Externer Informations-sicherheitsbeauftragter

ISB für kleine und mittlere Unternehmen (KMU)

informationssicherheit
Inhalt der Seite

    Informationssicherheitsbeauftragter

    Informationssicherheit ist für Unternehmen von grundlegender Bedeutung. Neben dem eigenen Interesse, die Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten und sensiblen Unternehmensinformationen zu sichern, gibt es gesetzliche Vorgaben, beispielsweise die Vorgaben der kaufmännischen Sorgfaltspflichten, das BDSG-neu, die DSGVO oder das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich.

    Durch diese Vorgaben wird Informationssicherheit zum Teil des betrieblichen Risikomanagements.

    Der (externe) ISB ist Koordinator und Schnittstelle im Unternehmen, wenn es um Informationssicherheit geht. Er berät die Unternehmensleitung bei der Gestaltung der IT-Sicherheit und unterstützt sie bei der Umsetzung von IT-Projekten.

    info

    Externer ISB

    Die Benennung eines externen IT-Sicherheitsbeauftragten bietet den Vorteil, auf die Expertise eines externen Spezialisten zugreifen zu können; durch die Einbindung eines Dienstleisters wird ebenfalls ein möglicher Interessenkonflikt vermieden.

    Aufgaben des (ext.) Informationssicherheitsbeauftragten

    Als Beratungsdienstleister unterstützen wir Sie bei der Ausarbeitung und Entwicklung einer IT-Sicherheitsstrategie, die zu Ihrem Unternehmen passt. Der Schwerpunkt liegt in dem Aufbau der Organisation zur Gewährleistung eines angemessenen IT-Sicherheitsstandards.

    Bei uns erhalten Sie keine Produkte zur IT-Sicherheit, wir verändern Ihre Organisation, damit der Prozess "IT-Sicherheit" einwandfrei funktioniert. Mit Methodik die sich an den Geschäftsprozessen orientiert, helfen wir Ihnen bei der Auswahl der Hard- und Softwarekomponenten zur Verbesserung der Informationssicherheit.

    Sie erhalten von uns Unterstützung bei der Suche nach einem passenden Systemhaus oder Rechenzentrumsbetreiber.

    • Beratung bzgl. Informationssicherheits-Managementsystems (ISMS)
    • Erstellung von Sicherheitsrichtlinien und -konzepten
    • Erstelkung von Bedrohungs- und Risikoanalysen
    • Durchführung von Audits und Penetrationstests
    • Überprüfung von Sicherheitsvorfällen
    • Mitarbeit bei sicherheitsrelevanten Projekten
    • Durchführung von Schulungen
    • Informationsaustausch mit Fachbereichen und Projektverantwortlichen
    • Berichterstattung an Geschäftsführung und Vorstände

    Technik

    Mensch

    Unternehmen

    Datenschutz

    • Personal
    • Schulung
    • Datensicherheit
    • Datensicherung
    • Server / Clients
    • Netzwerk
    • Internet
    • Updates / Patches
    • Gebäude
    • Infrastruktur
    • Outsourcing
    • Compliance
    • Dokumentation
    • Updates / Patches

    Informationssicherheit

    • Datenschutz
      • DSB
      • AVDs
      • Aktive Hinwirkung auf Einhaltung und Umsetzung von Datenschutz
    • Notfallmanagement
    • Sicherheitsmanagement
    • IT-Sicherheitspolitik (Strategie)
    • Sicherheitsrichtlinien (Konzepte)
    • Nutzungsrichtlinien (Regelungen)

    Informationssicherheit und Datenschutz

    Was ist der Unterschied zwischen Informationssicherheit und Datenschutz

    Bei dem Datenschutz geht es um den Schutz der Privatsphäre einer jeden Person und ihrem Recht auf informationelle Selbstbestimmung sowie dem Schutz ihrer Daten vor missbräuchlicher Verwendung.

    Der Begriff Informationssicherheit befasst sich mit dem Schutz von Informationen, unabhängig davon ob diese einen Personenbezug aufweisen oder nicht. Ebenfalls unerheblich ist, ob es sich um digitale oder analoge Informationen handelt.

    arrow-right

    Schutz vor Haftungsrisiken

    Datenschutz

    • DSGVO, BDSG-neu
    • Auftragsdatenverarbeitung
    • DSMS
    • Mitarbeiterschulungen
    arrow-right

    Schutzt der Vermögenswerte

    Datensicherheit

    • BSI
    • ISO 27001
    • Technisch-organisatorische Maßnahmen

    Dokumenten-Check

    Informationssicherheit in einem Unternehmen besteht (wenn überhaupt) maximal zur Hälfte aus technischen Maßnahmen. Ein höherer Anteil entfällt auf organisatorische und menschliche Faktoren. Im Fokus einer strukturierten IT-Sicherheit steht daher neben der Identifizierung geeigneter technischer Vorkehrungen die Schaffung eines Sicherheitsbewusstseins unter den Mitarbeiter.

    Unser Dokumenten-Check liefert Ihnen eine belastbare Aussage zu allen im Unternehmen genutzten Betriebsverenbarungen, Richtlininen und Dokumentationen, die Sie zur Schaffung von IT-Sicherheit sowie dem Nachweis der Datenschutzkonformität benötigen. Zum Beispiel:

    • Leitlinie zur Informationssicherheit
    • Anwenderhandbücher und "Starter Pakete"
    • Auftragsdatenverarbeitung für externe Dienstleister
    • Vertraulichkeitsvereinbarung/NDA
    • Sicherheitsrichtlinien
    • Notfallmeldungen
    info

    Der Check umfasst die organisatorische Aspekte zur Informationssicherheit auf Grundlage der VdS 10000. Berücksichtigt werden weiterhin die internen Vorgaben / Compliance sowie die Regelung des BDSG / DSGVO.

    Durch Informationssicherheits-Managementsysteme (ISMS) werden Prozesse und Richtlinien technischer und nicht-technischer Art in Unternehmen etabliert, um die Datensicherheit zu gewährleisten. Vor allem werden ständige Kontrollen und daraus abgeleitete Verbesserungsvorschläge etabliert.

    Ein weiterer Vorteil der Implementierung eines groß angelegten ISMS ist eine (wahrscheinliche) Zertifizierung nach der ISO 27001. Diese Norm der Internationalen Organisation von Normierung, die als DIN-Norm veröffentlicht ist, enthält u.a. Vorgaben zur Datensicherheit für verschiedene Organisationen. Vereinfacht gesagt, stellt diese Norm die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) dar.

    Die Erfüllung ihrer Voraussetzungen und damit verbundene Zertifizierung gewährleistet dann unter Umständen den Nachweis an die Anforderungen des Art. 32 DSGVO und verhindert somit die hohen Bußgelder, die die DSGVO gemäß. für Verstöße gegen die Vorgaben zur Informationssicherheit androht.

    Handlungsempfehlungen für Unternehmen

    Für Unternehmen ist über die Implementierung eines ISMS nachzudenken, zumal die Möglichkeit besteht, dass Art. 32 dahingehend ausgelegt wird, dass ein ISMS zwingend zu implementieren ist und andere Gesetze (bspw. das Aktiengesetz und das IT-Sicherheitsgesetz) bereits eine solche Implementierung verlangen.

    Haben Sie sich als Unternehmen für die Implementierung eines ISMS entschieden, ist es empfehlenswert nicht ausschließlich personenbezogene Daten, sondern alle vorhandenen Informationen zu schützen, unabhängig davon ob es sich um personenbezogene Daten handelt oder nicht.

    Vds 10000

    Die Richtlinien VdS 10000 – Cyber-Security für kleine und mittlere Unternehmen (KMU) enthalten Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen.

    Sie sind speziell für KMU sowie für kleinere und mittlere Institutionen und Behörden ausgelegt. Ziel der VdS 10000 ist es, ein angemessenes Schutzniveau für kleine und mittlere Unternehmen und Organisationen zu definieren, was mit möglichst geringem Aufwand umgesetzt werden kann.

    ISMS und ISO 27001

    Umfassende ISMS und die ISO 27001 können im Idealfall dem Schutz der Informationssicherheit dienen und vor unbefugtem Zugriff schützen. Die Zertifizierung von ISMS z.B nach der ISO 27001 minimiert gegebenenfalls das Haftungsrisiko und die Höhe möglicher Strafzahlungen.

    info

    Zur Überprüfung der Informationssicherheit im Unternehmen, können Sie auf den veröffentlichen Fragebogen des Bayerischen Landesamtes für Datenschutzaufsicht als Leitlinie zurückgreifen.

    Dieser bietet zusätzlich eine Checkliste für die Einhaltung weiterer Voraussetzungen der Datenschutzgrundverordnung (z.B. die Wahrung der Betroffenenrechte und Transparenzvorschriften).

    Sie haben noch Fragen zum Thema oder zum Datenschutz im Allgemeinen?

    Wir helfen Ihnen gerne:

    joerg-ter-beek-datenschutzexperte-mitauszeichnung-in-berlin

    Ihr Ansprechpartner

    Jörg ter Beek
    Datenschutzexperte