Externer Informationssicherheitsbeauftragter

Home Leistungen Datenschutz & Informations­sicherheit Externer Informationssicherheitsbeauftragter

Externer Informationssicherheitsbeauftragter: Zuständigkeiten & Aufgaben

Ein Informationssicherheitsbeauftragter (ISB) ist für alle Fragen rund um die Informationssicherheit in der Institution zuständig. Zu seinen Aufgaben gehört es,

  • den Sicherheitsprozess zu steuern und zu koordinieren,
  • die Leitung bei der Erstellung der Sicherheitsleitlinie zu unterstützen,
  • die Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien zu koordinieren,
  • Realisierungspläne für Sicherheitsmaßnahmen anzufertigen sowie ihre Umsetzung zu initiieren und zu überprüfen,
  • der Leitungsebene und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit zu berichten,
  • sicherheitsrelevante Projekte zu koordinieren,
  • sicherheitsrelevante Vorfälle zu untersuchen sowie
  • Sensibilisierungen und Schulungen zur Informationssicherheit zu initiieren und zu koordinieren.

Welche Anforderungen muss ein Informationssicherheitsbeauftragter erfüllen?

Ein Informationssicherheitsbeauftragter sollte Erfahrung und Wissen sowohl auf den Gebieten der Informationssicherheit als auch der IT besitzen. Darüber hinaus sollte er die Geschäftsprozesse der Institution kennen.

Zur Wahrung der Unabhängigkeit sollte der ISB zudem direkt der obersten Leitung zugeordnet sein. Eine Integration in die IT-Abteilung kann zu Rollenkonflikten führen, da der ISB seine Verpflichtung zur Kontrolle der Sicherheitsmaßnahmen nicht frei von Beeinflussung wahrnehmen kann. Auch eine Personalunion mit dem Datenschutzbeauftragten ist nicht unkritisch. Sollte dies der Fall sein, müssen die Schnittstellen dieser beiden Aufgaben klar definiert werden, um Rollenkonflikte zu vermeiden.

Ein Informationssicherheitsbeauftragter benötigt darüber hinaus ausreichend Ressourcen und Zeit für erforderliche Fortbildungen. Es muss einen direkten Berichtsweg zur Leitung geben, um in Konfliktfällen schnell entscheiden zu können.

Je nach Größe des Unternehmens oder der Behörde kann es auch weitere ISB etwa für verschiedene Bereiche, Standorte oder auch große Projektvorhaben der Institution geben.

Informationssicherheits-Audit durch den ISB

Wie ein Informationssicherheitsaudit ablaufen kann, haben wir für Sie beispielhaft an der TISAX-Zertifizierung skizziert:

Vor jeder Buchung eines Leistungspakets ist eine einmalige IST-Aufnahme vor Ort notwendig. 

Eine Gesamtreisezeit von 1 Stunde je Strecke ist darin enthalten.

Jede weitere, angefangene Stunde der Reisezeit wird mit einer Pauschale von 60,- € Honorar in Rechnung gestellt.

Pro gefahrenen Kilometer berechnen wir 0,55 €

Informationssicherheitspakete

Unternehmensgröße

Basispaket
Empfohlen für Unternehmen
Individual-Leistungen können dazugebucht werden
monatlich 795,- €

Basispaket + Servicepaket I
Empfohlen für kleine / mittelständige Unternehmen, die nach TISAX, 27001 oder B3S arbeiten
Inkl. 10 Stunden p.a.
Individual-Leistungen können dazugebucht werden
monatlich 895,- €

Basispaket + Servicepaket II
Empfohlen für kleine / mittelständige Unternehmen, die nach TISAX, 27001 oder B3S arbeiten
Inkl. 20 Stunden p.a.
Individual-Leistungen können dazugebucht werden
monatlich 999,- €
Basispaket
Empfohlen für Unternehmen
Individual-Leistungen können dazugebucht werden
monatlich 795,- €

Basispaket + Servicepaket I
Empfohlen für kleine / mittelständige Unternehmen, die nach TISAX, 27001 oder B3S arbeiten
Inkl. 10 Stunden p.a.
Individual-Leistungen können dazugebucht werden
monatlich 895,- €

Basispaket + Servicepaket II
Empfohlen für kleine / mittelständige Unternehmen, die nach TISAX, 27001 oder B3S arbeiten
Inkl. 20 Stunden p.a.
Individual-Leistungen können dazugebucht werden
monatlich 999,- €
Basispaket
Empfohlen für Unternehmen wie z.B. Kliniken
Individual-Leistungen können dazugebucht werden
monatlich 995,- €

Basispaket + Servicepaket I
Empfohlen für z.B. Kliniken / mittelständige Unternehmen, die nach TISAX, 27001 oder B3S arbeiten
Inkl. 10 Stunden p.a.
Individual-Leistungen können dazugebucht werden
monatlich 1.095,- €

Basispaket + Servicepaket II
Empfohlen für Unternehmen wie z.B. Kliniken
Inkl. 20 Stunden p.a.
Individual-Leistungen können dazugebucht werden
monatlich 1.299,- €
Basispaket
Empfohlen für Unternehmen wie z.B. Kliniken
Individual-Leistungen können dazugebucht werden
Kosten: individuell

Basispaket + Servicepaket I
Empfohlen für z.B. Kliniken / mittelständige Unternehmen, die nach TISAX, 27001 oder B3S arbeiten
Inkl. 10 Stunden p.a.
Individual-Leistungen können dazugebucht werden
Kosten: individuell

Basispaket + Servicepaket II
Empfohlen für Unternehmen wie z.B. Kliniken
Inkl. 20 Stunden p.a.
Individual-Leistungen können dazugebucht werden
Kosten: individuell

Inhalte des Basispakets

  • Verfügbarkeit des externen Informationssicherheitsbeauftragten
  • Regelmäßige JourFix (Status Runden)
  • Awareness Training
  • Bearbeitung von Sicherheitsvorfällen
  • Erstellung von ForeCast
  • Auditierung
  • Managementbericht
  • Risikobewertung

Zusatzleistungen, die nach Bedarf oder über Servicepakete abgerechnet werden

  • Beratung und Weiterentwicklung der internen Informationssicherheit resultierend aus den Audits
  • Betreuung und Begleitung von ext. Audits
  • Projektsupport
  • Erstellung oder aufwändige Bearbeitung des internen Informationssicherheitsmanagement Systems

Geschäftsfeld
Für Unternehmen gibt es keine gesetzliche Verpflichtung zur Bestellung eines Informationssicherheitsbeauftragten. Ausschließlich KRITIS-Unternehmen, d.h. Unternehmen wie Krankenhäuser, da sie zu einer Branche gehören, die zur kritischen Infrastruktur zählen, sind gesetzlich in der Pflicht einen Informationssicherheitsbeauftragten zu stellen.
Warum sollten andere Unternehmen dennoch freiwillig einen Informationssicherheitsbeauftragten stellen?
Die Bestellung eines Informationssicherheitsbeauftragten ist für bestimmte Branchen die Grundlage einer jeden Zusammenarbeit. Besonders relevant ist dies für Zulieferer oder Partner, die mit großen Unternehmen kooperieren, die zur technischen Branche gehören. Diese müssen häufig in regelmäßigen Abständen nachweisen, dass sie sowohl ein ISMS und als auch einen ISB besitzen. Die Nachweise können bspw. In Form von bestandenen Audits erfolgen. Hintergrund ist, dass die Auftraggeber nur so gewährleisten können, dass Sie als Zulieferer die Daten ausreichend geschützt haben.
Nachteile eines internen Informationsschutzbeauftragten (ISB)
  • Innerhalb des Betriebes ist es oftmals schwierig, eine geeignete qualifizierte Person zu finden. Für eine Ausbildung zum ISB bestehen zudem hohe Anforderungen an den Kandidaten (z.B. umfassendes Fachwissen, mehrjährige Berufserfahrung)
  • Der Arbeitsaufwand und die Kosten für interne ISB sind meist schwer kalkulierbar
  • Mögliche Interessenkonflikte zwischen Geschäftsführung oder IT-Leitung
  • Mangelnde Expertise des internen ISB können zu suboptimalen Lösungen führen

Vorteile eines externen Informationsschutzbeauftragten (ISB)
  • Der externe ISB hat den Überblick über eine marktübliche Umsetzung
  • Umfassendes Know-how ist sofort verfügbar
  • Leistungen sind nach Bedarf abrufbar, wodurch Kosten gespart werden können
  • Externe ISB bekommen meist schnellere qualifizierte Antworten, da weder Konkurrenzverhältnis noch Interessenkonflikte bestehen und dem „Beauftragten der Geschäftsführung“ schnell weitergeholfen wird
  • Ein externer ISB stößt oft auf eine bessere Akzeptanz beim Betriebsrat

Ansprechpartner:

Michael Will
Abteilungsleiter
Projekt- & Qualitäts-Management
Standort Wolfsburg

Michael Will, Abteilungsleiter Projekt- & Qualitätsmanagement – DOS Software-Systeme GmbH

Tel.: +49 5361 – 89 65 65 0
Fax: +49 5361 – 89 65 65 12
Mobil: +49 151 – 25 34 32 97
michael.will(at)dos-online.de