Skip to content

Externer IT-SIcherheitsbeauftragter

IT-Sicherheit in kleinen und mittleren Unternehmen (KMU)

Informationssicherheit ist für Unternehmen von grundlegender Bedeutung. Neben dem eigenen Interesse, die Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten und sensiblen Unternehmensinformationen zu sichern, gibt es gesetzliche Vorgaben, beispielsweise die Vorgaben der kaufmännischen Sorgfaltspflichten, das BDSG-neu, die DSGVO oder das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich.

Durch diese Vorgaben wird Informationssicherheit zum Teil des betrieblichen Risikomanagements.

Der (externe) IT-Sicherheitsbeauftragte ist Koordinator und Schnittstelle im Unternehmen, wenn es um Informationssicherheit geht. Er berät die Unternehmensleitung bei der Gestaltung der IT-Sicherheit und unterstützt sie bei der Umsetzung von IT-Projekten.

Die Benennung eines externen IT-Sicherheitsbeauftragten bietet den Vorteil, auf die Expertise eines externen Spezialisten zugreifen zu können; durch die Einbindung eines Dienstleisters wird ebenfalls ein möglicher Interessenkonflikt vermieden.

Aufgaben des (ext.) IT-Sicherheitsbeauftragten

  • Beratung bzgl. Informationssicherheits-Managementsystems (ISMS)
  • Erstellung von Sicherheitsrichtlinien und -konzepten
  • Erstellung von Bedrohungs- und Risikoanalysen
  • Durchführung von Audits und Penetrationstests
  • Überprüfung von Sicherheitsvorfällen
  • Mitarbeit bei sicherheitsrelevanten Projekten
  • Durchführung von Schulungen
  • Informationsaustausch mit Fachbereichen und Projektverantwortlichen
  • Berichterstattung an Geschäftsführung und Vorstände

Was ist der Unterschied zwischen Informationssicherheit und Datenschutz

Bei dem Datenschutz geht es um den Schutz der Privatsphäre einer jeden Person und ihrem Recht auf informationelle Selbstbestimmung sowie dem Schutz ihrer Daten vor missbräuchlicher Verwendung.

Der Begriff Informationssicherheit befasst sich mit dem Schutz von Informationen, unabhängig davon ob diese einen Personenbezug aufweisen oder nicht. Ebenfalls unerheblich ist, ob es sich um digitale oder analoge Informationen handelt.

Datenschutz und Datensicherheit. Zwei einander bedingende Bausteine der DSGVO.

Dokumenten-Check

Informationssicherheit in einem Unternehmen besteht (wenn überhaupt) maximal zur Hälfte aus technischen Maßnahmen. Ein höherer Anteil entfällt auf organisatorische und menschliche Faktoren. Im Fokus einer strukturierten IT-Sicherheit steht daher neben der Identifizierung geeigneter technischer Vorkehrungen die Schaffung eines Sicherheitsbewusstseins unter den Mitarbeiter.

Unser Dokumenten-Check liefert Ihnen eine belastbare Aussage zu allen im Unternehmen genutzten Betriebsverenbarungen, Richtlininen und Dokumentationen, die Sie zur Schaffung von IT-Sicherheit sowie dem Nachweis der Datenschutzkonformität benötigen. Zum Beispiel:

  • Leitlinie zur Informationssicherheit
  • Anwenderhandbücher und "Starter Pakete"
  • Auftragsdatenverarbeitung für externe Dienstleister
  • Vertraulichkeitsvereinbarungen/ NDA
  • Sicherheitsrichtlinien
  • Notfallmeldungen

Der Check umfasst die organisatorische Aspekte zur Informationssicherheit auf Grundlage der VdS 3473. Berücksichtigt werden weiterhin die internen Vorgaben / Compliance sowie die Regelung des BDSG / DSGVO.

Durch Informationssicherheits-Managementsysteme (ISMS) werden Prozesse und Richtlinien technischer und nicht-technischer Art in Unternehmen etabliert, um die Datensicherheit zu gewährleisten. Vor allem werden ständige Kontrollen und daraus abgeleitete Verbesserungsvorschläge etabliert.

Ein weiterer Vorteil der Implementierung eines groß angelegten ISMS ist eine (wahrscheinliche) Zertifizierung nach der ISO 27001. Diese Norm der Internationalen Organisation von Normierung, die als DIN-Norm veröffentlicht ist, enthält u.a. Vorgaben zur Datensicherheit für verschiedene Organisationen. Vereinfacht gesagt, stellt diese Norm die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) dar.

Die Erfüllung ihrer Voraussetzungen und damit verbundene Zertifizierung gewährleistet dann unter Umständen den Nachweis an die Anforderungen des Art. 32 DSGVO und verhindert somit die hohen Bußgelder, die die DSGVO gemäß. für Verstöße gegen die Vorgaben zur Informationssicherheit androht.

Handlungsempfehlungen für Unternehmen

Für Unternehmen ist über die Implementierung eines ISMS nachzudenken, zumal die Möglichkeit besteht, dass Art. 32 dahingehend ausgelegt wird, dass ein ISMS zwingend zu implementieren ist und andere Gesetze (bspw. das Aktiengesetz und das IT-Sicherheitsgesetz) bereits eine solche Implementierung verlangen.

Haben Sie sich als Unternehmen für die Implementierung eines ISMS entschieden, ist es empfehlenswert nicht ausschließlich personenbezogene Daten, sondern alle vorhandenen Informationen zu schützen, unabhängig davon ob es sich um personenbezogene Daten handelt oder nicht.

Die Richtlinien VdS 3473 – Cyber-Security für kleine und mittlere Unternehmen (KMU) enthalten Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen.

Sie sind speziell für KMU sowie für kleinere und mittlere Institutionen und Behörden ausgelegt. Ziel der VdS 3473 ist es, ein angemessenes Schutzniveau für kleine und mittlere Unternehmen und Organisationen zu definieren, was mit möglichst geringem Aufwand umgesetzt werden kann.

Umfassende ISMS und die ISO 27001 können im Idealfall dem Schutz der Informationssicherheit dienen und vor unbefugtem Zugriff schützen. Die Zertifizierung von ISMS z.B nach der ISO 27001 minimiert gegebenenfalls das Haftungsrisiko und die Höhe möglicher Strafzahlungen.

Zur Überprüfung der Informationssicherheit im Unternehmen, können Sie auf den veröffentlichen Fragebogen des Bayerischen Landesamtes für Datenschutzaufsicht als Leitlinie zurückgreifen.

Dieser bietet zusätzlich eine Checkliste für die Einhaltung weiterer Voraussetzungen der Datenschutzgrundverordnung (z.B. die Wahrung der Betroffenenrechte und Transparenzvorschriften).

Unsere Leistungen und Services als externer ISB

Als Beratungsdienstleister unterstützen wir Sie bei der Ausarbeitung und Entwicklung einer IT-Sicherheitsstrategie, die zu Ihrem Unternehmen passt. Der Schwerpunkt liegt in dem Aufbau der Organisation zur Gewährleistung eines angemessenen IT-Sicherheitsstandards.

Bei uns erhalten Sie keine Produkte zur IT-Sicherheit, wir verändern Ihre Organisation, damit der Prozess "IT-Sicherheit" einwandfrei funktioniert. Mit Methodik die sich an den Geschäftsprozessen orientiert, helfen wir Ihnen bei der Auswahl der Hard- und Softwarekomponenten zur Verbesserung der Informationssicherheit.

Sie erhalten von uns Unterstützung bei der Suche nach einem passenden Systemhaus oder Rechenzentrumsbetreiber.

Wir freuen uns auf Ihr Projekt!

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.

CORTINA CONSULT DURCHSUCHEN

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

Ihr Ansprechpartner

Externer Datenschutzbeauftragter Osnabrück - Jörg Ter Beek

Jörg ter Beek
+49 251 2979474-1
jtb@cortina-consult.de

Schreiben Sie uns:
0251 29794740 Schreiben Sie uns Remote-Desktop download