Der CISO (Chief Information Security Officer) ist die Führungskraft, die für die Informationssicherheit einer Organisation verantwortlich ist. Die Rolle umfasst die Steuerung des ISMS, die Berichterstattung an die Geschäftsleitung und die Koordination aller Sicherheitsmaßnahmen.
ISO 27001 Clause 5.3 (Rollen, Verantwortlichkeiten und Befugnisse) verlangt, dass die Verantwortung für das ISMS klar zugewiesen wird — der CISO ist die typische Besetzung dieser Rolle. In kleineren Organisationen wird die Funktion oft vom IT-Leiter oder einem Informationssicherheitsbeauftragten (ISB) wahrgenommen. Entscheidend ist die organisatorische Unabhängigkeit: Der CISO sollte nicht dem IT-Leiter unterstellt sein, um Interessenkonflikte zwischen Betrieb und Sicherheit zu vermeiden. Typische Aufgaben: Risikomanagement, Policy-Entwicklung, Awareness, Incident-Koordination und Audit-Begleitung.