Wir stellen Ihnen gerne die Dienste eines Informationssichheitsbeauftragten (nach ISO 27001) zur Verfügung oder unterstütze Sie in allen Fragen eines Informationsmanagementsystems (ISMS) ISO 27001 oder ISO 27701:

Informationssicherheit

Aufgrund der Relevanz der Position des Informationssicherheitsbeauftragten ist eine anforderungsgerechte Besetzung der Position für die Informationssicherheit der Unternehmung von elementarer Bedeutung. Zwar existieren für die Position keine konkreten gesetzlichen Anforderungen, jedoch lässt sich aus den in den verschiedenen ISMS-Ansätzen definierten Aufgaben ein Anforderungsprofil ableiten.

Aufgaben eines INFORMATIONSSICHERHEITSBEAUFTRAGTEN

Der Informationssicherheitsbeauftragte (ISB) ist verantwortlich für die Planung, Umset-zung, Prüfung und Verbesserung der Informationssicherheit eines Unternehmens.

  • Er berichtet und berät die gesamtverantwortungstragende Unternehmensleitung in Fragen der Informationssicherheit.
  • In den Aufgabenbereich des ISB fallen die Umsetzung, der Betrieb und die Weiterentwicklung des Managementsystems für Informationssicherheit.
  • Dies umfasst die Ausarbeitung von Richtlinien zur Informationssicherheit und die Entwicklung von Handlungsempfehlungen.
  • Er ist Ansprechpartner bei Sicherheitsvorfällen.

Die Aufgaben des ISB sind in erster Linie beratend und koordinierend. Bei der operati-ven Umsetzung wird er idealerweise von den Fachabteilungen unterstützt.

  • Der ISB erfüllt zudem eine qualitätssichernde Funktion für Informationssicherheit, indem er die Wirksamkeit der technischen und organisatorischen Maßnahmen überprüft oder überprüfen lässt.
  • Er koordiniert die Erstellung des Notfallkonzeptes und ist verantwortlich für das Reporting zum Stand der Informationssicherheit an die Unternehmensleitung.
  • Er plant Awareness-Maßnahmen, (z.B. zum Umgang mit aktuellen Gefährdungen oder den sicherheitstechnischen Gründen und Inhalten der IT-Sicherheitsrichtlinien) und stellt deren Durchführung sicher.
  • Er muss außerdem auch Kenntnis über gesetzliche Vorgaben haben.
  • Bei der Einführung des Informationssicherheitskonzeptes und dessen Weiterentwicklung übernimmt er die Projektleitung und begleitet die Einführung der Prozesse.

Welche Anforderungen sind an einen ISB zu stellen, um diese Aufgaben erfüllen zu können.

Um die genannten Aufgaben bewältigen zu können, sollte der ISB idealerweise die fol-genden fachlichen und persönlichen Eigenschaften mitbringen:

  • Erfahrung und Kenntnisse im Bereich der IT und Informationssicherheit
  • Grundlegendes Wissen über die Aufgaben und Abläufe in der Unternehmung (interdisziplinäres Denken)
  • Erfahrung im Projektmanagement (vorzugsweise mit Kenntnissen über Risiko-analysen)
  • Hohes Maß an Fortbildungsbereitschaft
  • Selbstständiges Arbeiten
  • Analytische Fähigkeiten
  • Kooperations- und Teamfähigkeit
  • Durchsetzungsvermögen
  • Kommunikationsgeschick

Aufgrund der Aufgaben muss die Fähigkeit zur Kommunikation und der Zusammenarbeit mit Mitarbeitern, Externen und der Unternehmensleitung deshalb eine zentrale Rolle bei der Auswahl des ISBs spielen.


Diese Voraussetzungen sind unabhängig davon, ob ein interner, oder ein externer ISB bestellt wird.

Unser Expertentipp:

Der Aufbau von internem Know-how lässt den hohen Stellenwert des Themas Informationssicherheit gegenüber den zertifizierenden Auditoren erkennen und trägt dazu bei, die gewünschte Zertifizierung zu erhalten.
Grundsätzlich gilt: Der interne Informationssicherheitsbeauftragte benötigt ausreichend
Zeit und Ressourcen für seine Arbeit. Sofern ein externer Dienstleister Aufgaben übernimmt, sollte der Umfang vertraglich geregelt sein, um aufwendige Abstimmungen zu vermeiden und Missverständnissen vorzubeugen. Bei der Entwicklung und Überprüfung von Sicherheitskonzepten ist darauf zu achten, dass eine ausreichende Objektivität gewahrt wird.
Es muss vermieden werden, dass derjenige, der das Sicherheitskonzept entwickelt und
umgesetzt hat, nicht auch die internen Audits vornimmt. Die folgenden Tabellen geben
einen Überblick über die Vor- und Nachteile der einzelnen Optionen.

Externe Lösung

Die Rolle des Informationssicherheitsbeauftragten wird durch einen externen Dienstleister
wahrgenommen. Dieses Modell ist vom externen Datenschutzbeauftragten bekannt.

 

Vorteile

  • Agiert unabhängig von internen Interessenkonflikten
  • Ist spezialisiert und verfügt über entsprechendes Know-how und Praxiserfahrung
  • Kann sich als unabhängiger Dritter besseres Gehör verschaffen.

Interne Lösung

Die Rolle des Informationssicherheitsbeauftragten wird vollständig von einer im Unternehmen
beschäftigten Person übernommen. Diese Person bearbeitet selbständig das
gesamte Spektrum der beschriebenen Aufgaben.

 

Nachteile

  • Kann sich aufgrund seiner hierarchischen Stellung im Unternehmen nicht durchsetzen
  • Kann sich nicht kontinuierlich fokussieren, falls er auch mit anderen Aufgaben betraut ist
  • Hat Interessenkonflikte im Zusammenhang mit anderen Aufgaben
  • Muss Kompetenzen aufbauen und kontinuierlich pflegen

Interner verantwortlicher ISB mit externen Beratungs-Support

Der interne verantwortliche ISB übernimmt die Aufgaben des Informationssicherheitsbeauftragten, wie oben beschrieben. Sofern er bei spezifischen Aufgabenstellungen weitere Expertise benötigt, wird er je nach Bedarf durch einen externen Berater der DPO unterstützt, um die Vorteile der beiden o.g. Lösungen zu vereinen.

Vorteile

Der interne Verantwortliche:

  • Kennt das Unternehmen, die Tätigkeiten und die aktuelle Entwicklung
  • Ist immer vor Ort erreichbar
  • Kann Kollegen Weisungen erteilen

Eine externe Unterstützung:

  • Kann das Durchsetzungsvermögen erhöhen
  • Kann helfen, tiefgreifendes Know-how und Praxiserfahrung aufzubauen