Bild_Firma+Logo

Informationssicherheit
und    Lichtvolle Arbeit

die Werte
von morgen heute
fokussiert schützen

Leistungen Informationssicherheit:

Externer Informationssicherheits-Beauftragter (eISB):

Motivation:

Geschäftsprozesse werden heutzutage typischerweise realisiert auf IT-Anwendungen, die auf IT-Systemen laufen, IT-Ressourcen nutzen und über Netzwerke verbunden sind. Hierbei werden Informationen bzw. Daten verarbeitet. Diese haben in der Regel einen Schutzbedarf. Können beispielsweise Unberechtigte diese einsehen oder werden sie unberechtigt verändert oder sogar gelöscht, so können Schäden entstehen. Dasselbe gilt für andere Werte wie die eingesetzten Anwendungen, Systeme und Ressourcen. Dieser Bedeutung wird in besonderen Bereichen auch gesetzlich Rechnung getragen, konkret u.a. durch den Schutz Kritischer Infrastrukturen durch das IT-Sicherheitsgesetz. Zur Realisierung und Aufrechterhaltung eines angemessenen Sicherheitsniveaus zuständig bzw. verantwortlich ist die Geschäftsführung bzw. der Vorstand und insbesondere sog. Informationssicherheits-Beauftragte mit besonderer Fachkunde kümmern sich darum. Informationssicherheit hat jedoch mehrere Motivatoren und positive nutzbringende Effekte:

  • Schutz:
    von Informationen, Diensten, Systemen, usw.
    damit Vermeidung von Schäden für das Unternehmen, den Verein, Personen

  • Rechtskonformität:
    durch Berücksichtigung gesetzlicher Vorgaben wie IT-Sicherheitsgesetz
    oder DS-GVO, damit Vermeidung von Abmahnungen oder Bußgeldern

  • Kostenreduktion:
    durch benutzerfreundliche und effiziente Prozesse,
    Standardisierung von Abläufen, Anwendungen, Systemen, usw.

  • Wertschöpfung:
    durch Einrichtung neuer Abläufe zum Gewinn der Firma,
    z.B. IT-basierter Produkt-Schutz oder IT-basierte Geschäfte

Kompetenz:

Informationssicherheit ist ein sehr anspruchsvolles Themengebiet der IT. Die Aufgaben der Informationssicherheit gehen sowohl in die „Breite“ (z.B. eine Multi-Tier-Anwen-dung) wie in die „Tiefe“ (z.B. virtualisiertes System), von organisatorischen Aufgaben-stellungen (z.B. Berechtigungsprozesse) über komplexe technische Gesamt-betrachtungen (z.B. Systemdesign) bis hin zu technischen Details (z.B. detailierte Systemabsicherung) und betreffen IT und Non-IT. Da die Sicherheit nur so gut ist wie das schwächste Glied, ist das Beherrschen eines übergreifenden Ansatzes, ein geeignetes Sicherheitsmanagement von Bedeutung.

Der Informationssicherheits-Beauftragte sollte eine Begeisterung für die Informa-tionssicherheit aufweisen und sich mit den zugehörigen Zielsetzungen identifizieren können; zudem ein gutes Wissen, Methodenkompetenz und Erfahrung in den Gebieten Informationssicherheit und IT besitzen; darüberhinaus, ob der oftmals sehr sensiblen Thematik geringer Umsetzungsbegeisterung oder existierender Sicherheitslücken oder gar aufgetretener Sicherheitsvorfällen, benötigt er kommunikatives und argumen-tatives Geschick sowie Kooperations- und Teamfähigkeit, jedoch auch Durch-setzungsvermögen, sofern erwünscht oder nötig; zudem sollte er eine schnelle Auffassungsgabe haben und die Fähigkeit besitzen, gut abstrahieren und Gesamt-übersichten oder Querbezüge herstellen zu können.

Da der Schutz personenbezogener Daten, der Datenschutz, letztlich über Informations-sicherheit realisiert wird, läßt sich die Tätigkeit des Informationssicherheits-Beauftragten (ISB) auch gewinnbringend mit der des Datenschutz-Beauftragten (DSB) kombinieren.

Aufgaben:

Der Informationssicherheits-Beauftragte hat sich schwerpunktmäßig um die Defintion, Realisierung und Aufrechterhaltung eines angemessenen Sicherheitsniveaus zu kümmern. Dazu kann er folgende Aufgaben erfüllen:

  • Beratung und Unterstützung
    des Verantwortlichen und der Mitarbeiter zur Herstellung einer angemessenen Informationssicherheit, damit der Etablierung von Organisation, Prozessen, Richtlinien, Konzepten, Auditierungen und Dokumentationen zur Realisierung eines angemessenen Sicherheitsniveaus. Hierbei Sicherheits-relevante Aufgaben wie beispielsweise Durchführung von Schutzbedarfsfeststellungen, Bedrohungs- und Risikoanalysen, Erstellung von Sicherheitskonzepten, Leitlinien, Richtlinien, Regelungen, Notfallvorsorgekonzept usw. bis hin zu Aufbau und Pflege eines Informationssicherheits-Management-Systems. Konkrete Richtlinien können z.B. sein: Leitlinie Informationssicherheit, Richtlinie Informationssicherheits-Management, Richtlinie Passwörter bzw. Richtlinie Authentifikation, Richtlinie Berechtigungsmanagement bzw. Richtlinie Autorisierung oder gemeinsam Richtlinie Identitäts- und Zugriffsmanagement (Identity und Access Management), Richtlinie Zutritts- und Zugangskontrolle, Richtlinie Sichere IT-Nutzung, Richtlinie Sicherer IT-Betrieb, Richtlinie Sichere IT-Entwicklung, Richtlinie Sichere IT-Anwendungen und -Systeme, Richtlinie Sichere Datenspeicherung und Datensicherung, Richtlinie Sichere Kommunikation, Richtlinie Telearbeit (inklusive Mobilgeräte), Richtlinie Notfallvorsorge und -management, Richtlinie Mitarbeiter und Schulung, Richtlinie Kontrolle und Auditierung.

  • Steuerung und Koordination
    als "Treiber" / Motivator im Unternehmen, Verein, ... und gegebenfalls darüberhinaus betreffend externe Dienstleister im Rahmen der Analyse, Konzeption, Steuerung, Realisierung und Kontrolle von Informationssicherheit bzw. Informationssicherheits-Prozessen und/oder -Management oder -Projekte; dieser Aspekt ist oft sehr wichtig, da Informationssicherheit üblicherweise nicht die Kernaufgabe bzw. das gewinnbringende Geschäftsfeld im Unternehmen, Verein, ... ist und damit leicht aus dem Fokus gerät und zu wenig Aufmerksamkeit erhält

  • Ansprechpartner
    zentraler, für Geschäftsführung und Mitarbeiter zu allen Informationssicherheits-relevanten Vorgängen

  • Überwachung und Kontrolle
    der Einhaltung einer angemessenen Informationssicherheit inklusive dem Aufzeigen und Dokumentieren von Handlungsbedarfen an den Verantwortlichen

  • Risikorientierung
    bei der Erfüllung der Aufgaben durch geeignete Priorisierung

  • Schulung und Sensibilisierung
    und auch Motivation des Verantwortlichen und seiner Mitarbeiter zu Themen der Informationssicherheit z.B. mittels Seminare oder Übungen. Angemessene Fachkenntnisse der Mitarbeiter und andere Beteiligter sind zum Erreichen einer angemessenen Informationssicherheit sehr wichtig, da das jeweilige Bewußtsein, das Können, die Einstellung und das Verhalten von großer Bedeutung sind.

  • Unterstützung bei Sicherheitsverletzungen
    mit geeigneter Untersuchung, Behandlung, Ableitung von Verbesserungen und Dokumentation

  • Messung
    der Informationssicherheit bzw. des Sicherheitsniveaus bzw. der eingesetzen Maßnahmen auf Wirksamkeit und Effektivität, z.B. orientiert an Kennzahlen (wie detektierte Schadsoftware), Auswertung von Sicherheitsvorfällen, Durchführung von Übungen, Tests oder Audits.

Intern oder Extern:

Ein Informationssicherheits-Beauftragter kann intern besetzt werden durch einen Mitarbeiter (interner ISB) oder extern durch Beauftragung eines Dienstleisters (externer ISB), jeweils geeignete Kompetenz vorausgesetzt.
Intern kann dies auch als Teilzeit-Tätigkeit neben anderen Aufgaben erfolgen und sollte keine Person eingesetzt werden, die in einen Interessenkonflikt geraten könnte oder für die eine Gefahr der Selbstkontrolle besteht, damit beispielsweise nicht IT-Admini-stratoren.
Extern kann die Funktion eines Informationssicherheits-Beauftragten auf Grundlage eines Dienstleistungsvertrags ausgeübt werden, der mit einer natürlichen oder juristischen Person geschlossen wird, die nicht der Einrichtung des Verantwortlichen angehört. Der externe Informationssicherheits-Beauftragte kann dabei unabhängiger agieren, da er nicht in Firmen-interne Abläufe oder -Verpflichtungen eingebunden ist.

Vorteile Externer Informationssicherheits-Beauftragter:

  • Fokussierung
    eigene Mitarbeiter kümmern sich fokussiert und produktiv um die Kernaufgaben

  • Schnelle KnowHow-Gewinnung
    für das Unternehmen, den Verein, ..., denn Informationssicherheit und damit verbunden auch Datenschutz ist eine anspruchsvolle Aufgabe, für die technisches und organisatorisches, gegebenfalls auch rechtliches Fachwissen erforderlich ist; dies kann intern aufgebaut werden oder in der Regel schneller bzw. sofort extern beauftragt bzw. einbezogen werden

  • Gewinn durch übertragbares KnowHow
    da der externe Informationssicherheits-Beauftragte in mehreren Firmen aktiv ist, erhält er übergreifendes Wissen und Lösungsansätze und kann diese als Mehrwert weitergeben

  • Keine Konflikte mit internen Aufgaben
    da ein interner Informationssicherheits-Beauftragter möglicherweise Interessenskonflikte mit anderen Aufgaben oder Kollegen hat, der externe in der Regel nicht

  • 4-Augen-Prinzip
    als wichtige und bewährte Methode zur Qualitätssicherung, d.h. das Tun erfolgt durch interne Mitarbeiter oder externe Dienstleister, der externe Informationssicherheits-Beauftragte kontrolliert unabhängig vom Tun oder damit verbundenen Abhängigkeiten oder Restriktionen

  • Geringere Aufwände
    da externe Informationssicherheits-Beauftragte sich z.B. eigenständig fortbilden, der Firma entstehen keine Kosten durch Freistellung oder Fortbildung interner Mitarbeiter

  • Synergieeffekte zu Datenschutz
    als kostenreduzierende Win-Win-Kombination, denn entsprechendes KnowHow vorausgesetzt, kann der Informationssicherheits-Beauftragte auch Datenschutz mit abdecken, möglich als Kombination als externer Datenschutzbeauftragter (eDSB)

  • Versicherung
    durch eine Berufshaftpflichtversicherung.

Anmeldung zum Newsletter     Informationen zum Datenschutz     Impressum

Copyright © DresPleier GmbH. Alle Rechte vorbehalten. Irrtümer und Änderungen vorbehalten; Angebote der DresPleier GmbH sind stets freibleibend und unverbindlich und werden erst durch die schriftliche Bestätigung (auch per Mail) für die DresPleier GmbH verbindlich.