Externer Informationssicherheitsbeauftragter: Zuständigkeiten & Aufgaben
Ein Informationssicherheitsbeauftragter (ISB) ist für alle Fragen rund um die Informationssicherheit in der Institution zuständig. Zu seinen Aufgaben gehört es,
- den Sicherheitsprozess zu steuern und zu koordinieren,
- die Leitung bei der Erstellung der Sicherheitsleitlinie zu unterstützen,
- die Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien zu koordinieren,
- Realisierungspläne für Sicherheitsmaßnahmen anzufertigen sowie ihre Umsetzung zu initiieren und zu überprüfen,
- der Leitungsebene und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit zu berichten,
- sicherheitsrelevante Projekte zu koordinieren,
- sicherheitsrelevante Vorfälle zu untersuchen sowie
- Sensibilisierungen und Schulungen zur Informationssicherheit zu initiieren und zu koordinieren.
Welche Anforderungen muss ein Informationssicherheitsbeauftragter erfüllen?
Ein Informationssicherheitsbeauftragter sollte Erfahrung und Wissen sowohl auf den Gebieten der Informationssicherheit als auch der IT besitzen. Darüber hinaus sollte er die Geschäftsprozesse der Institution kennen.
Zur Wahrung der Unabhängigkeit sollte der ISB zudem direkt der obersten Leitung zugeordnet sein. Eine Integration in die IT-Abteilung kann zu Rollenkonflikten führen, da der ISB seine Verpflichtung zur Kontrolle der Sicherheitsmaßnahmen nicht frei von Beeinflussung wahrnehmen kann. Auch eine Personalunion mit dem Datenschutzbeauftragten ist nicht unkritisch. Sollte dies der Fall sein, müssen die Schnittstellen dieser beiden Aufgaben klar definiert werden, um Rollenkonflikte zu vermeiden.
Ein Informationssicherheitsbeauftragter benötigt darüber hinaus ausreichend Ressourcen und Zeit für erforderliche Fortbildungen. Es muss einen direkten Berichtsweg zur Leitung geben, um in Konfliktfällen schnell entscheiden zu können.
Je nach Größe des Unternehmens oder der Behörde kann es auch weitere ISB etwa für verschiedene Bereiche, Standorte oder auch große Projektvorhaben der Institution geben.
Informationssicherheits-Audit durch den ISB
Wie ein Informationssicherheitsaudit ablaufen kann, haben wir für Sie beispielhaft anhand des Ablaufs des TISAX®*-Assessment skizziert:
Vor jeder Buchung eines Leistungspakets ist eine einmalige IST-Aufnahme vor Ort notwendig.
Eine Gesamtreisezeit von 1 Stunde je Strecke ist darin enthalten.
Jede weitere, angefangene Stunde der Reisezeit wird mit einer Pauschale von 60,- € Honorar in Rechnung gestellt.
Pro gefahrenen Kilometer berechnen wir 0,55 €
Informationssicherheitspakete
Unternehmensgröße
Basispaket | Basispaket + Servicepaket I | Basispaket + Servicepaket II |
Empfohlen für kleine Unternehmen | Empfohlen für kleine Unternehmen, die nach TISAX, 27001 oder B3S arbeiten | Empfohlen für kleine Unternehmen, die nach TISAX, 27001 oder B3S arbeiten |
Nach Bedarf | Inkl. 10 Stunden p.a. | Inkl. 20 Stunden p.a. |
Individual-Leistungen können dazu gebucht werden | Individual-Leistungen können dazu gebucht werden | Individual-Leistungen können dazu gebucht werden |
monatlich 150,-€ | monatlich 299,-€ | monatlich 399,-€ |
Basispaket | Basispaket + Servicepaket I | Basispaket + Servicepaket II |
Empfohlen für kleine Unternehmen | Empfohlen für kleine Unternehmen, die nach TISAX, 27001 oder B3S arbeiten | Empfohlen für kleine Unternehmen, die nach TISAX, 27001 oder B3S arbeiten |
Nach Bedarf | Inkl. 10 Stunden p.a. | Inkl. 20 Stunden p.a. |
Individual-Leistungen können dazu gebucht werden | Individual-Leistungen können dazu gebucht werden | Individual-Leistungen können dazu gebucht werden |
monatlich 299,-€ | monatlich 399,-€ | monatlich 499,-€ |
Basispaket | Basispaket + Servicepaket I | Basispaket + Servicepaket II |
Empfohlen für kleine Unternehmen | Empfohlen für kleine Unternehmen, die nach TISAX, 27001 oder B3S arbeiten | Empfohlen für kleine Unternehmen, die nach TISAX, 27001 oder B3S arbeiten |
Nach Bedarf | Inkl. 10 Stunden p.a. | Inkl. 20 Stunden p.a. |
Individual-Leistungen können dazu gebucht werden | Individual-Leistungen können dazu gebucht werden | Individual-Leistungen können dazu gebucht werden |
monatlich 445,-€ | monatlich 545,-€ | monatlich 645,-€ |
Basispaket | Basispaket + Servicepaket I | Basispaket + Servicepaket II |
Empfohlen für kleine Unternehmen | Empfohlen für kleine Unternehmen, die nach TISAX, 27001 oder B3S arbeiten | Empfohlen für kleine Unternehmen, die nach TISAX, 27001 oder B3S arbeiten |
Nach Bedarf | Inkl. 10 Stunden p.a. | Inkl. 20 Stunden p.a. |
Individual-Leistungen können dazu gebucht werden | Individual-Leistungen können dazu gebucht werden | Individual-Leistungen können dazu gebucht werden |
monatlich 795,-€ | monatlich 895,-€ | monatlich 999,-€ |
Basispaket | Basispaket + Servicepaket I | Basispaket + Servicepaket II |
Empfohlen für Unternehmen | Empfohlen für kleine / mittelständige Unternehmen, die nach TISAX, 27001 oder B3S arbeiten | Empfohlen für kleine Unternehmen, die nach TISAX, 27001 oder B3S arbeiten |
Inkl. 10 Stunden p.a. | Inkl. 20 Stunden p.a. | |
Individual-Leistungen können dazu gebucht werden | Individual-Leistungen können dazu gebucht werden | Individual-Leistungen können dazu gebucht werden |
monatlich 795,-€ | monatlich 895,-€ | monatlich 999,-€ |
Basispaket | Basispaket + Servicepaket I | Basispaket + Servicepaket II |
Empfohlen für Unternehmen wie z.B. Kliniken | Empfohlen für z.B. Kliniken / mittelständige Unternehmen, die nach TISAX, 27001 oder B3S arbeiten | Empfohlen für Unternehmen wie z.B. Kliniken |
Inkl. 10 Stunden p.a. | Inkl. 20 Stunden p.a. | |
Individual-Leistungen können dazu gebucht werden | Individual-Leistungen können dazu gebucht werden | Individual-Leistungen können dazu gebucht werden |
monatlich 995,-€ | monatlich 1095,-€ | monatlich 1299,-€ |
Basispaket | Basispaket + Servicepaket I | Basispaket + Servicepaket II |
Empfohlen für Unternehmen wie z.B. Kliniken | Empfohlen für z.B. Kliniken / mittelständige Unternehmen, die nach TISAX, 27001 oder B3S arbeiten | Empfohlen für Unternehmen wie z.B. Kliniken |
Inkl. 10 Stunden p.a. | Inkl. 20 Stunden p.a. | |
Individual-Leistungen können dazu gebucht werden | Individual-Leistungen können dazu gebucht werden | Individual-Leistungen können dazu gebucht werden |
Kosten: individuell | Kosten: individuell | Kosten: individuell |
Inhalte des Basispakets
- Verfügbarkeit des externen Informationssicherheitsbeauftragten
- Regelmäßige JourFix (Status Runden)
- Awareness Training
- Bearbeitung von Sicherheitsvorfällen
- Erstellung von ForeCast
- Auditierung
- Managementbericht
- Risikobewertung
Zusatzleistungen, die nach Bedarf oder über Servicepakete abgerechnet werden
- Beratung und Weiterentwicklung der internen Informationssicherheit resultierend aus den Audits
- Betreuung und Begleitung von ext. Audits
- Projektsupport
- Erstellung oder aufwändige Bearbeitung des internen Informationssicherheitsmanagement Systems
Geschäftsfeld |
Für Unternehmen gibt es keine gesetzliche Verpflichtung zur Bestellung eines Informationssicherheitsbeauftragten. Ausschließlich KRITIS-Unternehmen, d.h. Unternehmen wie Krankenhäuser, da sie zu einer Branche gehören, die zur kritischen Infrastruktur zählen, sind gesetzlich in der Pflicht einen Informationssicherheitsbeauftragten zu stellen. |
Warum sollten andere Unternehmen dennoch freiwillig einen Informationssicherheitsbeauftragten stellen? |
Die Bestellung eines Informationssicherheitsbeauftragten ist für bestimmte Branchen die Grundlage einer jeden Zusammenarbeit. Besonders relevant ist dies für Zulieferer oder Partner, die mit großen Unternehmen kooperieren, die zur technischen Branche gehören. Diese müssen häufig in regelmäßigen Abständen nachweisen, dass sie sowohl ein ISMS und als auch einen ISB besitzen. Die Nachweise können bspw. In Form von bestandenen Audits erfolgen. Hintergrund ist, dass die Auftraggeber nur so gewährleisten können, dass Sie als Zulieferer die Daten ausreichend geschützt haben. |
Nachteile eines internen Informationsschutzbeauftragten (ISB) |
|
Vorteile eines externen Informationsschutzbeauftragten (ISB) |
|
Ansprechpartner:
Michael Will
Abteilungsleiter
Projekt- & Qualitäts-Management
Standort Wolfsburg

Tel.: +49 5361 – 89 65 65 0
Fax: +49 5361 – 89 65 65 12
Mobil: +49 151 – 25 34 32 97
michael.will(at)dos-online.de
Weitere Informationen zur Anmeldung des TISAX®*-Assessment finden Sie hier: https://www.enx.com/de-DE/TISAX/
Wir weisen darauf hin, dass die DOS Software-Systeme GmbH keine TISAX®*-Assessments durchführt sowie keine TISAX®*-Labels ausstellt. Die angebotenen Dienstleistungen dienen der Vorbereitung und Informationsgabe zum Thema TISAX®*.
*TISAX® ist eine eingetragene Marke der ENX Association. Die DOS Software-Systeme GmbH steht in keiner geschäftlichen Beziehung zu ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.