Was kostet ein (ext.) Informationssicherheitsbeauftragter?

Ein externer Informationssicherheitsbeauftragter kann bereits ab 125 € pro Monat bestellt werden – je nach Umfang und Komplexität der IT-Infrastruktur und Reifegrad des aktuellen ISMS.

ISB STARTER – all you need is one
125 € / Monat

Pauschalpreis für Ihren ext. ISB. Regeltermine, ISMS-Software, E-Learning (LMS), persönlicher Ansprechpartner –  und weitere Extras – inklusive.

Mehr Infos Flagge
Mehr anzeigen
Sie benötigen mehr?
Stellen Sie sich Ihr individuelles Angebot zusammen, wenn Sie ein größeres Unternehmen sind oder komplexere Anforderungen haben.
Pfeil
Pfeil
NIS2, ISO 27001, VdS 10000
Einsatzbereites ISMS, Audit-Editor, LMS in einer Pauschale. Fragen Sie ein unverbindliches Angebot an.

Service + SaaS = Service as a Software

Die normenkonforme Einführung und Aufrechterhaltung eines ISMS ist unerlässlich, um als vertrauenswürdiger Geschäftspartner akzeptiert zu werden und IT-Sicherheitszertifizierungen zu erlangen. Für die Umsetzung der notwendigen Maßnahmen ist ein Informationssicherheitsbeauftragter (ISB) verantwortlich. Für viele Unternehmen ist es vorteilhaft, diese Funktion extern zu besetzen. Nutzen Sie unseren externen ISB oder unsere ISMS Software für eine optimale Umsetzung der Informationssicherheit.

Bußgeldrisiko minimieren

Wir gewährleisten, dass sämtliche gesetzlichen Vorgaben eingehalten werden und verringern die Gefahr potenzieller Geldstrafen.

Immer up-to-date

Unser Experten-Team ist immer auf dem neusten Stand der gesetzlichen Vorgaben und hält die notwendigen Angaben stets aktuell.

Qualifizierte Fachleute

Unser Team von qualifizierten Beratern gewährleistet den gesetzeskonforme Umgang mit jeglichen Informationen und Aufgaben.

Persönlicher Kundenservice

Unsere Consultants stehen Ihnen bei jeglichen Fragen rund um das Thema Informationssicherheit zu jedem Zeitpunkt zur Verfügung.

Nicht sicher, welche Leistung zu Ihnen passt? Sprechen Sie mich an!

Sollten Sie umfangreichere Anforderungen haben und / oder spezifische Fragen klären wollen: Schicken Sie mir eine kurze Nachricht – ich nehme mir gerne die Zeit, um Ihre Anforderungen im Detail zu besprechen.

Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek,
CEO // TÜV-DSB // ISMS-Auditor

Stellen Sie sich JETZT Ihr maßgeschneidertes Angebot zusammen!

Die häufigste Frage zum eISB lautet: „Was kostet ein eISB in der Anfangsphase – und was im laufenden Betrieb?“ Und die häufigste Antwort darauf lautet: „Das kommt darauf an“. Wir wagen jedoch einen Schritt weiter zu gehen. Mit unserem eISB- und ISMS-Kostenkonfigurator erstellen Sie mit wenigen Klicks den gewünschten Leistungsumfang selbst – so einfach ist das!

ISMS Pricing Calculator

Angebot bedarfsgerecht anpassen

Informationssicherheitsportal*
Infosicherheits-Management mit Audit, Doku & Support
Anzahl Gesellschaften*
Zentrale ISMS-Steuerung für mehrere Gesellschaften
ISMS Bibliothek*
Vorlagen & Richtlinien für ISMS-Standards
Beratungsumfang*
Passgenaue ISMS-Beratung: Selbstständig oder mit Experten-Support
Benötigen Sie einen externen Informationssicherheitsbeauftragten?
Addons
Benötigen Sie auch eine Schulung oder einen externen Meldestellenbeauftragten?

Preis

ISMS Starter

ISMS-Mandant und Beratung
VDS 10000

ISMS-Mandant und Beratung
ISO 27001

ISMS-Mandant und Beratung
Andere Norm

ISMS-Mandant und Beratung

Auf Anfrage

Monatliche Kosten:
Einmalige Kosten:
€ / Monat

+ Einmalige Pauschalkosten €:

Nicht die passende Konfiguration gefunden?

Sie benötigen ein individuelleres Paket für größere Unternehmensstrukturen, internationalen Datenschutz oder Consent Management? Gerne nehmen wir uns die Zeit, um Ihre Anforderungen im Details zu besprechen.

Ihr neuer externer ISB – so geht's.

Ein externer Informationssicherheitsbeauftragter bedeutet, die Verantwortung für die Informationssicherheit an einen spezialisierten Dienstleister zu übertragen. Anstatt einen internen Mitarbeitenden mit dieser Aufgabe zu betrauen, wird ein unabhängiger, erfahrener Experte engagiert. Diese Lösung ist für viele Unternehmen eine flexible und kosteneffiziente Möglichkeit, ihre Informationssicherheit professionell zu managen.

Schritt 1: Angebotsphase

Telefon, E-Mail, Angebotskonfigurator – kontaktieren Sie uns. Innerhalb von 24 Stunden erhalten Sie Ihr Angebot für den externen Informationssicherheitsbeauftragten.

Der Vertrag ist unterzeichnet, die Zusammenarbeit beginnt! Schritt für Schritt erhalten Sie alle notwendigen Informationen, um beim Kick-off-Meeting alle (eventuell noch offenen) Fragen beantworten zu können. Sie lernen Ihren persönlichen Informationssicherheitsbeauftragten kennen, der Sie mit allen notwendigen Informationen versorgt. 

Im Rahmen des Erstgesprächs erhalten Sie von uns eine fachliche Einschätzung zum aktuellen Stand der umgesetzten Informationssicherheitsmaßnahmen. Im Anschluss wird das Informationssicherheitsmanagementsystem (ISMS) implementiert. Wir entwickeln maßgeschneiderte Handlungsempfehlungen für die einzelnen Aufgaben.

Sobald alle Aufgaben im Rahmen des ISMS erfolgreich umgesetzt sind, geht das Projekt in den Regelbetrieb über. In regelmäßigen Jour Fixes stehen wir Ihnen weiterhin zur Verfügung; bei relevanten Neuigkeiten melden wir uns proaktiv bei Ihnen. Und falls Sie Unterstützung benötigen, können Sie uns jederzeit direkt anrufen – persönlich, ohne Chatbot oder Warteschleife.

coco isb projekt grafik 1
Success Stories mit Cortina Consult

Wir haben viel gesehen: von schnell wachsenden Start-ups bis zu etablierten Strukturen in DAX-Konzernen – und uns verbindet die Leidenschaft, das beste aus beiden Welten in unseren Daternschutzprojekten zu vereinen.

Das ISMS der Cortina Consult

Vertrauen ist für Unternehmen unerlässlich und basiert auf sicheren Daten. Informationssicherheit muss fest in der Struktur eines Unternehmens verankert sein, um sowohl interne als auch externe Anforderungen zuverlässig zu erfüllen. Cortina Consult bietet Ihnen:

Informationssicherheitsmanagementsystem nach VdS-10000

ISMS-Normen

Das ISMS – das Herzstück Ihrer Informationssicherheitsstrategie

Meistern Sie die Anforderungen der Informationssicherheit mit unserem maßgeschneiderten Compliance-Hub inklusive Informationssicherheitsmanagementsystem, das perfekt auf Ihre Bedürfnisse abgestimmt ist. Mit unserer Plattform gewährleisten Sie einen lückenlosen und einfachen Schutz Ihrer Unternehmensdaten und erfüllen alle sicherheitsrelevanten Pflichten.

Was uns als Beratungsdienstleister auszeichnet

Unser Team ist authentisch, schnell und sehr vielfältig in Bezug auf Ausbildung und Skillset. Wir haben viel gesehen: von schnell wachsenden Start-ups bis zu international agierenden DAX-Konzernen – und uns verbindet die Leidenschaft, das Beste aus beiden Welten in unseren Daternschutzprojekten zu vereinen.

Unsere Zertifizierungen:
LOGO IRCA
Logo TÜV Nord
Logo TÜV Rheinland
schild
Keine versteckten Kosten

Verbindliche Projektbudgets & Pauschalpakete.

netwerk 2
Prozessoptimierung

Unser Team arbeitet effizient, zielgerichtet und agil.

hand
Full Service

Unsere Leistungen werden auf Ihre Anforderungen angepasst.

ausweis
Akkreditiert

TÜV-zertifizierte Datenschutzbeauftragte

Rechtssicherheit

Rechtssicherheit

Unsere Experten sind erfahren im Umgang mit den verschiedenen gesetzlichen Anforderungen im Zusammenhang mit Informationssicherheit. Wenn Sie unsere Produkte und Services in Anspruch nehmen, können Sie sich sicher sein, dass Ihre Organisation alle geltenden Gesetze und Vorschriften einhält.

Ressourcenschonend

Setzen Sie auf unsere Services und Produkte, um die Informationssicherheit in Ihrem Unternehmen effizient und kostengünstig umzusetzen. Mithilfe eines externen ISB erhalten Sie zusätzliches Fachwissen, ohne Mitarbeitende besonders umfangreich schulen zu müssen. Damit sparen Sie nicht nur Weiterbildungskosten sondern zusätzlich Zeit. Außerdem ermöglichen wir Ihnen so, sich auf Ihr Kerngeschäft fokussieren zu können. 

Effizienzsteigerung

Interner vs. externer ISB – Kosten vergleichen und bewerten

Interner Informationssicherheitsbeauftragter (ISB)

Die Aufgaben eines internen und eines externen Informationssicherheitsbeauftragten (ISB) sind grundsätzlich gleich. Ein wichtiger Unterschied liegt jedoch in den Kosten sowie den Faktoren Stellung, Akzeptanz und Haftung. Auf den ersten Blick scheint der interne ISB kostengünstiger zu sein, da er bereits vom Unternehmen entlohnt wird und keine zusätzlichen Gehaltskosten entstehen. Dieser Eindruck kann jedoch täuschen.

Nicht jeder Mitarbeiter eignet sich als interner ISB. Zum einen muss der ISB über die erforderlichen Qualifikationen verfügen, was mit erheblichen Kosten für die Ausbildung zum ISB verbunden ist. Es reicht nicht aus, nur einen Kurs oder ein Seminar zu besuchen – die Kenntnisse müssen kontinuierlich auf dem neuesten Stand gehalten werden. Zudem muss die zusätzliche Verantwortung des ISB mit den regulären Aufgaben des Mitarbeiters vereinbar sein.

Zusammengefasst: Interne ISBs verfügen in der Regel zu Beginn ihrer Tätigkeit noch nicht über die erforderliche Fachkunde im Bereich Informationssicherheit. Zudem kann es schwierig sein, die Bestellung eines internen ISB zu widerrufen, da ein besonderer Kündigungsschutz besteht.

Externer Informationssicherheitsbeauftragter (ISB)

Die Bestellung eines externen Informationssicherheitsbeauftragten (ISB) bringt anfängliche Kosten mit sich, die vertraglich festgelegt werden. Im Gegenzug erhält das Unternehmen ab dem ersten Tag einen voll ausgebildeten Experten, der sofort für die Einhaltung der Informationssicherheitsvorgaben sorgt und Risiken minimiert.

Verträge mit externen ISBs können flexibel gestaltet werden, oft in Form von Projekten oder maßgeschneiderten Leistungspaketen. Ein solches Paket könnte zum Beispiel regelmäßige Sicherheits-Audits oder Schulungen für Mitarbeiter umfassen. Üblicherweise werden monatliche Pauschalen für Routineaufgaben vereinbart. Ein externer ISB kann langfristig die kostengünstigere Wahl sein, da er keinen Kündigungsschutz hat.

Fazit: Interner vs. externer Informationssicherheitsbeauftragter

Die Entscheidung zwischen einem internen und einem externen ISB hängt von den individuellen Anforderungen und Ressourcen des Unternehmens ab. Ein interner ISB mag zunächst günstiger erscheinen, jedoch können die Kosten für Qualifikation und kontinuierliche Weiterbildung hoch sein. Ein externer ISB bietet ab dem ersten Tag umfassendes Fachwissen und Flexibilität, was langfristig eine kosteneffizientere Lösung sein kann. Unternehmen sollten daher sorgfältig abwägen, welche Option besser zu ihrer Situation passt.

coco eisb vergleich

Ab wann ist ein Informationssicherheitsbeauftragter Pflicht?

In Deutschland ist ein Informationssicherheitsbeauftragter (ISB) gemäß den Anforderungen des IT-Sicherheitsgesetzes (IT-SiG) erforderlich, wenn ein Unternehmen kritische Infrastrukturen betreibt oder die Anforderungen aus der NIS-Richtlinie (Network and Information Security) erfüllt. Das bedeutet, dass Unternehmen in bestimmten Sektoren, wie Energie, Wasser, Gesundheit und Verkehr, dazu verpflichtet sind, einen ISB zu benennen, um sicherzustellen, dass die Informationssicherheit den gesetzlichen Vorgaben entspricht.

Darüber hinaus kann es auch für Unternehmen ratsam sein, einen ISB zu benennen, um Risiken im Bereich der IT-Sicherheit professionell zu managen, insbesondere wenn sensible Daten verarbeitet werden oder gesetzliche Anforderungen an die Informationssicherheit gestellt werden.

Wer kann Informationssicherheitsbeauftragter sein?

Ein Informationssicherheitsbeauftragter (ISB) kann grundsätzlich eine interne oder externe Person sein. Wichtig ist, dass der ISB über die nötige Fachkompetenz im Bereich der Informationssicherheit verfügt und in der Lage ist, die Sicherheitsstrategie des Unternehmens effektiv umzusetzen.

Für Unternehmen, die einen ISB benennen müssen, aber keine internen Ressourcen für diese anspruchsvolle Aufgabe haben, ist ein externer ISB eine wertvolle Lösung.

Wechsel des Informationssicherheitsbeauftragten – was ist zu beachten?

Ein Wechsel des Informationssicherheitsbeauftragten (ISB) erfordert sorgfältige Planung und klare Kommunikation, um sicherzustellen, dass die Informationssicherheit im Unternehmen weiterhin reibungslos gewährleistet ist. Dabei sollten einige wichtige Aspekte beachtet werden:

  1. Rechtzeitige Übergabe: Der Wechsel sollte frühzeitig geplant und durchgeführt werden, um eine lückenlose Übergabe der Aufgaben zu gewährleisten. Dabei ist es wichtig, dass der scheidende ISB alle relevanten Informationen und Dokumentationen an den neuen ISB übergibt.

  2. Einarbeitung des neuen ISB: Der neue ISB sollte umfassend in die bestehenden Sicherheitsprozesse und -richtlinien eingearbeitet werden. Dies beinhaltet auch das Verständnis für die spezifischen Sicherheitsanforderungen des Unternehmens sowie für laufende Projekte und Herausforderungen im Bereich der Informationssicherheit.

  3. Kommunikation im Unternehmen: Der Wechsel sollte intern transparent kommuniziert werden. Alle relevanten Abteilungen und Mitarbeiter müssen darüber informiert werden, wer künftig die Verantwortung für die Informationssicherheit trägt. Das sorgt für Kontinuität und Klarheit.

  4. Prüfung der rechtlichen Anforderungen: Je nach Branche und Unternehmensgröße kann der Wechsel des ISB auch rechtliche Implikationen haben, insbesondere wenn der ISB eine Schlüsselrolle im Bereich der Compliance und gesetzlichen Vorgaben spielt. Daher sollte der Wechsel in Übereinstimmung mit allen relevanten rechtlichen Anforderungen vollzogen werden.

Ein gut organisierter Wechsel sorgt dafür, dass die Sicherheitsstrategie des Unternehmens nicht nur aufrechterhalten, sondern sogar weiter verbessert wird.

Wie viel kostet ein externer Informationssicherheitsbeauftragter?

Die Kosten für einen externen Informationssicherheitsbeauftragten beginnen bei 125€ pro Monat. Die genauen Kosten für die Dienstleistung hängen von verschiedenen Faktoren ab, wie:

  • Unternehmensgröße (Anzahl der Mitarbeitenden, Standorte, Tochtergesellschaften etc.)
  • Art der Norm (VdS 10000, ISO 27001 etc.)
  • Umfang der Beratung

Diese Faktoren beeinflussen den Aufwand und die Komplexität der erforderlichen Sicherheitsmaßnahmen und bestimmen somit den Preis.

Was passiert, wenn kein ISB benannt wird?

Wenn kein Informationssicherheitsbeauftragter (ISB) benannt wird, können Unternehmen ernsthafte Risiken eingehen. Ohne eine verantwortliche Person, die sich um die Informationssicherheit kümmert, fehlt oft eine klare Strategie und Struktur, um die Unternehmensdaten und IT-Systeme vor Bedrohungen zu schützen. Dies kann weitreichende Konsequenzen haben:

  • Rechtliche Konsequenzen: Besonders für Unternehmen, die kritische Infrastrukturen betreiben oder bestimmten regulatorischen Anforderungen unterliegen, kann das Fehlen eines ISB rechtliche Folgen haben. Es drohen Bußgelder oder andere Sanktionen, da viele gesetzliche Vorgaben eine klare Verantwortung für die Informationssicherheit vorschreiben.

  • Erhöhtes Risiko von Sicherheitsvorfällen: Ohne eine zentrale Anlaufstelle für Informationssicherheit besteht ein höheres Risiko, dass Sicherheitslücken unentdeckt bleiben. Dies kann zu Datenverlust, Cyberangriffen oder anderen Sicherheitsvorfällen führen, die nicht nur das Unternehmen finanziell belasten, sondern auch den Ruf erheblich schädigen können.

  • Fehlende Strategie und kontinuierliche Verbesserung: Ein ISB sorgt nicht nur für die Einhaltung von Sicherheitsstandards, sondern auch für die kontinuierliche Weiterentwicklung und Anpassung der Sicherheitsstrategie. Fehlt diese Rolle, wird es schwierig, den sich ständig ändernden Bedrohungen und neuen regulatorischen Anforderungen gerecht zu werden.

  • Mangelnde Schulung und Sensibilisierung der Mitarbeiter: Ein ISB hat auch die Aufgabe, die Mitarbeiter regelmäßig zu schulen und für das Thema Informationssicherheit zu sensibilisieren. Ohne einen ISB fehlt häufig diese strukturierte und nachhaltige Sicherheitskultur, was zu unsicheren Arbeitspraktiken führen kann.

Die Benennung eines ISB ist daher nicht nur eine rechtliche Verpflichtung in vielen Fällen, sondern auch eine wichtige Maßnahme, um das Unternehmen langfristig vor Gefahren im Bereich der Informationssicherheit zu schützen.

Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
IT-Sec-Auditor
Sie suchen einen externen ISB?

Starten Sie Ihre Implementierung eines ISMS mit Cortina Consult!

FAQ zum eISB und ISMS von Cortina Consult

ISMS-Normen

Besonders das Thema Informationssicherheit ist für viele Unternehmen Neuland. Die folgenden Fragen werden in Bezug darauf häufig gestellt. 

Die DIN 27076 ist nicht verpflichtend, gilt aber als anerkannter Standard für die Qualitätssicherung bei der Bestellung externer Beauftragter.

Die DIN SPEC 27076 unterstützt kleine und Kleinstunternehmen mit einer IT-Sicherheitsberatung, die auf ihre Bedürfnisse zugeschnitten ist. Entwickelt wurde sie unter Leitung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Der CyberRisikoCheck ermöglicht eine standardisierte Beratung durch IT-Dienstleister. Dabei werden 27 Anforderungen aus sechs Themenbereichen geprüft und Handlungsempfehlungen gegeben. Diese Richtlinien umfassen Risikobewertung, Sicherheitsrichtlinien, Organisation der Informationssicherheit, Asset Management, Zugriffskontrolle und Kommunikationsmanagement. Ziel ist es, die Informationssicherheit systematisch zu verbessern und Risiken zu minimieren.

VdS 10000 ist ein Leitfaden für kleine und mittlere Unternehmen (KMU) zur Informationssicherheit, der praktische Anforderungen und Maßnahmen beschreibt.

Er ist speziell auf KMU zugeschnitten, kostengünstig umzusetzen und bietet eine gute Basis für spätere ISO 27001-Zertifizierung. Beispiele sind die Einführung eines Passwortmanagement-Systems oder regelmäßige Schulungen für Mitarbeitende zu Phishing-Angriffen.

Die ISO 27001 Zertifizierung bietet zahlreiche Vorteile. Sie dient als Nachweis eines hohen Sicherheitsniveaus und schafft Vertrauen bei Kunden, insbesondere durch positive Referenzen von Unternehmen, die dank der Zertifizierung bedeutende Projekte gewinnen können. 

Sie ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS) und definiert Anforderungen für deren Einführung, Betrieb und Verbesserung.

Die NIS-Richtlinie, die auch unter dem Namen NIS 1 bekannt ist, markierte die Einführung der ersten Cybersecurity-Richtlinie durch die EU im Jahr 2016. 

Aufgrund der zunehmenden Bedrohung und der zunehmenden Sicherheitsanforderungen an die IT in Europa kam es zu ihrer Entstehung. Darüber hinaus enthält die Richtlinie verpflichtende Vorschriften zum Schutz der Systeme von sogenannten KRITIS-Unternehmen, also Unternehmen, die als „Betreiber kritischer Infrastrukturen“ agieren.

Die NIS-Richtlinie ist Teil der europäischen Cybersicherheitsstrategie und gilt heutzutage als eine der wichtigsten europäischen Rechtsvorschriften im Bereich der Cybersicherheit, um die Cyberresilienz in der EU zu stärken. KRITIS-Unternehmen müssen gemäß der Richtlinie bestimmte Mindeststandards erfüllen, um sicherzustellen, dass ihre Systeme und Netzwerke geschützt werden. 

In NIS 2 werden Bereiche als „wesentlich“ („Essential“) und „wichtig“ („Important“) eingestuft. Auf den ersten Blick ist nicht zu erkennen, für wen NIS 2 wirklich gilt. 

Die „wichtigen Einrichtungen“, die die Reichweite der kritischen Infrastruktur erweitern, werden erstmals in NIS2 vorgestellt. Deshalb sind auch Unternehmen wie digitale Marktplätze oder die Lebensmittelindustrie nun von der NIS2-Richtlinie betroffen. Die deutschen Gesetzgeber gehen davon aus, dass NIS rund 30.000 Unternehmen beeinflussen. Die „wichtigen Einrichtungen“ repräsentieren mehr als 20.000 Unternehmen.

Darüber hinaus wird mit der NIS 2 eine „size-cap“-Regel eingeführt, die besagt, dass Unternehmen, die mindestens mittelgroß sind und in die speziellen Sektoren fallen, jetzt unter die NIS 2 fallen. Dadurch ist die Anzahl der Unternehmen gestiegen, die die Richtlinie und die nationalen Vorschriften befolgt haben, die dieses und das nächste Jahr veröffentlicht wurden.

Der BSI IT-Grundschutz ist eine umfassende Methodik des Bundesamts für Sicherheit in der Informationstechnik zur Identifikation und Umsetzung von IT-Sicherheitsmaßnahmen, wie beispielsweise die regelmäßige Aktualisierung von Software, die Einführung von Netzwerksicherheitslösungen wie Firewalls oder die Schulung von Mitarbeitenden zu Cybersecurity-Bedrohungen.

Informationssicherheitsmanagement- system

Verwaltung sensibler Unternehmensdaten um Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gemäß der Normen (ISO 27001) zu gewährleisten.

Mit unserer Management-Software haben Sie folgende Vorteile:

  • Systematischer Schutz von Informationen, durch klare Zugriffskontrollen und Verschlüsselung von sensiblen Daten
  • Risikominimierung, durch proaktive Schwachstellenanalysen und regelmäßige Sicherheitsüberprüfungen
  • Erfüllung rechtlicher Anforderungen, wie die DSGVO-Compliance für Unternehmen, die personenbezogene Daten verarbeiten
  • Wettbewerbsvorteil durch das Vertrauen potenzieller Kunden in ein zertifiziertes Sicherheitsmanagement

Ein effektives ISMS muss flexibel genug sein, um sich dem fortlaufenden Wandel in den Sicherheitsanforderungen anzupassen. Diese Notwendigkeit ergibt sich aus der Erkenntnis, dass es nicht genügt, einmalig zu identifizieren, welche Werte des Unternehmens schutzbedürftig sind und anschließend Richtlinien, Prozesse sowie Schutzmaßnahmen festzulegen. Ein bewährter Ansatz zur fortwährenden Optimierung ist der PDCA-Zyklus (Plan-Do-Check-Act), der ursprünglich aus dem Qualitätsmanagement gemäß ISO 9001 stammt und auch als Deming-Rad bekannt ist.

Plan – Planung:
In der Planungsphase werden Ziele definiert, Anforderungen analysiert und eine Bestandsaufnahme der aktuellen Situation durchgeführt. Risiken für Informationssicherheit und Datenschutz werden bewertet, und notwendige Maßnahmen für den Zielzustand festgelegt. Diese fließen in einen detaillierten Umsetzungsplan ein.

Do – Umsetzung:
Die geplanten Maßnahmen werden umgesetzt, Verantwortlichkeiten festgelegt und kommuniziert. Schulungen für Mitarbeitende und die Dokumentation der Maßnahmen sind zentrale Bestandteile.

Check – Überprüfung:
Die Umsetzung wird regelmäßig geprüft, um die Wirksamkeit der Maßnahmen sicherzustellen und mögliche Anpassungen zu identifizieren.

Act – Instandhaltung:
Bei Bedarf werden Ziele, Richtlinien und Maßnahmen angepasst oder verbessert. Der Fokus liegt auf der kontinuierlichen Optimierung gemäß ISO-Norm.

Unser Dokumenten-Check liefert Ihnen eine belastbare Aussage zu allen im Unternehmen genutzten Betriebsvereinbarungen, Richtlinien und Dokumentationen, die Sie zur Schaffung von IT-Sicherheit sowie dem Nachweis der Datenschutzkonformität benötigen. Zum Beispiel:

  • Leitlinie zur Informationssicherheit
  • Anwenderhandbücher und „Starter Pakete“
  • Auftragsdatenverarbeitung für externe Dienstleister
  • Vertraulichkeitsvereinbarung/NDA
  • Sicherheitsrichtlinien
  • Notfallmeldungen

Der Check umfasst die organisatorische Aspekte zur Informationssicherheit auf Grundlage der VdS 10000. Berücksichtigt werden weiterhin die internen Vorgaben / Compliance sowie die Regelung des BDSG / DSGVO.

Um die Informationssicherheit effektiv zu gewährleisten, sind verschiedene Schulungen erforderlich. Awareness-Schulungen für Mitarbeiter sensibilisieren für potenzielle Sicherheitsrisiken und fördern sicheres Verhalten im Arbeitsalltag. Spezielle Schulungen für IT-Personal vertiefen technische Kenntnisse, um die Sicherheitsinfrastruktur zu schützen und aktuelle Bedrohungen zu erkennen.

Management-Schulungen vermitteln Führungskräften die Bedeutung von Sicherheitsrichtlinien und deren strategische Umsetzung. Darüber hinaus stellen Compliance-Schulungen sicher, dass alle gesetzlichen und regulatorischen Anforderungen eingehalten werden, was nicht nur den Schutz der Organisation, sondern auch deren rechtliche Integrität gewährleistet.

Informationssicherheitsbeauftragter

Entwicklung von Maßnahmen zum Schutz von IT-Systemen und Daten vor Cyber-Angriffen und anderen Bedrohungen.

Ein ISB ist für die Entwicklung, Umsetzung und Überwachung der Informationssicherheit im Unternehmen verantwortlich. Er berät die Geschäftsführung, koordiniert Sicherheitsmaßnahmen und schult Mitarbeiter. Typische Sicherheitsmaßnahmen umfassen die Einführung von Zugriffskontrollen, regelmäßige Sicherheitsüberprüfungen und die Implementierung von Verschlüsselungstechnologien. Weitere Aufgaben sind:

  • Beratung bzgl. Informationssicherheits-Managementsystems (ISMS)
  • Erstellung von Sicherheitsrichtlinien und -konzepten
  • Erstellung von Bedrohungs- und Risikoanalysen
  • Durchführung von Audits und Penetrationstests
  • Überprüfung von Sicherheitsvorfällen
  • Mitarbeit bei sicherheitsrelevanten Projekten
  • Durchführung von Schulungen
  • Informationsaustausch mit Fachbereichen und Projektverantwortlichen
  • Berichterstattung an Geschäftsführung und Vorstände

Ein externer ISB bringt neutralen Blick, breite Erfahrung aus verschiedenen Unternehmen und aktuelle Expertise mit. Er hilft, Sicherheitslücken durch regelmäßige externe Audits frühzeitig zu identifizieren und unterstützt bei der schnellen Umsetzung neuer Compliance-Anforderungen, wie der DSGVO. Zudem ist er kostengünstiger als eine Vollzeitstelle und flexibel einsetzbar.

Bei dem Datenschutz geht es um den Schutz der Privatsphäre einer jeden Person und ihrem Recht auf informationelle Selbstbestimmung sowie dem Schutz ihrer Daten vor missbräuchlicher Verwendung.

Der Begriff Informationssicherheit befasst sich mit dem Schutz von Informationen, unabhängig davon ob diese einen Personenbezug aufweisen oder nicht. Ebenfalls unerheblich ist, ob es sich um digitale oder analoge Informationen handelt.

Die rechtlichen Anforderungen umfassen eine Vielzahl von Regelungen, die Unternehmen einhalten müssen, um sicherzustellen, dass sie gesetzliche und normative Vorgaben in Bezug auf Informationssicherheit erfüllen. Dazu gehören:

DSGVO (Datenschutz-Grundverordnung): Diese EU-weite Verordnung regelt den Umgang mit personenbezogenen Daten und stellt sicher, dass Unternehmen den Datenschutz einhalten. Verstöße können zu hohen Geldstrafen führen.

IT-Sicherheitsgesetz: Dieses Gesetz zielt darauf ab, kritische Infrastrukturen vor Cyberangriffen zu schützen. Unternehmen in den betroffenen Branchen müssen ein Mindestmaß an IT-Sicherheit gewährleisten und Sicherheitsvorfälle melden.

Branchenspezifische Regularien: In vielen Branchen, wie z. B. dem Finanz- oder Gesundheitssektor, gelten zusätzliche Vorschriften. Beispielsweise können Banken von der BaFin reguliert werden, während im Gesundheitswesen besondere Anforderungen an den Schutz von Patientendaten bestehen.

Internationale Standards: Unternehmen, die global agieren, müssen oft Normen wie ISO 27001 oder anderen internationalen Anforderungen gerecht werden, um Sicherheitsstandards nachzuweisen und Geschäftspartneranforderungen zu erfüllen.

Diese Anforderungen helfen nicht nur, gesetzliche Pflichten zu erfüllen, sondern fördern auch Vertrauen bei Kunden und Geschäftspartnern.

Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Unsere Lösungen
Cortina Consult Logo

Vorbereitung auf ISO 27001-Audit

Maßgeschneiderte Unterstützung beim ISO 27001-Zertifizierungsprozess, um Informationssicherheit zu optimieren und gesetzliche Anforderungen effizient zu erfüllen.

Digitales Audit & Editor

Vorlagenbibliothek (DIN EN ISO 27001, VdS 10000, DIN SPEC 27076, NIS-2)

Schützen Sie Ihre Unternehmensdaten mit unserem Compliance-Hub, das eine umfassende Vorlagenbibliothek aus DIN EN ISO 27001, VdS 10000, DIN SPEC 27076 und NIS-2 enthält. Unsere vorgefertigten, normgerechten Vorlagen erleichtern die schnelle und effiziente Implementierung und Dokumentation Ihrer Informationssicherheit. 

E-Learning (Mitarbeiterschulungen mit Zertifikat)

Unsere flexiblen Schulungen in Informationssicherheit sind sowohl auf Deutsch als auch auf Englisch verfügbar und ermöglichen es Ihnen, in Ihrem eigenen Tempo zu lernen. Sie haben sofortigen Zugang zu umfassendem Lernmaterial, das Ihnen hilft, sich mit den wichtigsten Aspekten der IT-Sicherheit vertraut zu machen.

Schulung aller Mitarbeiter

Informationssicherheitsmanagementsystem

Prozesse mit unserem ISMS effizient gestalten

In einem kurzen Video haben wir für Sie die Funktionen unseres ISMS zusammengefasst. So können Sie sich einen ersten Überblick darüber verschaffen, was Sie im Rahmen unserer Zusammenarbeit erwarten wird.

Stellung des Informationssicherheitsbeauftragten

Lorem Ipsum

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.