+49 (0) 8323 – 209 99 40
info@immerce.de
Immerce GmbH Logo


IT SICHERHEITSBEAUFTRAGTER FÜR IHR UNTERNEHMEN

Wir unterstützen die Geschäftsleitung mit praktischer Erfahrung bei der Erfüllung ihrer Informationssicherheitsaufgaben.

✓ TÜV-geprüft und zertifiziert

✓ Beratung in allen Bereichen der IT-Sicherheit

✓ Überwachung der Security-Prozesse und IT-Projekte

Beratungsgespräch
Jetzt Anrufen!

Was ist ein IT-Sicherheitsbeauftragter?

Der IT-Sicherheitsbeauftragte ist der zentrale Koordinierungspunkt im Unternehmen, wenn es um Informationssicherheit geht.

Er berät bei der Gestaltung von IT-Sicherheitskonzepten und unterstützt die Implementierung der entsprechenden Geschäftsprozesse.

Im Hinblick auf die steigende Zahl von Cyberangriffen auf deutsche Unternehmen ist es auch für private Unternehmen ratsam, einen IT-Sicherheitsbeauftragten zu bestellen.

Gesetzliche Grundlagen

Eine gesetzliche Regelung zur Beschaffungspflicht eines IT-Sicherheitsbeauftragten gibt es nicht.

Im Gegensatz zum Datenschutzbeauftragten, sind Unternehmen grundsätzlich nicht dazu verpflichtet einen IT-Sicherheitsbeauftragten zu bestellen.

Eine Ausnahme besteht jedoch bei Betreibern öffentlicher Telekommunikationsnetze oder öffentlich zugänglicher Telekommunikationsdienste. Diese müssen gemäß des Telekommunikationsgesetz (TGK) § 109 Abs. 4 Satz 1 einen Sicherheitsbeauftragten ernennen und ein Sicherheitskonzept erstellen.

Auch Betreiber von kritischen Infrastrukturen wie beispielsweise in den Bereichen Finanzen, Ernährung, Strom- und Wasserversorgung, sind dazu verpflichtet einen IT-Sicherheitsbeauftragten zu beschäftigen.

Aufgaben eines IT-Sicherheitsbeauftragten

Die grundsätzliche Mission eines IT-Sicherheitsberaters besteht darin, die Unternehmensleitung bei Fragen zur IT-Sicherheit zu beraten und bei der Umsetzung der Aufgaben zu unterstützen.

Damit ist es jedoch noch nicht getan, er hat noch einige weitere Aufgaben welche er erfüllen sollte:

Durchführung einer grundlegenden Sicherheitsüberprüfung

Durchführen einer zusätzlichen Sicherheitsanalyse

Konsolidierung von Maßnahmen

Schulung der Mitarbeiter

Bewertung von IT-Sicherheitsvorfällen

Beratung der Geschäftsführung

Abhalten von internen Audits

Ausarbeitung von Sicherheitskonzepten

Darbieten von Hinweisen zu Sicherheitsstandards nach ISO 27001

Definition und Aktualisierung von IT-Sicherheitszielen

Entwicklung eines IT-Managementsystems

Pflege eines IT-Sicherheitskonzepts

Durchführung einer IT-Strukturanalyse

Bewerten der Schutzanforderungen

Umsetzung technischer und organisatorischer Maßnahmen

Erstellen eines Aktivitätsberichts des IT-Sicherheitsbeauftragten

Dokumentation von IT-Sicherheitsmaßnahmen und Zugangsbestimmungen

Koordination von Sensibilisierungs- und Schulungsmaßnahmen

Umsetzung von aktuellen Vorschriften

Beraten bei Fragen und Problemen

Befugnisse des IT-Sicherheitsbeauftragten

Der IT-Sicherheitsbeauftragte …

… ist weisungsbefugt gegenüber IT-Beauftragten und Systemadministratoren.

… ist organisatorisch der Unternehmensleitung unterstellt und hat damit direktes Vortragsrecht.

… hat ein Mitspracherecht bei allen Entscheidungen, die seinen Verantwortungsbereich betreffen.

… kann sich an Dienstberatungen, Projekt- und Leitungsbesprechungen beteiligen.

… hat Zugriff auf alle IT-Systeme und damit verarbeiteten Daten.

… hat Zutritt zu allen Betriebsbereichen.

… ist befugt, IT-Anwendungen ganz oder teilweise einzustellen, wenn die IT-Sicherheit gefährdet ist.

Informationssicherheitssystem (ISMS)

Die Abkürzung ISMS steht für Information Security Management System.

Im Deutschen wird dies als Managementsystem für die Informationssicherheit bezeichnet.

Aufgrund der zunehmenden Digitalisierung wird es für Betriebe immer essenzieller, sich vor Cyberangriffen zu schützen und für Informationssicherheit zu sorgen.

Ein Security Management System ist ein wesentliches Element des unternehmensweiten Risikomanagements und definiert Regeln und Maßnahmen, um die Informationssicherheit gewährleisten zu können.

Wichtige Schritte zur Umsetzung eines ISMS

Um ein Information Security Management System richtig umsetzen zu können, müssen einige wichtige Schritte beachtet werden. Dieser Prozess wird in Planung, Umsetzung und in die Aufrechterhaltung unterteilt.

Zieldefinition

Der erste Schritt beinhaltet das Festlegen der Ziele des ISMS.

Diese Zielsetzungen definieren, was das Information Security Management System leisten soll und welche Informationen und Werte des Unternehmens geschützt werden müssen.

Ebenfalls eindeutig festzulegen sind die Anwendungsbereiche als auch Grenzen des ISMS.

Risikoanalyse

Im zweiten Schritt muss der aktuelle Stand der Informationssicherheit bestimmt werden, um mögliche Risiken identifizieren und einordnen zu können. Dafür könne verschiedene Methoden herangezogen werden.

Es muss eine Übersicht darüber geschaffen werden, welche Auswirkungen und Folgen die einzelnen Risiken haben können. Ferner braucht es eine Bewertung der Eintrittswahrscheinlichkeit.

Ein Verfahren hierfür könnte die Risikomatrix sein.

Auswahl und Umsetzung

Im dritten Schritt werden die Gegenmaßnahmen ausgearbeitet, welche die Minimierung von Bedrohungsszenarien zum Ziel haben.

Außerdem müssen diese Maßnahmen eine angemessene Reaktion auf Sicherheitsvorfälle ermöglichen.

Diese Gegenmaßnahmen beziehen sich aber nicht nur auf die IT-Abteilung. Sie betreffen alle Bereiche des Unternehmens und damit nicht nur digitale und virtuelle, sondern auch physische Sicherheitsaspekte.

Wartung und Optimierung

Nach der Umsetzung der Gegenmaßnahmen, müssen diese ständig geprüft und optimiert werden.

Sobald in diesem Prozess Mängel bzw. neue Risiken auftreten und erkannt werden, wird der gesamte ISMS-Prozess erneut durchlaufen.

Strategisches Informationsmanagement im Unternehmen

Die Ernennung eines externen Informationssicherheitsbeauftragten hat viele Vorteile.

Für diese Aufgabe sind in der Regel umfangreiche technische und organisatorische Kenntnisse erforderlich.

Interne Dienstleister können dies häufig nicht leisten, da sie nur die Prozesse des eigenen Unternehmens kennen.

Ein externer Informationssicherheitsbeauftragter kann häufig besser beurteilen, welches Konzept für das jeweilige Unternehmen am besten geeignet ist.

Zertifizierte Expertise

Unsere externen Informationssicherheitsbeauftragten sind zertifizierte Auditoren für ISO 27001 und BSI-Grundschutz.

Keine Interessenskonflikte

Als Externe können unsere Berater ihre Kontrollfunktion gegenüber IT-Leitung und Geschäftsführung optimal wahrnehmen.

Vielfältige Erfahrung

Durch die Tätigkeit für unterschiedliche Unternehmen verschiedenster Branchen verfügen unsere Experten über umfassende Erfahrungen, die ein Angestellter meist nicht aufweisen kann.

Schulungserfahrung

Unsere Sicherheitsbeauftragten sind gleichzeitig Ihre persönlichen Trainer und verfügen über umfassende Schulungserfahrungen im Bereich der Informationssicherheit.

Keine Betriebsblindheit

Im Gegensatz zu Mitarbeitern als internen Sicherheitsbeauftragten werden externe Beauftragte für Informationssicherheit nicht betriebsblind.

Wie gehen wir vor?

Schritt

Zunächst erstellen wir ein Inventar mithilfe eines Vor-Ort-Audit, bei dem die IT-Infrastruktur Vorschriften dokumentiert und ausgewertet werden.

Schritt

Danach folgt die Überprüfung des aktuellen Sicherheitsniveaus im Unternehmen. Dabei werden Sicherheitslücken und / oder Sicherheitsrisiken identifiziert und zur weiteren Optimierung der IT-Sicherheit verwendet.

Schritt

Die Tätigkeitsbereiche des externen IT-Sicherheitsbeauftragten werden kurz- oder langfristig in Absprache mit dem Management definiert und umgesetzt.

Schritt

Anschließend fungiert der IT-Sicherheitsbeauftragte als kompetenter Ansprechpartner für alle IT-Sicherheitsfragen.

Jetzt Beratungstermin vereinbaren.

Exzellente Beratung für Sie

Frank Müns

Frank Müns

Dipl. Wirtschaftsingenieur

Externer Datenschutzbeauftragter TÜV zertifiziert
Externer ITSecurity Auditor TÜV zertifiziert

Menü
Beratung
Telefon
Beratung Pop-up
Datenschutzerklärung

Hiermit erteile ich meine Einwilligung, ein Angebot per Mail über die Dienstleistung von www.immerce-consulting.de zu erhalten. Dies kann ich jederzeit widerrufen.
Bitte beachten Sie unsere Datenschutzerklärung.

Telefon:

+49 (0)8323 – 209 99 40

Öffnungszeiten:
Mo. - Fr.: 08:00 - 17:30 Uhr