Was kostet ein (ext.) Informationssicherheitsbeauftragter?
Ein externer Informationssicherheitsbeauftragter kann bereits ab 125 € pro Monat bestellt werden – je nach Umfang und Komplexität der IT-Infrastruktur und Reifegrad des aktuellen ISMS.
Pauschalpreis für Ihren ext. ISB. Regeltermine, ISMS-Software, E-Learning (LMS), persönlicher Ansprechpartner – und weitere Extras – inklusive.
- Stellung des ext. ISB (zert. ISO 27001 Auditor)
- Informationssicherheitsplattform – ein sicherer Ort für alles
- E-Learning (Mitarbeiterschulungen mit Zertifikat)
- Vorlagenbibliothek (ISO 27001, VdS 10000, DIN SPEC 27076, NIS-2)
- Digitales Audit & Editor
-
Jour fixe mit ISMS-/ISB-Berater
- Fester Ansprechpartner
- Reports & Dokumentation
- Coaching Ihres IT-/ISMS-Koordinators inklusive
- Wissensdatenbank (Wiki, Akademie, News)
Stellen Sie sich Ihr individuelles Angebot zusammen, wenn Sie ein größeres Unternehmen sind oder komplexere Anforderungen haben.
Einsatzbereites ISMS, Audit-Editor, LMS in einer Pauschale. Fragen Sie ein unverbindliches Angebot an.
Service + SaaS = Service as a Software
Die normenkonforme Einführung und Aufrechterhaltung eines ISMS ist unerlässlich, um als vertrauenswürdiger Geschäftspartner akzeptiert zu werden und IT-Sicherheitszertifizierungen zu erlangen. Für die Umsetzung der notwendigen Maßnahmen ist ein Informationssicherheitsbeauftragter (ISB) verantwortlich. Für viele Unternehmen ist es vorteilhaft, diese Funktion extern zu besetzen. Nutzen Sie unseren externen ISB oder unsere ISMS Software für eine optimale Umsetzung der Informationssicherheit.
Wir gewährleisten, dass sämtliche gesetzlichen Vorgaben eingehalten werden und verringern die Gefahr potenzieller Geldstrafen.
Unser Experten-Team ist immer auf dem neusten Stand der gesetzlichen Vorgaben und hält die notwendigen Angaben stets aktuell.
Unser Team von qualifizierten Beratern gewährleistet den gesetzeskonforme Umgang mit jeglichen Informationen und Aufgaben.
Unsere Consultants stehen Ihnen bei jeglichen Fragen rund um das Thema Informationssicherheit zu jedem Zeitpunkt zur Verfügung.
Nicht sicher, welche Leistung zu Ihnen passt? Sprechen Sie mich an!
Sollten Sie umfangreichere Anforderungen haben und / oder spezifische Fragen klären wollen: Schicken Sie mir eine kurze Nachricht – ich nehme mir gerne die Zeit, um Ihre Anforderungen im Detail zu besprechen.
CEO // TÜV-DSB // ISMS-Auditor
Stellen Sie sich JETZT Ihr maßgeschneidertes Angebot zusammen!
Die häufigste Frage zum eISB lautet: „Was kostet ein eISB in der Anfangsphase – und was im laufenden Betrieb?“ Und die häufigste Antwort darauf lautet: „Das kommt darauf an“. Wir wagen jedoch einen Schritt weiter zu gehen. Mit unserem eISB- und ISMS-Kostenkonfigurator erstellen Sie mit wenigen Klicks den gewünschten Leistungsumfang selbst – so einfach ist das!
Nicht die passende Konfiguration gefunden?
Sie benötigen ein individuelleres Paket für größere Unternehmensstrukturen, internationalen Datenschutz oder Consent Management? Gerne nehmen wir uns die Zeit, um Ihre Anforderungen im Details zu besprechen.
Das ISMS der Cortina Consult
Vertrauen ist im Unternehmen unerlässlich – und es basiert auf sicheren Daten. Informationssicherheit muss dabei fest in der Struktur eines Unternehmens verankert sein, um interne wie externe Anforderungen zuverlässig zu erfüllen.
Cortina Consult bietet Ihnen ein nahezu fertig vorbereitetes ISMS, das an Ihre Unternehmensbedürfnisse angepasst werden kann. Zusätzlich unterstützen wir Sie bei der Zertifizierung oder übernehmen als externer ISB die komplette Verantwortung – von Richtlinien über Schulungen bis zur Prüfung technischer Systeme.
Mit uns optimieren Sie Ihre Informationssicherheitsprozesse und können die Verantwortung für Ihre Datensicherheit an Experten delegieren – so schaffen Sie wieder mehr Freiraum für Ihre Kernaufgaben.
Wir haben viel gesehen: von schnell wachsenden Start-ups bis zu etablierten Strukturen in DAX-Konzernen – und uns verbindet die Leidenschaft, das beste aus beiden Welten in unseren Daternschutzprojekten zu vereinen.
ISMS-Normen
- ISMS - Aufbau und Pflege - Grundregeln, Abläufe und Zuständigkeiten mit unserem Informationssicherheitsmanagementsystem (ISMS) festlegen, um die Sicherheit von Informationen innerhalb einer Organisation nachhaltig zu gewährleisten, überwachen und kontinuierlich zu verbessern.
- DIN 27076 - Informationssicherheitsniveau bewerten und durch praxisnahe Empfehlungen verbessern.
- VdS 10000 - Branchenneutraler Maßnahmenkatalog für ein ISMS, um den Informationssicherheitsstatus eines Unternehmens zu verbessern.
- ISO 27001 - Im Kontext des ISMS bietet dieser Standard einen Rahmen für Organisationen, um ihre Informationen sicher zu verwalten.
- NIS-2 - Festlegung von Mindestsicherheitsanforderungen und die Etablierung nationaler Behörden zur Überwachung der Einhaltung dieser Anforderungen.
- BSI IT-GS - Konformität des IT-Grundschutzes vom Bundesamt für Sicherheit in der Informationstechnik (BSI IT-GS) erlangen.
Das ISMS – das Herzstück Ihrer Informationssicherheitsstrategie
Meistern Sie die Anforderungen der Informationssicherheit mit unserem maßgeschneiderten Compliance-Hub inklusive Informationssicherheitsmanagementsystem, das perfekt auf Ihre Bedürfnisse abgestimmt ist. Mit unserer Plattform gewährleisten Sie einen lückenlosen und einfachen Schutz Ihrer Unternehmensdaten und erfüllen alle sicherheitsrelevanten Pflichten.
Was uns als Beratungsdienstleister auszeichnet
Unser Team ist authentisch, schnell und sehr vielfältig in Bezug auf Ausbildung und Skillset. Wir haben viel gesehen: von schnell wachsenden Start-ups bis zu international agierenden DAX-Konzernen – und uns verbindet die Leidenschaft, das Beste aus beiden Welten in unseren Daternschutzprojekten zu vereinen.
Verbindliche Projektbudgets & Pauschalpakete.
Unser Team arbeitet effizient, zielgerichtet und agil.
Unsere Leistungen werden auf Ihre Anforderungen angepasst.
TÜV-zertifizierte Datenschutzbeauftragte
Rechtssicherheit
Unsere Experten sind erfahren im Umgang mit den verschiedenen gesetzlichen Anforderungen im Zusammenhang mit Informationssicherheit. Wenn Sie unsere Produkte und Services in Anspruch nehmen, können Sie sich sicher sein, dass Ihre Organisation alle geltenden Gesetze und Vorschriften einhält.
- Einrichtung des ISMS nach DSGVO
- Schutz vor Geldbußen
Ressourcenschonend
Setzen Sie auf unsere Services und Produkte, um die Informationssicherheit in Ihrem Unternehmen effizient und kostengünstig umzusetzen. Mithilfe eines externen ISB erhalten Sie zusätzliches Fachwissen, ohne Mitarbeitende besonders umfangreich schulen zu müssen. Damit sparen Sie nicht nur Weiterbildungskosten sondern zusätzlich Zeit. Außerdem ermöglichen wir Ihnen so, sich auf Ihr Kerngeschäft fokussieren zu können.
- Keine Fortbildungskosten und -aufwendungen
- Zusätzliches Know-How im Bereich Informationssicherheit
FAQ zum eISB und ISMS von Cortina Consult
ISMS-Normen
Besonders das Thema Informationssicherheit ist für viele Unternehmen Neuland. Die folgenden Fragen werden in Bezug darauf häufig gestellt.
Was regelt die DIN 27076 und ist diese verpflichtend?
Die DIN 27076 ist nicht verpflichtend, gilt aber als anerkannter Standard für die Qualitätssicherung bei der Bestellung externer Beauftragter.
Die DIN SPEC 27076 unterstützt kleine und Kleinstunternehmen mit einer IT-Sicherheitsberatung, die auf ihre Bedürfnisse zugeschnitten ist. Entwickelt wurde sie unter Leitung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Der CyberRisikoCheck ermöglicht eine standardisierte Beratung durch IT-Dienstleister. Dabei werden 27 Anforderungen aus sechs Themenbereichen geprüft und Handlungsempfehlungen gegeben. Diese Richtlinien umfassen Risikobewertung, Sicherheitsrichtlinien, Organisation der Informationssicherheit, Asset Management, Zugriffskontrolle und Kommunikationsmanagement. Ziel ist es, die Informationssicherheit systematisch zu verbessern und Risiken zu minimieren.
Welche Vorteile bietet VdS 10000?
VdS 10000 ist ein Leitfaden für kleine und mittlere Unternehmen (KMU) zur Informationssicherheit, der praktische Anforderungen und Maßnahmen beschreibt.
Er ist speziell auf KMU zugeschnitten, kostengünstig umzusetzen und bietet eine gute Basis für spätere ISO 27001-Zertifizierung. Beispiele sind die Einführung eines Passwortmanagement-Systems oder regelmäßige Schulungen für Mitarbeitende zu Phishing-Angriffen.
Welche Vorteile bietet eine ISO 27001 Zertifizierung?
Die ISO 27001 Zertifizierung bietet zahlreiche Vorteile. Sie dient als Nachweis eines hohen Sicherheitsniveaus und schafft Vertrauen bei Kunden, insbesondere durch positive Referenzen von Unternehmen, die dank der Zertifizierung bedeutende Projekte gewinnen können.
Sie ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS) und definiert Anforderungen für deren Einführung, Betrieb und Verbesserung.
Was ist die NIS-2-Richtlinie?
Die NIS-Richtlinie, die auch unter dem Namen NIS 1 bekannt ist, markierte die Einführung der ersten Cybersecurity-Richtlinie durch die EU im Jahr 2016.
Aufgrund der zunehmenden Bedrohung und der zunehmenden Sicherheitsanforderungen an die IT in Europa kam es zu ihrer Entstehung. Darüber hinaus enthält die Richtlinie verpflichtende Vorschriften zum Schutz der Systeme von sogenannten KRITIS-Unternehmen, also Unternehmen, die als „Betreiber kritischer Infrastrukturen“ agieren.
Die NIS-Richtlinie ist Teil der europäischen Cybersicherheitsstrategie und gilt heutzutage als eine der wichtigsten europäischen Rechtsvorschriften im Bereich der Cybersicherheit, um die Cyberresilienz in der EU zu stärken. KRITIS-Unternehmen müssen gemäß der Richtlinie bestimmte Mindeststandards erfüllen, um sicherzustellen, dass ihre Systeme und Netzwerke geschützt werden.
Wen betrifft die NIS-2-Richtlinie?
In NIS 2 werden Bereiche als „wesentlich“ („Essential“) und „wichtig“ („Important“) eingestuft. Auf den ersten Blick ist nicht zu erkennen, für wen NIS 2 wirklich gilt.
Die „wichtigen Einrichtungen“, die die Reichweite der kritischen Infrastruktur erweitern, werden erstmals in NIS2 vorgestellt. Deshalb sind auch Unternehmen wie digitale Marktplätze oder die Lebensmittelindustrie nun von der NIS2-Richtlinie betroffen. Die deutschen Gesetzgeber gehen davon aus, dass NIS rund 30.000 Unternehmen beeinflussen. Die „wichtigen Einrichtungen“ repräsentieren mehr als 20.000 Unternehmen.
Darüber hinaus wird mit der NIS 2 eine „size-cap“-Regel eingeführt, die besagt, dass Unternehmen, die mindestens mittelgroß sind und in die speziellen Sektoren fallen, jetzt unter die NIS 2 fallen. Dadurch ist die Anzahl der Unternehmen gestiegen, die die Richtlinie und die nationalen Vorschriften befolgt haben, die dieses und das nächste Jahr veröffentlicht wurden.
Was ist der BSI IT-Grundschutz?
Der BSI IT-Grundschutz ist eine umfassende Methodik des Bundesamts für Sicherheit in der Informationstechnik zur Identifikation und Umsetzung von IT-Sicherheitsmaßnahmen, wie beispielsweise die regelmäßige Aktualisierung von Software, die Einführung von Netzwerksicherheitslösungen wie Firewalls oder die Schulung von Mitarbeitenden zu Cybersecurity-Bedrohungen.
Informationssicherheitsmanagement- system
Verwaltung sensibler Unternehmensdaten um Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gemäß der Normen (ISO 27001) zu gewährleisten.
Welche Vorteile bietet ein ISMS?
Mit unserer Management-Software haben Sie folgende Vorteile:
- Systematischer Schutz von Informationen, durch klare Zugriffskontrollen und Verschlüsselung von sensiblen Daten
- Risikominimierung, durch proaktive Schwachstellenanalysen und regelmäßige Sicherheitsüberprüfungen
- Erfüllung rechtlicher Anforderungen, wie die DSGVO-Compliance für Unternehmen, die personenbezogene Daten verarbeiten
- Wettbewerbsvorteil durch das Vertrauen potenzieller Kunden in ein zertifiziertes Sicherheitsmanagement
Wie erfolgt der Aufbau eines ISMS?
Ein effektives ISMS muss flexibel genug sein, um sich dem fortlaufenden Wandel in den Sicherheitsanforderungen anzupassen. Diese Notwendigkeit ergibt sich aus der Erkenntnis, dass es nicht genügt, einmalig zu identifizieren, welche Werte des Unternehmens schutzbedürftig sind und anschließend Richtlinien, Prozesse sowie Schutzmaßnahmen festzulegen. Ein bewährter Ansatz zur fortwährenden Optimierung ist der PDCA-Zyklus (Plan-Do-Check-Act), der ursprünglich aus dem Qualitätsmanagement gemäß ISO 9001 stammt und auch als Deming-Rad bekannt ist.
Plan – Planung:
In der Planungsphase werden Ziele definiert, Anforderungen analysiert und eine Bestandsaufnahme der aktuellen Situation durchgeführt. Risiken für Informationssicherheit und Datenschutz werden bewertet, und notwendige Maßnahmen für den Zielzustand festgelegt. Diese fließen in einen detaillierten Umsetzungsplan ein.
Do – Umsetzung:
Die geplanten Maßnahmen werden umgesetzt, Verantwortlichkeiten festgelegt und kommuniziert. Schulungen für Mitarbeitende und die Dokumentation der Maßnahmen sind zentrale Bestandteile.
Check – Überprüfung:
Die Umsetzung wird regelmäßig geprüft, um die Wirksamkeit der Maßnahmen sicherzustellen und mögliche Anpassungen zu identifizieren.
Act – Instandhaltung:
Bei Bedarf werden Ziele, Richtlinien und Maßnahmen angepasst oder verbessert. Der Fokus liegt auf der kontinuierlichen Optimierung gemäß ISO-Norm.
Wofür wird ein Dokumenten-Check benötigt?
Unser Dokumenten-Check liefert Ihnen eine belastbare Aussage zu allen im Unternehmen genutzten Betriebsvereinbarungen, Richtlinien und Dokumentationen, die Sie zur Schaffung von IT-Sicherheit sowie dem Nachweis der Datenschutzkonformität benötigen. Zum Beispiel:
- Leitlinie zur Informationssicherheit
- Anwenderhandbücher und „Starter Pakete“
- Auftragsdatenverarbeitung für externe Dienstleister
- Vertraulichkeitsvereinbarung/NDA
- Sicherheitsrichtlinien
- Notfallmeldungen
Der Check umfasst die organisatorische Aspekte zur Informationssicherheit auf Grundlage der VdS 10000. Berücksichtigt werden weiterhin die internen Vorgaben / Compliance sowie die Regelung des BDSG / DSGVO.
Welche Schulungen sind erforderlich?
Um die Informationssicherheit effektiv zu gewährleisten, sind verschiedene Schulungen erforderlich. Awareness-Schulungen für Mitarbeiter sensibilisieren für potenzielle Sicherheitsrisiken und fördern sicheres Verhalten im Arbeitsalltag. Spezielle Schulungen für IT-Personal vertiefen technische Kenntnisse, um die Sicherheitsinfrastruktur zu schützen und aktuelle Bedrohungen zu erkennen.
Management-Schulungen vermitteln Führungskräften die Bedeutung von Sicherheitsrichtlinien und deren strategische Umsetzung. Darüber hinaus stellen Compliance-Schulungen sicher, dass alle gesetzlichen und regulatorischen Anforderungen eingehalten werden, was nicht nur den Schutz der Organisation, sondern auch deren rechtliche Integrität gewährleistet.
Informationssicherheitsbeauftragter
Entwicklung von Maßnahmen zum Schutz von IT-Systemen und Daten vor Cyber-Angriffen und anderen Bedrohungen.
Was ist ein ISB und welche Aufgaben hat er?
Ein ISB ist für die Entwicklung, Umsetzung und Überwachung der Informationssicherheit im Unternehmen verantwortlich. Er berät die Geschäftsführung, koordiniert Sicherheitsmaßnahmen und schult Mitarbeiter. Typische Sicherheitsmaßnahmen umfassen die Einführung von Zugriffskontrollen, regelmäßige Sicherheitsüberprüfungen und die Implementierung von Verschlüsselungstechnologien. Weitere Aufgaben sind:
- Beratung bzgl. Informationssicherheits-Managementsystems (ISMS)
- Erstellung von Sicherheitsrichtlinien und -konzepten
- Erstellung von Bedrohungs- und Risikoanalysen
- Durchführung von Audits und Penetrationstests
- Überprüfung von Sicherheitsvorfällen
- Mitarbeit bei sicherheitsrelevanten Projekten
- Durchführung von Schulungen
- Informationsaustausch mit Fachbereichen und Projektverantwortlichen
- Berichterstattung an Geschäftsführung und Vorstände
Warum einen externen ISB beauftragen?
Ein externer ISB bringt neutralen Blick, breite Erfahrung aus verschiedenen Unternehmen und aktuelle Expertise mit. Er hilft, Sicherheitslücken durch regelmäßige externe Audits frühzeitig zu identifizieren und unterstützt bei der schnellen Umsetzung neuer Compliance-Anforderungen, wie der DSGVO. Zudem ist er kostengünstiger als eine Vollzeitstelle und flexibel einsetzbar.
Was ist der Unterschied zwischen Informationssicherheit und Datenschutz?
Bei dem Datenschutz geht es um den Schutz der Privatsphäre einer jeden Person und ihrem Recht auf informationelle Selbstbestimmung sowie dem Schutz ihrer Daten vor missbräuchlicher Verwendung.
Der Begriff Informationssicherheit befasst sich mit dem Schutz von Informationen, unabhängig davon ob diese einen Personenbezug aufweisen oder nicht. Ebenfalls unerheblich ist, ob es sich um digitale oder analoge Informationen handelt.
Welche rechtlichen Anforderungen gelten in Bezug auf Informationssicherheit?
Die rechtlichen Anforderungen umfassen eine Vielzahl von Regelungen, die Unternehmen einhalten müssen, um sicherzustellen, dass sie gesetzliche und normative Vorgaben in Bezug auf Informationssicherheit erfüllen. Dazu gehören:
DSGVO (Datenschutz-Grundverordnung): Diese EU-weite Verordnung regelt den Umgang mit personenbezogenen Daten und stellt sicher, dass Unternehmen den Datenschutz einhalten. Verstöße können zu hohen Geldstrafen führen.
IT-Sicherheitsgesetz: Dieses Gesetz zielt darauf ab, kritische Infrastrukturen vor Cyberangriffen zu schützen. Unternehmen in den betroffenen Branchen müssen ein Mindestmaß an IT-Sicherheit gewährleisten und Sicherheitsvorfälle melden.
Branchenspezifische Regularien: In vielen Branchen, wie z. B. dem Finanz- oder Gesundheitssektor, gelten zusätzliche Vorschriften. Beispielsweise können Banken von der BaFin reguliert werden, während im Gesundheitswesen besondere Anforderungen an den Schutz von Patientendaten bestehen.
Internationale Standards: Unternehmen, die global agieren, müssen oft Normen wie ISO 27001 oder anderen internationalen Anforderungen gerecht werden, um Sicherheitsstandards nachzuweisen und Geschäftspartneranforderungen zu erfüllen.
Diese Anforderungen helfen nicht nur, gesetzliche Pflichten zu erfüllen, sondern fördern auch Vertrauen bei Kunden und Geschäftspartnern.
