV-Management | Patrick Motsch |
|
|
| Betrieb / DevOps & Incident-Verantwortlicher | Server, Deployment, Backups, Vorfallbehandlung | Patrick Motsch |
|
|
| Drittdienst-/Lieferanten-Verantwortlicher | Drittanbieter-Inventar, AVVs, Subunternehmer | Patrick Motsch |
|
|
| Risiko-Eigner (Risk Owner) | Verantwortung je wesentlichem Risiko/Asset | gemäss [Risikoregister](../03_planung/risikoregister.md) |
|
|
| Interner Auditor | Unabhängige Prüfung des IMS | **Extern, noch zu benennen** (Unabhängigkeit erforderlich) |
|
|
|
|
## 2. Hinweis zur Funktionstrennung
|
|
|
|
Da derzeit zentrale Rollen bei einer Person liegen, sind folgende kompensierende Massnahmen verbindlich:
|
|
|
|
- **Vier-Augen-Prinzip** bei Code-Review und Produktiv-Releases ([feature_release_bugfix.md](../05_betrieb/20260528_feature_release_bugfix.md)).
|
|
- **Protokollierung privilegierter Zugriffe** ([Logging & Monitoring](../05_betrieb/11_Logging_und_Monitoring.md)).
|
|
- **Internes Audit wird extern vergeben**, um Unabhängigkeit sicherzustellen ([Internes Audit](../06_bewertung/internes-audit.md)).
|
|
|
|
## 3. Operative Organisation
|
|
|
|
Die geschäftliche Aufgabenverteilung, Meetingstruktur (Operations, Verwaltungsrat) und Koordinationsrollen sind im [Organisationsreglement](organisationsreglement.md) geregelt. Dort adressiert die vorgeschlagene Struktur auch die Entlastung zentraler Personen (kompensierende Massnahme zu R-01).
|
|
|
|
## 4. Pflege
|
|
|
|
Änderungen an der Rollenzuweisung werden hier nachgeführt und im Management-Review bestätigt. Operative Anpassungen zusätzlich im Organisationsreglement. Bei Teamwachstum sind Rollen zu entflechten (insb. interner Auditor, Release-Freigabe vs. Entwicklung).
|