Externer Informations-sicherheitsbeauftragter

ISB für kleine und mittlere Unternehmen (KMU)

Inhalt der Seite

Informationssicherheitsbeauftragter

Informationssicherheit ist für Unternehmen von grundlegender Bedeutung. Neben dem eigenen Interesse, die Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten und sensiblen Unternehmensinformationen zu sichern, gibt es gesetzliche Vorgaben, beispielsweise die Vorgaben der kaufmännischen Sorgfaltspflichten, das BDSG-neu, die DSGVO oder das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich.

Durch diese Vorgaben wird Informationssicherheit zum Teil des betrieblichen Risikomanagements.

Der (externe) ISB ist Koordinator und Schnittstelle im Unternehmen, wenn es um Informationssicherheit geht. Er berät die Unternehmensleitung bei der Gestaltung der IT-Sicherheit und unterstützt sie bei der Umsetzung von IT-Projekten.

Externer ISB

Die Benennung eines externen IT-Sicherheitsbeauftragten bietet den Vorteil, auf die Expertise eines externen Spezialisten zugreifen zu können; durch die Einbindung eines Dienstleisters wird ebenfalls ein möglicher Interessenkonflikt vermieden.

Aufgaben des (ext.) Informationssicherheitsbeauftragten

Als Beratungsdienstleister unterstützen wir Sie bei der Ausarbeitung und Entwicklung einer IT-Sicherheitsstrategie, die zu Ihrem Unternehmen passt. Der Schwerpunkt liegt in dem Aufbau der Organisation zur Gewährleistung eines angemessenen IT-Sicherheitsstandards.

Bei uns erhalten Sie keine Produkte zur IT-Sicherheit, wir verändern Ihre Organisation, damit der Prozess "IT-Sicherheit" einwandfrei funktioniert. Mit Methodik die sich an den Geschäftsprozessen orientiert, helfen wir Ihnen bei der Auswahl der Hard- und Softwarekomponenten zur Verbesserung der Informationssicherheit.

Sie erhalten von uns Unterstützung bei der Suche nach einem passenden Systemhaus oder Rechenzentrumsbetreiber.

Beratung bzgl. Informationssicherheits-Managementsystems (ISMS)
Erstellung von Sicherheitsrichtlinien und -konzepten
Erstelkung von Bedrohungs- und Risikoanalysen
Durchführung von Audits und Penetrationstests
Überprüfung von Sicherheitsvorfällen
Mitarbeit bei sicherheitsrelevanten Projekten
Durchführung von Schulungen
Informationsaustausch mit Fachbereichen und Projektverantwortlichen
Berichterstattung an Geschäftsführung und Vorstände

Technik

Mensch

Unternehmen

Datenschutz

Personal
Schulung

Datensicherheit
Datensicherung
Server / Clients
Netzwerk
Internet
Updates / Patches

Gebäude
Infrastruktur
Outsourcing
Compliance
Dokumentation
Updates / Patches

Informationssicherheit

Datenschutz
- DSB
- AVDs
- Aktive Hinwirkung auf Einhaltung und Umsetzung von Datenschutz

Notfallmanagement
Sicherheitsmanagement

IT-Sicherheitspolitik (Strategie)
Sicherheitsrichtlinien (Konzepte)
Nutzungsrichtlinien (Regelungen)

Informationssicherheit und Datenschutz

Was ist der Unterschied zwischen Informationssicherheit und Datenschutz

Bei dem Datenschutz geht es um den Schutz der Privatsphäre einer jeden Person und ihrem Recht auf informationelle Selbstbestimmung sowie dem Schutz ihrer Daten vor missbräuchlicher Verwendung.

Der Begriff Informationssicherheit befasst sich mit dem Schutz von Informationen, unabhängig davon ob diese einen Personenbezug aufweisen oder nicht. Ebenfalls unerheblich ist, ob es sich um digitale oder analoge Informationen handelt.

Schutz vor Haftungsrisiken

Datenschutz

DSGVO, BDSG-neu
Auftragsdatenverarbeitung
DSMS
Mitarbeiterschulungen

Schutzt der Vermögenswerte

Datensicherheit

BSI
ISO 27001
Technisch-organisatorische Maßnahmen

Dokumenten-Check

Informationssicherheit in einem Unternehmen besteht (wenn überhaupt) maximal zur Hälfte aus technischen Maßnahmen. Ein höherer Anteil entfällt auf organisatorische und menschliche Faktoren. Im Fokus einer strukturierten IT-Sicherheit steht daher neben der Identifizierung geeigneter technischer Vorkehrungen die Schaffung eines Sicherheitsbewusstseins unter den Mitarbeiter.

Unser Dokumenten-Check liefert Ihnen eine belastbare Aussage zu allen im Unternehmen genutzten Betriebsverenbarungen, Richtlininen und Dokumentationen, die Sie zur Schaffung von IT-Sicherheit sowie dem Nachweis der Datenschutzkonformität benötigen. Zum Beispiel:

Leitlinie zur Informationssicherheit
Anwenderhandbücher und "Starter Pakete"
Auftragsdatenverarbeitung für externe Dienstleister
Vertraulichkeitsvereinbarung/NDA
Sicherheitsrichtlinien
Notfallmeldungen

Der Check umfasst die organisatorische Aspekte zur Informationssicherheit auf Grundlage der VdS 10000. Berücksichtigt werden weiterhin die internen Vorgaben / Compliance sowie die Regelung des BDSG / DSGVO.

Durch Informationssicherheits-Managementsysteme (ISMS) werden Prozesse und Richtlinien technischer und nicht-technischer Art in Unternehmen etabliert, um die Datensicherheit zu gewährleisten. Vor allem werden ständige Kontrollen und daraus abgeleitete Verbesserungsvorschläge etabliert.

Ein weiterer Vorteil der Implementierung eines groß angelegten ISMS ist eine (wahrscheinliche) Zertifizierung nach der ISO 27001. Diese Norm der Internationalen Organisation von Normierung, die als DIN-Norm veröffentlicht ist, enthält u.a. Vorgaben zur Datensicherheit für verschiedene Organisationen. Vereinfacht gesagt, stellt diese Norm die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) dar.

Die Erfüllung ihrer Voraussetzungen und damit verbundene Zertifizierung gewährleistet dann unter Umständen den Nachweis an die Anforderungen des Art. 32 DSGVO und verhindert somit die hohen Bußgelder, die die DSGVO gemäß. für Verstöße gegen die Vorgaben zur Informationssicherheit androht.

Handlungsempfehlungen für Unternehmen

Für Unternehmen ist über die Implementierung eines ISMS nachzudenken, zumal die Möglichkeit besteht, dass Art. 32 dahingehend ausgelegt wird, dass ein ISMS zwingend zu implementieren ist und andere Gesetze (bspw. das Aktiengesetz und das IT-Sicherheitsgesetz) bereits eine solche Implementierung verlangen.

Haben Sie sich als Unternehmen für die Implementierung eines ISMS entschieden, ist es empfehlenswert nicht ausschließlich personenbezogene Daten, sondern alle vorhandenen Informationen zu schützen, unabhängig davon ob es sich um personenbezogene Daten handelt oder nicht.

Vds 10000

Die Richtlinien VdS 10000 – Cyber-Security für kleine und mittlere Unternehmen (KMU) enthalten Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen.

Sie sind speziell für KMU sowie für kleinere und mittlere Institutionen und Behörden ausgelegt. Ziel der VdS 10000 ist es, ein angemessenes Schutzniveau für kleine und mittlere Unternehmen und Organisationen zu definieren, was mit möglichst geringem Aufwand umgesetzt werden kann.

ISMS und ISO 27001

Umfassende ISMS und die ISO 27001 können im Idealfall dem Schutz der Informationssicherheit dienen und vor unbefugtem Zugriff schützen. Die Zertifizierung von ISMS z.B nach der ISO 27001 minimiert gegebenenfalls das Haftungsrisiko und die Höhe möglicher Strafzahlungen.

Zur Überprüfung der Informationssicherheit im Unternehmen, können Sie auf den veröffentlichen Fragebogen des Bayerischen Landesamtes für Datenschutzaufsicht als Leitlinie zurückgreifen.

Dieser bietet zusätzlich eine Checkliste für die Einhaltung weiterer Voraussetzungen der Datenschutzgrundverordnung (z.B. die Wahrung der Betroffenenrechte und Transparenzvorschriften).