Externer Informationssicherheitsbeauftragter

Home Leistungen Datenschutz & Informations­sicherheit Externer Informationssicherheitsbeauftragter

Externer Informationssicherheitsbeauftragter: Zuständigkeiten & Aufgaben

Ein Informationssicherheitsbeauftragter (ISB) ist für alle Fragen rund um die Informationssicherheit in der Institution zuständig. Zu seinen Aufgaben gehört es,

  • den Sicherheitsprozess zu steuern und zu koordinieren,
  • die Leitung bei der Erstellung der Sicherheitsleitlinie zu unterstützen,
  • die Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien zu koordinieren,
  • Realisierungspläne für Sicherheitsmaßnahmen anzufertigen sowie ihre Umsetzung zu initiieren und zu überprüfen,
  • der Leitungsebene und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit zu berichten,
  • sicherheitsrelevante Projekte zu koordinieren,
  • sicherheitsrelevante Vorfälle zu untersuchen sowie
  • Sensibilisierungen und Schulungen zur Informationssicherheit zu initiieren und zu koordinieren.

Welche Anforderungen muss ein Informationssicherheitsbeauftragter erfüllen?

Ein Informationssicherheitsbeauftragter sollte Erfahrung und Wissen sowohl auf den Gebieten der Informationssicherheit als auch der IT besitzen. Darüber hinaus sollte er die Geschäftsprozesse der Institution kennen.

Zur Wahrung der Unabhängigkeit sollte der ISB zudem direkt der obersten Leitung zugeordnet sein. Eine Integration in die IT-Abteilung kann zu Rollenkonflikten führen, da der ISB seine Verpflichtung zur Kontrolle der Sicherheitsmaßnahmen nicht frei von Beeinflussung wahrnehmen kann. Auch eine Personalunion mit dem Datenschutzbeauftragten ist nicht unkritisch. Sollte dies der Fall sein, müssen die Schnittstellen dieser beiden Aufgaben klar definiert werden, um Rollenkonflikte zu vermeiden.

Ein Informationssicherheitsbeauftragter benötigt darüber hinaus ausreichend Ressourcen und Zeit für erforderliche Fortbildungen. Es muss einen direkten Berichtsweg zur Leitung geben, um in Konfliktfällen schnell entscheiden zu können.

Je nach Größe des Unternehmens oder der Behörde kann es auch weitere ISB etwa für verschiedene Bereiche, Standorte oder auch große Projektvorhaben der Institution geben.

Informationssicherheits-Audit durch den ISB

Wie ein Informationssicherheitsaudit ablaufen kann, haben wir für Sie beispielhaft anhand des Ablaufs des TISAX®*-Assessment skizziert:

Vor jeder Buchung eines Leistungspakets ist eine einmalige IST-Aufnahme vor Ort notwendig. 

Informationssicherheitspakete

Mit dem Basispaket MA 25 erhalten Sie für Ihr Unternehmen folgende Leistungen:

Bestellung und Verfügbarkeit des externen Informationssicherheitsbeauftragten
Beratungsleistungen (Jourfix) - DOS als Ansprechpartner für Sie, Ihre interessierten Parteien sowie die Aufsichtsbehörde
Bereitstellung von Grunddokumentationen
Durchführung von Unterweisung
Risikomanagement
Webseitenprüfung auf Datenschutzkonformität
Bestellung und Verfügbarkeit des externen Informationssicherheitsbeauftragten

monatlich 499,00 €

Jährliches internes Audit: Es wird jährlich ein Audit in Ihrem Unternehmen durchgeführt. Dabei wird der Stand Ihrer Informationssicherheit geprüft, der Ist-Zustand dem Soll-Zustand der Normen gegenübergestellt und dokumentiert. Abschließend erhalten Sie einen Auditbericht.

jährlich 2.000,00 €

Zusätzlich zum Basispaket MA 25 können Sie aus drei verschiedenen Paketen wählen. Die Pakete Bronze, Silber und Gold beinhalten zusätzliche Stundenkontingente pro Jahr für folgende Zusatzleistungen:

Beratung und Weiterentwicklung der internen Informationssicherheit resultierend aus den Audits
Dokumenten-Vorlagen sowie Verzeichnisse und Arbeitsanweisungen für Ihre Mitarbeiter
Prüfung von Verträgen von Kunden und Lieferanten
Betreuung und Begleitung von externen Audits
Bewertung von Sicherheitsvorfällen

Bronze: Sie erhalten das Basispaket MA 25 Bronze mit einem zusätzlichen Stundenkontingent von 5 Stunden

monatlich 599,00 €

Silber: Sie erhalten das Basispaket MA 25 Silber mit einem zusätzlichen Stundenkontingent von 10 Stunden

monatlich 699,00 €

Gold: Sie erhalten das Basispaket MA 25 Gold mit einem zusätzlichen Stundenkontingent von 20 Stunden

monatlich 849,00 €

Die Zusatzleistungen werden aus dem Stundenkontigent (Bronze, Silber, Gold) erbracht. Sollte dieses Stundenkontigent verbraucht sein, werden die Zusatzleistungen nach Aufwand gesondert in Rechnung gestellt. Die Stundenkontigente für Zusatzleistungen gelten für 12 Monate und können nicht in ein neues Abrechnungsjahr überführt werden.
Mit dem Basispaket MA 99 erhalten Sie für Ihr Unternehmen folgende Leistungen:

Bestellung und Verfügbarkeit des externen Informationssicherheitsbeauftragten
Beratungsleistungen (Jourfix) - DOS als Ansprechpartner für Sie, Ihre interessierten Parteien sowie die Aufsichtsbehörde
Bereitstellung von Grunddokumentationen
Durchführung von Unterweisung
Risikomanagement
Webseitenprüfung auf Datenschutzkonformität
Bestellung und Verfügbarkeit des externen Informationssicherheitsbeauftragten

monatlich 999,00 €

Jährliches internes Audit: Es wird jährlich ein Audit in Ihrem Unternehmen durchgeführt. Dabei wird der Stand Ihrer Informationssicherheit geprüft, der Ist-Zustand dem Soll-Zustand der Normen gegenübergestellt und dokumentiert. Abschließend erhalten Sie einen Auditbericht.

jährlich 3.000,00 €

Zusätzlich zum Basispaket MA 99 können Sie aus drei verschiedenen Paketen wählen. Die Pakete Bronze, Silber und Gold beinhalten zusätzliche Stundenkontingente pro Jahr für folgende Zusatzleistungen:

Beratung und Weiterentwicklung der internen Informationssicherheit resultierend aus den Audits
Dokumenten-Vorlagen sowie Verzeichnisse und Arbeitsanweisungen für Ihre Mitarbeiter
Prüfung von Verträgen von Kunden und Lieferanten
Betreuung und Begleitung von externen Audits
Bewertung von Sicherheitsvorfällen

Bronze: Sie erhalten das Basispaket MA 99 Bronze mit einem zusätzlichen Stundenkontingent von 5 Stunden

monatlich 1.049,00 €

Silber: Sie erhalten das Basispaket MA 99 Silber mit einem zusätzlichen Stundenkontingent von 10 Stunden

monatlich 1.099,00 €

Gold: Sie erhalten das Basispaket MA 99 Gold mit einem zusätzlichen Stundenkontingent von 20 Stunden

monatlich 1.299,00 €

Die Zusatzleistungen werden aus dem Stundenkontigent (Bronze, Silber, Gold) erbracht. Sollte dieses Stundenkontigent verbraucht sein, werden die Zusatzleistungen nach Aufwand gesondert in Rechnung gestellt. Die Stundenkontigente für Zusatzleistungen gelten für 12 Monate und können nicht in ein neues Abrechnungsjahr überführt werden.
Mit dem Basispaket MA 249 erhalten Sie für Ihr Unternehmen folgende Leistungen:

Bestellung und Verfügbarkeit des externen Informationssicherheitsbeauftragten
Beratungsleistungen (Jourfix) - DOS als Ansprechpartner für Sie, Ihre interessierten Parteien sowie die Aufsichtsbehörde
Bereitstellung von Grunddokumentationen
Durchführung von Unterweisung
Risikomanagement
Webseitenprüfung auf Datenschutzkonformität
Bestellung und Verfügbarkeit des externen Informationssicherheitsbeauftragten

monatlich 1.499,00 €

Jährliches internes Audit: Es wird jährlich ein Audit in Ihrem Unternehmen durchgeführt. Dabei wird der Stand Ihrer Informationssicherheit geprüft, der Ist-Zustand dem Soll-Zustand der Normen gegenübergestellt und dokumentiert. Abschließend erhalten Sie einen Auditbericht.

jährlich 6.000,00 €

Zusätzlich zum Basispaket MA 249 können Sie aus drei verschiedenen Paketen wählen. Die Pakete Bronze, Silber und Gold beinhalten zusätzliche Stundenkontingente pro Jahr für folgende Zusatzleistungen:

Beratung und Weiterentwicklung der internen Informationssicherheit resultierend aus den Audits
Dokumenten-Vorlagen sowie Verzeichnisse und Arbeitsanweisungen für Ihre Mitarbeiter
Prüfung von Verträgen von Kunden und Lieferanten
Betreuung und Begleitung von externen Audits
Bewertung von Sicherheitsvorfällen

Bronze: Sie erhalten das Basispaket MA 249 Bronze mit einem zusätzlichen Stundenkontingent von 5 Stunden

monatlich 1.549,00 €

Silber: Sie erhalten das Basispaket MA 249 Silber mit einem zusätzlichen Stundenkontingent von 10 Stunden

monatlich 1.649,00 €

Gold: Sie erhalten das Basispaket MA 249 Gold mit einem zusätzlichen Stundenkontingent von 20 Stunden

monatlich 1.799,00 €

Die Zusatzleistungen werden aus dem Stundenkontigent (Bronze, Silber, Gold) erbracht. Sollte dieses Stundenkontigent verbraucht sein, werden die Zusatzleistungen nach Aufwand gesondert in Rechnung gestellt. Die Stundenkontigente für Zusatzleistungen gelten für 12 Monate und können nicht in ein neues Abrechnungsjahr überführt werden.
Für alle Basispakete und Zusatzleistungen ab einer Mitarbeiteranzahl von 250 Personen erstellen wir Ihnen ein individuelles Angebot. Unsere Informationssicherheitsexperten freuen sich über Ihre Anfrage.

Geschäftsfeld
Für Unternehmen gibt es keine gesetzliche Verpflichtung zur Bestellung eines Informationssicherheitsbeauftragten. Ausschließlich KRITIS-Unternehmen, d.h. Unternehmen wie Krankenhäuser, da sie zu einer Branche gehören, die zur kritischen Infrastruktur zählen, sind gesetzlich in der Pflicht einen Informationssicherheitsbeauftragten zu stellen.
Warum sollten andere Unternehmen dennoch freiwillig einen Informationssicherheitsbeauftragten stellen?
Die Bestellung eines Informationssicherheitsbeauftragten ist für bestimmte Branchen die Grundlage einer jeden Zusammenarbeit. Besonders relevant ist dies für Zulieferer oder Partner, die mit großen Unternehmen kooperieren, die zur technischen Branche gehören. Diese müssen häufig in regelmäßigen Abständen nachweisen, dass sie sowohl ein ISMS und als auch einen ISB besitzen. Die Nachweise können bspw. In Form von bestandenen Audits erfolgen. Hintergrund ist, dass die Auftraggeber nur so gewährleisten können, dass Sie als Zulieferer die Daten ausreichend geschützt haben.
Nachteile eines internen Informationsschutzbeauftragten (ISB)
  • Innerhalb des Betriebes ist es oftmals schwierig, eine geeignete qualifizierte Person zu finden. Für eine Ausbildung zum ISB bestehen zudem hohe Anforderungen an den Kandidaten (z.B. umfassendes Fachwissen, mehrjährige Berufserfahrung)
  • Der Arbeitsaufwand und die Kosten für interne ISB sind meist schwer kalkulierbar
  • Mögliche Interessenkonflikte zwischen Geschäftsführung oder IT-Leitung
  • Mangelnde Expertise des internen ISB können zu suboptimalen Lösungen führen
Vorteile eines externen Informationsschutzbeauftragten (ISB)
  • Der externe ISB hat den Überblick über eine marktübliche Umsetzung
  • Umfassendes Know-how ist sofort verfügbar
  • Leistungen sind nach Bedarf abrufbar, wodurch Kosten gespart werden können
  • Externe ISB bekommen meist schnellere qualifizierte Antworten, da weder Konkurrenzverhältnis noch Interessenkonflikte bestehen und dem „Beauftragten der Geschäftsführung“ schnell weitergeholfen wird
  • Ein externer ISB stößt oft auf eine bessere Akzeptanz beim Betriebsrat

Für weiterführende Informationen können Sie gerne einen Experten-Rückruf anfordern.

Ansprechpartner:

Michael Will
Abteilungsleiter
Projekt- & Qualitäts-Management
Standort Wolfsburg

Michael Will, Abteilungsleiter Projekt- & Qualitätsmanagement – DOS Software-Systeme GmbH

Tel.: +49 5361 – 89 65 65 0
Fax: +49 5361 – 89 65 65 12
Mobil: +49 151 – 25 34 32 97
michael.will(at)dos-online.de

Weitere Informationen zur Anmeldung des TISAX®*-Assessment finden Sie hier: https://www.enx.com/de-DE/TISAX/ Wir weisen darauf hin, dass die DOS Software-Systeme GmbH keine TISAX®*-Assessments durchführt sowie keine TISAX®*-Labels ausstellt. Die angebotenen Dienstleistungen dienen der Vorbereitung und Informationsgabe zum Thema TISAX®*. *TISAX® ist eine eingetragene Marke der ENX Association. Die DOS Software-Systeme GmbH steht in keiner geschäftlichen Beziehung zu ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.