Informationssicherheitsbeauftragter (ISB)
Unterstützung bei der Umsetzung der Informationssicherheit im Unternehmen
Informationssicherheit ist wichtiger denn je. Zur Erreichung und Aufrechterhaltung eines angemessenen Schutzniveaus sind zahlreiche Aufgaben und Maßnahmen zu berücksichtigen. Wertvolle Unterstützung hierbei leistet der Informationssicherheitsbeauftragte (ISB). Ein Informationssicherheitsbeauftragter ist für eine Organisation sinnvoll, weil er den Schutz und die Instandhaltung der Sicherheit in einer Institution sicherstellt – und zwar von der Papierablage bis hin zu den IT-Systemen. Also überall, wo Informationen einer Organisation verarbeitet werden.
Grundsätzlich besteht keine gesetzliche Pflicht zur Bestellung eines Informationssicherheitsbeauftragten. Die Ausnahme bilden sogenannte KRITIS-Unternehmen (Unternehmen aus Branchen, die zur kritischen Infrastruktur zählen, wie z.B. Energieversorger oder Telekommunikationsanbieter). Es ist für die meisten Unternehmen gesetzlich nicht vorgeschrieben, einen IT-Sicherheitsbeauftragten Job zu besetzen. Anbieter von öffentlichen Telekommunikationsnetzen oder öffentlich zugänglichen Telekommunikationsdiensten sind jedoch dazu verpflichtet, einen solchen Mitarbeiter zu beschäftigen.
Auch die künftigen Anforderungen aus den NIS2-Regelungen erfordern Maßnahmen, die durch die Bestellung eines ISB auf mehreren Schultern verteilt werden kann.
Die Durchführung von Projekten im Umfeld der Informationssicherheit erfolgt nach dem T-O-R Prinzip: Technik (IT-Sicherheit), Organisation (Prozesse) und Recht. Somit ist eine umfassende Behandlung inklusive des Themas DSGVO, auch unter besonderen rechtlichen Bedingungen, gewährleistet.
Obwohl Entscheider die Gefahren kennen, sind Schäden durch Cyberangriffe und Datenpannen keine Seltenheit. Die Ursache ist zumeist eine Absicherung, die nicht auf Basis eines ganzheitlichen Konzepts, wie z.B. einem Information Security Management System (ISMS), erfolgt. Ohne solch ein Konzept drohen Lücken, die den IT-Systemen und Daten letztlich zum Verhängnis werden.
Die Lösung besteht darin, ein ISMS einzuführen und einen Informationssicherheitsbeauftragten (ISB) zu bestellen.
Was sind die Aufgaben des Informationssicherheitsbeauftragten?
Der Informationssicherheitsbeauftragte unterstützt den Verantwortlichen, dass Informationen der Organisation jederzeit angemessen geschützt sind und somit das angestrebte Niveau in der Informationssicherheit erreicht und aufrechterhalten wird.
Der Informationssicherheitsbeauftragte unterstützt den Verantwortlichen, dass Informationen der Organisation jederzeit angemessen geschützt sind und somit das angestrebte Niveau in der Informationssicherheit erreicht und aufrechterhalten wird.
Die konkreten Aufgaben des Informationssicherheitsbeauftragten (ISB) gliedern sich wie folgt:
- Bindeglied zwischen Geschäftsleitung, IT und Nutzern,
- Analyse vorhandener Informations-Sicherheitsmaßnahmen und ggf. Optimierung
- Unterstützung bei der Ermittlung und Definition der sicherheitsrelevanten Objekte, sowie der Bedrohung und Risiken,
- Unterstützung bei der Entwicklung von Sicherheitszielen,
- Unterstützung bei der Implementierung eines Informationssicherheitsmanagementsystems (ISMS),
- Unterstützung bei der Dokumentation der Informations-Sicherheitsmaßnahmen,
- Unterstützung bei der Erarbeitung von Verfahrensbeschreibungen und Richtlinien für den Umgang mit Informationssicherheit-relevanten Themen,
- Unterstützung bei der Sensibilisierung der Mitarbeiter*innen* hinsichtlich Informationssicherheit
Anforderungen an einen Informationssicherheitsbeautragten (ISB)
Die Bestellung eines Informationssicherheitsbeauftragten ist für mittelständische Unternehmen eine wichtige Maßnahme, um die Informationssicherheit zu gewährleisten. Hier sind einige wichtige Punkte, die bei der Bestellung zu beachten sind:
Qualifikationen und Fachkenntnisse:
- Die Person sollte über gründliche Fachkenntnisse im Bereich der Informationssicherheit verfügen.
- Es wird empfohlen, dass der Beauftragte Schulungen und Seminare besucht, die sich an Richtlinien zur IT-Sicherheit orientieren, wie z.B. der ISO 27001, VdS 10000 oder TISAX-Standard.
Verantwortlichkeiten:
- Steuern, Koordinieren und Prüfen der technischen und organisatorischen Maßnahmen, kontinuierliches Verbessern der Informationssicherheit, insbesondere Anpassen der Informationssicherheit an neue Bedrohungen, Änderungen im technischen und organisatorischen Umfeld und an neue gesetzliche und betriebliche Anforderungen
Soziale und unternehmerische Kompetenz:
- Neben Fachwissen ist auch soziale, Führungs- und unternehmerische Kompetenz notwendig, um die Aufgaben effektiv zu erfüllen.
Es ist wichtig, dass das Unternehmen die Rolle und die Verantwortlichkeiten des Informationssicherheitsbeauftragten klar definiert und sicherstellt, dass die ausgewählte Person die notwendigen Qualifikationen und Fähigkeiten besitzt, um die Informationssicherheit im Unternehmen zu stärken.
Ein externer Informationssicherheitsbeauftragter ist meistens die bessere Wahl
In Anbetracht dieser komplexen Voraussetzungen sowie dem Risiko, dass ein Mitarbeiter jederzeit den Arbeitgeber wechseln kann, ist der externe Informationssicherheitsbeauftragte eine reizvolle Alternative bzw. in zahlreichen Fällen sogar die effizientere und effektivere Lösung.
Es gelten dieselben Prinzipien und Vorteile wie beim externen Datenschutzbeauftragten. Der externe Spezialist für Informationssicherheit steht dem Unternehmen von Beginn an mit seinem umfassenden Know-how zur Verfügung. So lassen sich Problemstellungen unmittelbar angehen. Seine Berufserfahrung gewährleistet ein hohes Maß an Qualität und Sicherheit in der Ausführung.
Zudem lassen sich die Leistungen des externen ISB nach Bedarf abrufen, was oftmals einen erheblichen Kostenvorteil bedeutet. Darüber kann das Unternehmen seine Haftungsrisiken minimieren.
Der gemeinsame Weg mit unserer Tochterfirma Pohl Consulting Team GmbH
Erfahrungsgemäß ist aus zahlreichen Projekten und Mandaten als Informationssicherheitsbeauftragter ein mehrstufiger Prozess erforderlich. Dieser wird dokumentiert und beinhaltet folgende Schritte:
- Gap – Analyse / Workshop mit Berichterstellung.
- Umsetzung der Handlungsempfehlungen durch den Verantwortlichen oder unter Mithilfe der Pohl Consulting Team GmbH.
Bestellung zum Informationssicherheitsbeauftragten, wenn vom Verantwortlichen gewünscht. Die Pohl Consulting Team GmbH bietet Ihnen eine vollumfängliche und lückenlose Beratung und Stellung eines Informationssicherheitsbeauftragten.
Nehmen Sie Kontakt mit der Pohl Consulting Team GmbH auf:
Pohl Consulting Team GmbH, Mengeringhäuser Straße 15, 34454 Bad Arolsen,
Tel: +49 5691 8900-501, Website: www.pct.eu, E-Mail: itsicherheit@pct.eu
Entdecken Sie weitere interessante Artikel: