Das Aufgabengebiet des eCISO beinhaltet nachfolgende Tätigkeiten; - Zuständigkeit für die organisationsweite Informationssicherheit - Konzeption, Implementierung, Betrieb und kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) - Definition, Mitwirkung und Koordination sicherheitsrelevanter Kernprozesse in Bezug auf die Informationssicherheit - Regelmäßige Berichterstattung an den Vorstand über den aktuellen Stand zur Informationssicherheit - Ansprechpartner und Berater des Vorstands zu allen Fragen der Informationssicherheit - Entwicklung und Steuerung von Informationssicherheitsregelungen, wie Leit- und Richtlinien sowie anderweitige Regelungsdokumente, in Abstimmung mit dem Vorstand - Steuerung und Umsetzung des Risikomanagements in Bezug auf die Informationssicherheit - Definition und Koordination der Sicherheitsziele und Sicherheitsmaßnahmen sowie Messgrößen ("KPI") in Abstimmung mit dem Vorstand - Erfassung, Umsetzung und Aufrechterhaltung der Anforderungen an die Informationssicherheit unter Einbindung und Mitwirkung der jeweiligen Bereiche - Koordination und Durchführung von zielgruppenorientierten Sensibilisierungs- und Schulungsmaß-nahmen für Führungskräfte und Mitarbeiter - Untersuchung sicherheitsrelevanter Ereignisse und Vorfälle sowie anlassbezogene Abstimmung mit Behörden oder externen Parteien als Teil des Informationssicherheitsvorfallsmanagement - Steuerung von internen Audits sowie Vorbereitung externer Audits als Teil der Auditplanung - Kontrolle der Umsetzung und Prüfung der Effektivität von Sicherheitszielen und Sicherheitsmaßnahmen Zur Wahrnehmung dieser Aufgaben besitzt der eCISO folgende Kompetenzen und Befugnisse; - Er/ Sie ist seinem Verantwortungsbereich weisungsfrei, d. h. die Art und Weise zur Umsetzung der Pflichten und Ziele obliegt der eigenen Verantwortung - Er/ Sie ist bedarfsgerecht über alle für die Informationssicherheit relevanten Themen zu informieren. Sowohl auf Nachfrage als auch unaufgefordert, soweit eine Relevanz für die Informationssicherheit besteht - Er/ Sie ist bei allen Vorhaben und Änderungen, die die Informationssicherheit berühren können, früh-zeitig mit einzubeziehen - Er/ Sie hat ein direktes Berichtsrecht gegenüber dem kaufmännischen Vorstand - Er/ Sie hat Richtlinienkompetenz zu Informationssicherheitsregelungen - Er/ Sie ist dem kaufmännischen Vorstand direkt unterstellt - Er/ Sie hat ein Prüfrecht in allen Bereichen, die Informationen aufbewahren oder verarbeiten sowie kann anlassbezogene interne oder externe Prüfungen veranlassen - Er/ Sie hat ein Mitsprache- und Vetorecht bei allen Entscheidungen, die seinen Verantwortungsbereich betreffen, insbesondere bei IT-Projekten - Er/ Sie hat im Rahmen seiner Tätigkeiten ein Zutrittsrecht zu allen genutzten Flächen, ein Zugangs-recht zu allen internen und externen Anwendungen sowie ein (lesendes) Zugriffsrecht auf alle damit verarbeitete Informationen unter Einhaltung sämtlicher gesetzlicher Vorgaben, interner Regelungen und auf Grundlage einer berechtigten Kenntnisnahme der Informationen. Je nach Art der Informationen sind die weiteren Zustimmungen, wie nichtwissenschaftlicher und wissenschaftlicher Personalrat, Datenschutz oder Recht, grundsätzlich vorab einzuholen oder im Falle der Gefahr im Verzug nachträglich gemäß den internen Regelungen entsprechend zu informieren.