- Cortina Consult
- Tätigkeitsfelder
- Externer ISB
Externer Informationssicherheitsbeauftragter
ISB für kleine und mittlere Unternehmen (KMU)
Was ist ein Informationssicherheitsbauftragter?
Informationssicherheit ist für Unternehmen von grundlegender Bedeutung. Neben dem eigenen Interesse, die Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten und sensiblen Unternehmensinformationen zu sichern, gibt es gesetzliche Vorgaben, beispielsweise die Vorgaben der kaufmännischen Sorgfaltspflichten, das BDSG-neu, die DSGVO oder das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich.
Durch diese Vorgaben wird Informationssicherheit zum Teil des betrieblichen Risikomanagements.
Der (externe) ISB ist Koordinator und Schnittstelle im Unternehmen, wenn es um Informationssicherheit geht. Er berät die Unternehmensleitung bei der Gestaltung der IT-Sicherheit und unterstützt sie bei der Umsetzung von IT-Projekten.
Die Benennung eines externen IT-Sicherheitsbeauftragten bietet den Vorteil, auf die Expertise eines externen Spezialisten zugreifen zu können; durch die Einbindung eines Dienstleisters wird ebenfalls ein möglicher Interessenkonflikt vermieden.
Aufgaben des (ext.) Informationssicherheitsbeauftragten
Als Beratungsdienstleister unterstützen wir Sie bei der Ausarbeitung und Entwicklung einer IT-Sicherheitsstrategie, die zu Ihrem Unternehmen passt. Der Schwerpunkt liegt in dem Aufbau der Organisation zur Gewährleistung eines angemessenen IT-Sicherheitsstandards.
Bei uns erhalten Sie keine Produkte zur IT-Sicherheit, wir verändern Ihre Organisation, damit der Prozess „IT-Sicherheit“ einwandfrei funktioniert. Mit Methodik die sich an den Geschäftsprozessen orientiert, helfen wir Ihnen bei der Auswahl der Hard- und Softwarekomponenten zur Verbesserung der Informationssicherheit.
Sie erhalten von uns Unterstützung bei der Suche nach einem passenden Systemhaus oder Rechenzentrumsbetreiber.
- Beratung bzgl. Informationssicherheits-Managementsystems (ISMS)
- Erstellung von Sicherheitsrichtlinien und -konzepten
- Erstellung von Bedrohungs- und Risikoanalysen
- Durchführung von Audits und Penetrationstests
- Überprüfung von Sicherheitsvorfällen
- Mitarbeit bei sicherheitsrelevanten Projekten
- Durchführung von Schulungen
- Informationsaustausch mit Fachbereichen und Projektverantwortlichen
- Berichterstattung an Geschäftsführung und Vorstände
- Personal
- Schulung
- Datensicherheit
- Datensicherung
- Server / Clients
- Netzwerk
- Internet
- Updates / Patches
- Gebäude
- Infrastruktur
- Outsourcing
- Compliance
- Dokumentation
- DSB
- AVDs
- Aktive Einwirkung auf Einhaltung und Umsetzung von Datenschutz
- Notfallmanagement
- Sicherheitsmanagement
- IT-Sicherheitspolitik (Strategie)
- Sicherheitsrichtlinien (Konzepte)
- Nutzungsrichtlinien (Regelungen)
Was ist der Unterschied zwischen Informationssicherheit und Datenschutz
Bei dem Datenschutz geht es um den Schutz der Privatsphäre einer jeden Person und ihrem Recht auf informationelle Selbstbestimmung sowie dem Schutz ihrer Daten vor missbräuchlicher Verwendung.
Der Begriff Informationssicherheit befasst sich mit dem Schutz von Informationen, unabhängig davon ob diese einen Personenbezug aufweisen oder nicht. Ebenfalls unerheblich ist, ob es sich um digitale oder analoge Informationen handelt.
Schutz vor Haftungsrisiken (Datenschutz)
- DSGVO, BDSG-neu
- Auftragsdatenverarbeitung
- DSMS
- Mitarbeiterschulungen
Schutz von Vermögenswerten (Datensicherheit)
- BSI
- ISO 27001
- Technisch-organisatorische Maßnahmen
Dokumenten-Check
Informationssicherheit in einem Unternehmen besteht (wenn überhaupt) maximal zur Hälfte aus technischen Maßnahmen. Ein höherer Anteil entfällt auf organisatorische und menschliche Faktoren. Im Fokus einer strukturierten IT-Sicherheit steht daher neben der Identifizierung geeigneter technischer Vorkehrungen die Schaffung eines Sicherheitsbewusstseins unter den Mitarbeiter.
Unser Dokumenten-Check liefert Ihnen eine belastbare Aussage zu allen im Unternehmen genutzten Betriebsverenbarungen, Richtlininen und Dokumentationen, die Sie zur Schaffung von IT-Sicherheit sowie dem Nachweis der Datenschutzkonformität benötigen. Zum Beispiel:
- Leitlinie zur Informationssicherheit
- Anwenderhandbücher und "Starter Pakete"
- Auftragsdatenverarbeitung für externe Dienstleister
- Vertraulichkeitsvereinbarung/NDA
- Sicherheitsrichtlinien
- Notfallmeldungen
Der Check umfasst die organisatorische Aspekte zur Informationssicherheit auf Grundlage der VdS 10000. Berücksichtigt werden weiterhin die internen Vorgaben / Compliance sowie die Regelung des BDSG / DSGVO.
Informationssicherheits-Managementsysteme
Durch Informationssicherheits-Managementsysteme (ISMS) werden Prozesse und Richtlinien technischer und nicht-technischer Art in Unternehmen etabliert, um die Datensicherheit zu gewährleisten. Vor allem werden ständige Kontrollen und daraus abgeleitete Verbesserungsvorschläge etabliert.
Ein weiterer Vorteil der Implementierung eines groß angelegten ISMS ist eine (wahrscheinliche) Zertifizierung nach der ISO 27001. Diese Norm der Internationalen Organisation von Normierung, die als DIN-Norm veröffentlicht ist, enthält u.a. Vorgaben zur Datensicherheit für verschiedene Organisationen. Vereinfacht gesagt, stellt diese Norm die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) dar.
Die Erfüllung ihrer Voraussetzungen und damit verbundene Zertifizierung gewährleistet dann unter Umständen den Nachweis an die Anforderungen des Art. 32 DSGVO und verhindert somit die hohen Bußgelder, die die DSGVO gemäß. für Verstöße gegen die Vorgaben zur Informationssicherheit androht.
Handlungsempfehlungen für Unternehmen
Für Unternehmen ist über die Implementierung eines ISMS nachzudenken, zumal die Möglichkeit besteht, dass Art. 32 dahingehend ausgelegt wird, dass ein ISMS zwingend zu implementieren ist und andere Gesetze (bspw. das Aktiengesetz und das IT-Sicherheitsgesetz) bereits eine solche Implementierung verlangen.
Haben Sie sich als Unternehmen für die Implementierung eines ISMS entschieden, ist es empfehlenswert nicht ausschließlich personenbezogene Daten, sondern alle vorhandenen Informationen zu schützen, unabhängig davon ob es sich um personenbezogene Daten handelt oder nicht.
Vds 10000
Die Richtlinien VdS 10000 – Cyber-Security für kleine und mittlere Unternehmen (KMU) enthalten Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen.
Sie sind speziell für KMU sowie für kleinere und mittlere Institutionen und Behörden ausgelegt. Ziel der VdS 10000 ist es, ein angemessenes Schutzniveau für kleine und mittlere Unternehmen und Organisationen zu definieren, was mit möglichst geringem Aufwand umgesetzt werden kann.
ISMS und ISO 27001
Umfassende ISMS und die ISO 27001 können im Idealfall dem Schutz der Informationssicherheit dienen und vor unbefugtem Zugriff schützen. Die Zertifizierung von ISMS z.B nach der ISO 27001 minimiert gegebenenfalls das Haftungsrisiko und die Höhe möglicher Strafzahlungen.
Hinweis
Zur Überprüfung der Informationssicherheit im Unternehmen, können Sie auf den veröffentlichen Fragebogen des Bayerischen Landesamtes für Datenschutzaufsicht als Leitlinie zurückgreifen.
Dieser bietet zusätzlich eine Checkliste für die Einhaltung weiterer Voraussetzungen der Datenschutzgrundverordnung (z.B. die Wahrung der Betroffenenrechte und Transparenzvorschriften).
Als externer Informationssicherheitsbeauftragter unterstützen wir Sie bei der Entwicklung und Umsetzung einer IT-Sicherheitsstrategie.
Externer ISB für KMU
Als Beratungsdienstleister und externer Informationssicherheitsbeauftragter unterstützen wir Sie bei der Ausarbeitung und Entwicklung einer IT-Sicherheitsstrategie, die zu Ihrem Unternehmen passt.
- Gebündelte Erfahrung aus 10 Jahren in der Branche und 500 erfolgreichen Projekten
- Beratung, Software & Schulung aus einer Hand
- Prozessoptimierung frei nach dem Motto: so viel wie nötig, so wenig wie möglich
