Externer Informationssicherheitsbeauftragter (ISB)

Die Bestellung eines externen Informationssicherheitsbeauftragten kann viele Vorteile mit sich bringen. In der Regel wird für diese Aufgabe ein umfangreiches technisches und organisatorisches Wissen benötigt. Interne Dienstleister können dies häufig nicht leisten, da sie nur die Prozesse des eigenen Unternehmens kennen.

Warum sollte man einen Informationssicherheitsbeauftragten bestellen?

Die Norm ISO 27001 enthält, ebenso wie beispielsweise die QM Norm ISO 9001, keine explizite Forderung nach der Position „Informationssicherheitsbeauftragter“. Unternehmen, die ein Managementsystem zur Informationssicherheit eingeführt haben oder dies beabsichtigen, sollten dennoch die Benennung eines Beauftragten in Betracht ziehen. Die Betreuung, Kontrolle und Weiterentwicklung eines ISMS ist nämlich mit zahlreichen Aufgaben und entsprechendem Aufwand verbunden.  Die Umsetzung der Aufgaben und Verantwortlichkeiten kann dabei am besten durch eine definierte Position – einem ISB – gewährleistet werden.

Zuständigkeiten und Aufgaben

Ein Informationssicherheitsbeauftragter ist für alle Fragen rund um die Informationssicherheit in der Institution zuständig. Seine Aufgaben sind komplex. Zu Ihnen gehören:

  • Die Steuerung und Koordination des Sicherheitsprozesses
  • Die Beratung der Geschäftsleitung bei der Erstellung der Sicherheitsleitlinie
  • Die Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien
  • Betreuung sowie Weiterentwicklung des ISMS
  • Planen und Umsetzen eines Risikomanagements im Bereich der Informationssicherheit
  • Leistung des ISMS überwachen, messen, analysieren und bewerten
  • Dokumentenmanagement durchführen
  • Interne Audits durchführen
  • Die Erstellung von Realisierungsplänen für umzusetzende Sicherheitsmaßnahmen sowie die Einleitung und Überwachung der Umsetzungen 
  • Die Unterrichtung der Geschäftsleitung  und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit 
  • Die Koordination von sicherheitsrelevanten Projekten
  • Die Untersuchung von sicherheitsrelevante Vorfällen
  • Die Sensibilisierungen und Schulungen der Mitarbeiter

Welche Stellung sollte er innerhalb eines Unternehmens haben?

Zur Wahrung der Unabhängigkeit sollte der ISB direkt der Geschäftsleitung als Stabsstelle zugeordnet sein. Durch den direkten Weg können Konflikte und Vorfälle schnell bearbeitet werden. Eine Integration in die IT-Abteilung kann zu Rollenkonflikten führen, da der ISB seine Verpflichtung zur Kontrolle der Sicherheitsmaßnahmen nicht frei von Beeinflussung wahrnehmen kann. Auch eine Personalunion mit dem Datenschutzbeauftragten ist nicht unkritisch. Sollte dies der Fall sein, müssen die Schnittstellen dieser beiden Aufgaben klar definiert werden, um Rollenkonflikte zu vermeiden.

Welche Qualifikationen sollte ein Informationssicherheitsbeauftragten haben?

Durch das breit gefächerte Aufgabenspektrum des Informationssicherheitsbeauftragten sind neben den rein fachlichen Qualifikationen auch persönliche Kompetenzen gefragt, um das System normkonform zur ISO 27001 zu betreuen und weiterzuentwickeln. Zur Betreuung des Systems für Informationssicherheit agiert der Beauftragte als Schnittstelle und Moderator permanent zwischen den fachlichen Abteilungen, dem Management und der Geschäftsleitung. Kommunikationsfähigkeit und soziale Kompetenz sind demnach sehr wichtig, um die Aufgaben als Informationssicherheitsbeauftragter ISB zu erfüllen. Ebenso muss er teamfähig sein und über Durchsetzungsvermögen verfügen. Zudem ist er auch gegenüber der externen Zertifizierungsstelle im Rahmen der Zertifizierungsaudits der Ansprechpartner. Ebenso sind Führungskompetenzen, z.B. zum Führen des ISMS-Teams sehr hilfreich für die Tätigkeit.

Des Weiteren sollte ein Informationssicherheitsbeauftragten, der ein ISMS entwickelt, implementiert und überwacht eine Zertifizierung nachweisen können.

Ihre Vorteile eines externen Informationssicherheitsbeauftragten

  • Planbare Kosten durch festgelegte Preise
  • Keine Kosten für Weiterbildung und Einarbeitung
  • Verbesserte Haftung
  • Bessere Erkennung von Unstimmigkeiten durch eine externe und neutrale Position
  • Keine Interessenkonflikte
  • Effizientes Arbeiten durch Erfahrung

Unsere Berater sind "PECB Certified ISO/IEC 27001 Lead Implementer" und verfügen damit nachweislich über das notwendige Know-How für die Implementierung und das Management von Informationssicherheits-Managementsystemen (ISMS).

Gerne informieren wir Sie kostenfrei

06831 - 122 411
info@sicon-it.de

Nach oben scrollen
error: Der Inhalt ist geschützt