Externer Informationssicherheitsbeauftragter (ISB)

In vielen, insbesondere mittelständischen Unternehmen wird für den Datenschutz ein Spezialist beauftragt, der externe Datenschutzbeauftragte (DSB), der sich mit hoher Fachkenntnis um die Belange des Datenschutzes kümmert. Das Thema Informationssicherheit, obwohl genauso wichtig, wird jedoch zu oft einfach einem Mitarbeiter aus der IT zugewiesen. In Zeiten von täglichen IT-Sicherheitsvorfällen, hohen Schäden durch Hacker und Ransomware ist dieses Vorgehen nicht mehr zeitgemäß.

Viele Unternehmen verlangen im Rahmen ihrer Lieferantenbewertungen verstärkt Auskünfte und Nachweise zur Informationssicherheit. Teilwese wird direkt ein Informationssicherheitsmanagementsystem (ISMS), idealerweise zertifizierbar nach ISO 27001, TISAX oder VdS 10000, gefordert. Insbesondere müssen viele Unternehmen sicherstellen, dass kritische Lieferanten nicht durch einen Angriff ausfallen und sie selbst dann nicht mehr lieferfähig wären. Auch von Cybersecurity-Versicherungen werden zur Übernahme hoher Schäden Nachweise zur Informationssicherheit bis hin zu vorliegenden Zertifizierungen verlangt und selbst Wirtschaftsprüfer müssen IT-Risiken, die den Fortbestand des Unternehmens gefährden können, berücksichtigen.

Ein externer Informationssicherheitsbeauftragter (ISB) kann Sie bei der Implementierung eines zertifizierbaren Informationssicherheitsmanagementsystems zielorientiert unterstützen.

Aufgaben des externen ISB

Im Rahmen der Tätigkeit als externer Informationssicherheitsbeauftragter übernehmen wir folgende Aufgaben:

  • Beratung der Geschäftsleitung bei der Auswahl eines geeigneten, für Ihr Unternehmen passenden Sicherheitsstandards unter Berücksichtigung Ihrer Anforderungen, z.B. ISO 27001, VdS 10000, etc.
  • Unterstützung der Geschäftsleitung bei der Erstellung der Informationssicherheitsleitlinie (Informationssicherheitspolitik) und Beratung in allen Fragen der Informationssicherheit
  • Erstellung von Informationssicherheitsrichtlinien sowie weiteren ggf. notwendigen Dokumenten
  • Kontrolle der Umsetzung der Richtlinien und Prüfung des tatsächlich erreichten Sicherheitsniveaus
  • Erstellung und Fortschreibung des Notfallkonzepts sowie Planung von Notfallübungen in Verbindung mit dem IT-Management
  • Sensibilisierung und Schulung Ihrer Mitarbeiter zu Fragen der IT-Sicherheit
  • Zentrale Ansprechstelle zu allen Belangen der Informationssicherheit, insbesondere im Projektmanagement, im Unternehmen und für Dritte
  • Unterstützung im IT-Risikomanagement sowohl im IT-Betrieb als auch in Projekten
  • Prüfung der umgesetzten IT-Sicherheit von Lieferanten und IT-Dienstleistern
  • Regelmäßige Berichte an die Geschäftsleitung über den Status der Informationssicherheit
  • Untersuchung von Informationssicherheits-Vorfällen und Berichterstattung an die Geschäftsleitung

Der ISB ist insbesondere nicht direkt in das IT-Management eingebunden und gegenüber dem IT-Betrieb nicht weisungsbefugt sondern nimmt lediglich eine beratende und prüfende Rolle ein. Die Einführung von IT-Sicherheitsrichtlinien im Unternehmen sowie die Umsetzung von Vorschlägen zur Verbesserung der Informationssicherheit erfolgt über die vorhandenen Leitungsebenen.

Einbindung in vorhandene Managementsysteme

Ein ISMS steht selten alleine, sondern wird üblicherweise in andere, oft bereits vorhandenen Managementsystemen integriert. Ist Ihr Unternehmen beispielsweise bereits nach ISO 9001 oder einem anderen vergleichbaren ISO-Standard zertifiziert, bietet es sich an, ein integriertes QMS/ISMS zu schaffen, da sich die Anforderungen der Managementsysteme z.B. bzgl. Verbesserungsprogramme oder interessierter Parteien überschneiden und Arbeiten nicht doppelt gemacht werden müssen.

Wir stimmen uns deshalb eng mit Ihrem Qualitätsbeauftragten oder den Verantwortlichen sonstiger vorhandener Managementsysteme ab und integrieren das ISMS in ihr vorhandenes System.

Das ISMS wächst mit

Niemand zwingt Sie, mit dem größten und umfangreichsten Standard zu starten. In vielen Unternehmen ist das erste Ziel, die Informationssicherheit zu verbessern und auf ein stabiles Fundament zu stellen. Dieses Fundament sind die Sicherheitsrichtlinien, aus denen sich dann die technischen IT-Sicherheitsmaßnahmen ableiten.

Falls Sie überhaupt noch keine IT-Sicherheitsrichtlinien haben, können wir gemeinsam klein anfangen:

  1. Mit einem Cyber-Sicherheits-Check prüfen wir die tatsächlich vorhandene Informationssicherheit sowie existierende Regelungen in Ihrem Unternehmen
  2. Existieren noch keine Regelungen, führen wir ein Informationssicherheitsmanagement nach VdS 10000 ein, einem leichtgewichtigen Standard, der jedoch gut erweiterbar ist. Sie können natürlich selbst entscheiden, ob Sie Ihr ISMS zertifizieren lassen möchten oder nicht.
  3. Kommen externe Anforderungen hinzu, weil z.B. Ihre Kunden konkret eine ISO 27001 Zertifizierung fordern, erweitern wir das VdS 10000 ISMS zu einem vollwertigen ISO 27001 ISMS mit zusätzlichen Richtlinien und Maßnahmen. Die bisher erstellten Richtlinien sind dabei nicht verloren, sondern können vollständig übernommen werden. Selbstverständlich begleiten wir Sie auch durch die ISO 27001 Zertifizierung.
  4. Falls notwendig oder gewünscht, können wir Sie auf weitere branchenspezifische Audits, z.B. TISAX für Automotive oder eine Prüfung nach BSIG § 8a für KRITIS-Unternehmen vorbereiten.

Selbstverständlich verfügen alle eingesetzten Mitarbeiter über notwendige und sinnvolle Zertifizierungen z.B. als anerkannter VdS 10000 Berater, ISO 27001 Lead Auditor oder mit der erweiterten Prüfkompetenz nach BSIG § 8a.

Unsere Leistung

Wir stellen Ihrem Unternehmen den externen Informationssicherheitsbeauftragten (ISB), beraten Sie in allen Belangen der Informationssicherheit und führen in Ihrem Unternehmen ein zertifizierbares Informationssicherheitsmanagementsystem (ISMS) ein.