Ausgangssituation und Zielsetzung
Eine mittelgroße Versorgungskasse prüfte die Ausgliederung der Funktion des Informationssicherheitsbeauftragten. Die Zielsetzung dabei war, den regulatorischen Anforderungen gerecht zu werden, aber in gleichem Maße fachlichen Input zum Informationssicherheits-Management zu erhalten. Dabei sollten die Rahmenbedingungen des Unternehmens, ein angemessener Sicherheitsstandard und die Wirtschaftlichkeit in Einklang gebracht werden. Ferner sollte auch die Unabhängigkeit des Informationssicherheitsmanagements (ISMS) gewährleistet und Interessenskonflikte zur IT vermieden werden.
Ergebnis und Ausblick
Durch die Ausgliederung des ISB erhöhte sich für das Unternehmen sehr schnell die Transparenz und der fachliche sowie regulatorische Input zum Informationssicherheits-Management. Die Strukturierung der Vorgehensweise auf Grundlage des IT-Sicherheits-Checks führte zu einer schnellen und reibungslosen Integration des externen ISB in das bestehende Team des Kunden.
Der externe ISB ist jederzeit ansprechbar für das Unternehmen und nimmt an relevanten Besprechungen meist online teil. Er arbeitet eng mit den IT-Ansprechpartnern des Kunden zusammen und unterstützt z. B. bei der Erstellung der erforderlichen Unterlagen (Arbeitsanweisungen, Leitlinien etc.).