Rufen Sie uns einfach an, und wir beraten Sie gerne zu unserem Seminar- und Studienangebot.
Unsere Ansprechpartner:
Michael Rabbat, Dipl.-Kfm.
MBA Chief Operating Officer
Claudia Hardmeier
Kunden-Center
Studienbetreuung
Institute und Kompetenzzentren
Bindeglied zu einer Vielzahl an
Unternehmen und Organisationen
3.3.3. Rolle und Verantwortlichkeiten: RACI-Matrix
Eine RACI-Matrix ist eine in der untersuchten Organisation vertraute Darstellung von Rollen und Verantwortlichkeiten in Projekten und Business-Prozessen (z.B. Jascka & Paulette, 2009). An dieser Stelle sollen beispielhaft die zehn wichtigsten Kerntätigkeiten der Information-Security einzelnen Rollen mit der Art der Verantwortung zugewiesen werden. Das RACI-Prinzip unterscheidet folgende Arten von Verantwortungen: (1) responsible – verantwortlich im Sinne der sachlich bezogenen, ordnungsgemäßen Durchführung oder Ausführung; (2) accountable – verantwortlich im Sinne der inhaltlichen Gesamtverantwortung für das Ergebnis; (3) consulted – wirkt in beratender Funktion ein, besitzt aber keine direkte Verantwortung; (4) informed – wird lediglich über einen Sachverhalt in Kenntnis gesetzt oder informiert selber.
| Task | Security-Team | ISO - Com | CIO | CAO - Heads |
| Drive operational risk management | R | A | ||
| Align information Security activities across sub groups | R | A | ||
| Central security exemption handling | I | A | C | |
| Review and sign off security measure for projects | R | A | C | |
| Review regular implementation of information security at local sites | C | R | C | A |
| Ensure information security in standard service products | R | A | C | |
| Ensure and execute prober training measures | C | C | A | |
| Report information risks | R | A | ||
| Overall information risk management process owner | I | C | R | A |
| Decides in investments for mitigation measures | I | C | R | A |
| Act as governance body of information security | C | A | R |
Tabelle 6: Darstellung der Verantwortlichkeiten der Information-Security nach „RACI“ (responsible, accountable, consulted, informed).
Tabelle 6 veranschaulicht in Auszügen die Verteilung der Verantwortlichkeiten auf die im organisatorischen Modell definierten Rollen. Das Modell nach RACI hat den Vorteil, dass Aufgaben und Verantwortlichen zunächst identifiziert und klar einem Rolleninhaber zugewiesen werden können. Ergibt sich keine eindeutige Rollenzuweisung, ist entweder die Aufgabe oder die Rolle unklar oder nicht passend definiert. Aufgaben können entweder zu groß- oder zu kleinschrittig, Rollen mit einem zu breiten oder schmalen Verantwortungsprofil ausgestattet sein. Für die Implementierung des Security-Frameworks wurden insgesamt 76 Aufgaben (Tasks) definiert, die den vier definierten Rollen zugeordnet wurden. Wichtige Voraussetzung ist, dass der Rolleninhaber seine Verantwortung akzeptiert. Unstimmigkeiten bezüglich mehr oder weniger Verantwortung müssen im Vorfeld ausdiskutiert und beseitigt werden.
Inhaltlich sei an dieser Stelle hervorgehoben, dass die Gesamtverantwortung für ein Informationsrisiko beim Besitzer der Information und die Verantwortung für das Management von identifizierten Risiken bei den CAOs verbleibt. Lediglich das operative Risk-Management und das Betreiben der definierten Security-Prozesse verbleiben als IT-Funktion bei den Rollen CIO, ISO-Community und Security-Team.