0800 / 27 00 001
Wir freuen uns auf Ihre Anfragen
Externer Informationssicherheitsbeauftragter (ISB)
Der Anteil an Sicherheitsthemen in Unternehmen nimmt einen immer größeren Stellenwert ein. Ein Unternehmen muss sich heutzutage mit vielen Sicherheitsthemen auseinanderzusetzen. Der Teil „Informationssicherheit“ IS (siehe Grafik gelbe Markierung) gewinnt dabei in Unternehmen, insbesondere im Finanzsektor, immer mehr an Bedeutung. Dies liegt unter anderen auch an den Regulierungen, die das Bundesamt für Finanzen (BaFin) erlassen hat. Hierzu zählen:
- Bankaufsichtliche Anforderungen an die IT (BAIT) vom September 2018
- Versicherungsaufsichtliche Anforderungen an die IT (VAIT) vom März 2019
- Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT) vom Oktober 2019
- Zahlungsdiensteaufsichtliche Anforderungen an die IT (ZAIT) vom November 2021
Darin wird unter anderem gefordert, dass für die Sicherstellung der Informationssicherheit im Unternehmen ein sog. Informationssicherheitsbeauftragter (ISB) oder auch Chief Information Security Officer (CISO) benannt werden muss. Diese Funktion umfasst die Verantwortung für die Wahrnehmung aller Belange der Informationssicherheit innerhalb des Unternehmens und gegenüber Dritten. Sie stellt sicher, dass die in der IT-Strategie, der Informationssicherheitsleit- und -richtlinien des Unternehmens festgelegten Ziele und Maßnahmen hinsichtlich der Informationssicherheit sowohl intern als auch gegenüber Dritten transparent gemacht wird. Ebenfalls muss die Einhaltung der Vorgaben gewährleistet werden und regelmäßig bzw. anlassbezogen überprüft und überwacht werden.
Aufgaben des externen Informationssicherheitsbeauftragten
Unter bestimmten Voraussetzungen darf diese Funktion auch ausgelagert werden. Wir können Ihnen sagen unter welchen Rahmenbedingungen Sie einen externen CISO beauftragen können, und würden uns freuen, diese Rolle für Sie übernehmen zu dürfen. Dabei nehmen wir die folgenden Aufgaben für Sie wahr:
- Etablierung eines Managementsystems zur Informationssicherheit (ISMS – Information Security Management System)
- Erarbeitung von Schutzzielen für die unternehmenskritischen Werte (Assets), deren Bedrohungen und ihren Risiken und den aus der Informationssicherheits-Strategie abgeleiteten Sicherheitszielen.
- Durchführung von Risiko-Assessments und Business Impact Analysen (BIA)
- Aufbau und Betrieb einer Organisationseinheit zur Umsetzung der Sicherheitsziele abgeleitet von der IS-Strategie
- Ausarbeitung, Anpassung von Sicherheitsrichtlinien und -vorgaben
- Auditierung der Funktionseinheiten zum Stand der Umsetzung und Weiterentwicklung der Sicherheitsvorschriften
- Sensibilisierung der Mitarbeiter für Informationssicherheit durch Trainings und Kampagnen schaffen
- Aufstellen von Empfehlungen, Richtlinien, Vorgaben und Zielen für die Informationssicherheit
- Durchführung von Trainings, Workshops und Sensibilisierungs-Kampagnen zur Informationssicherheit
- Sicherstellung und Überprüfung der Einhaltung datenschutzrechtlicher Vorgaben
- Portfolio-Management der sicherheitsrelevanten Geschäftsprozesse
- Kontinuierliche Analyse und Optimierung der Informationssicherheit im Unternehmen
- Abstimmung mit den Stakeholdern und der Unternehmensleitung zur Etablierung der Informationssicherheit
Vorteile des externen Informationssicherheitsbeauftragten
Insbesondere kleine und mittelständische Unternehmen beanspruchen mittlerweile das Angebot eines externen Informationssicherheitsbeauftragten. Dies hat folgende Vorteile:
- Reduzierte Weiterbildungsaufwände des eigenen Personals, das spart Zeit und Kosten
- Stets aktuelles Expertenwissen durch kontinuierliche Weiterbildungen des externen ISB
- Rechtzeitige Information bei neuen und anstehenden Themen, z.B. Digital Operational Resilience Act (DORA), Cyber Resilience Act (CRA), EU-Richtlinie über Netz- und Informationssicherheit (NIS2), etc.
- Gezielter und kalkulierbarer Einsatz durch ein definiertes Zeitbudget
- höhere Akzeptanz bei Mitarbeitern (insbesondere bei anstehenden Veränderungen), wenn die Vorschläge von einem externen Berater kommen
- schnelle Umsetzung mit geringerem Aufwand für erforderliche Maßnahmen - durch Praxiserfahrung und Expertenwissen des externen Informationssicherheitsbeauftragten
Bei Bedarf übernehmen wir für Sie gerne die Rolle des externen Informationssicherheitsbeauftragten.
Bei Interesse unterstützen wir Sie auch im Bereich der Datenschutz. Sollten Sie aus einer Branche stammen, bei der die Benennung eines Datenschutzbeauftragten erforderlich ist, können Sie Synergieeffekte nutzen, in dem Sie beide Rollen durch uns ausüben lassen. Diese Synergieeffekte können wir Ihnen in Form eines lukratives Gesamtpaket anbieten.
Gerne informieren wir Sie in einem ersten kostenlosen und unverbindlichen Informationsgespräch.