Ausgliederung des Informationssicherheitsbeauftragten (ISB)

Ausgangssituation und Zielsetzung

Eine mittelgroße Versorgungskasse prüfte die Ausgliederung der Funktion des Informationssicherheitsbeauftragten. Die Zielsetzung dabei war, den regulatorischen Anforderungen gerecht zu werden, aber in gleichem Maße fachlichen Input zum Informationssicherheits-Management zu erhalten. Dabei sollten die Rahmenbedingungen des Unternehmens, ein angemessener Sicherheitsstandard und die Wirtschaftlichkeit in Einklang gebracht werden. Ferner sollte auch die Unabhängigkeit des Informationssicherheitsmanagements (ISMS) gewährleistet und Interessenskonflikte zur IT vermieden werden.

Vorgehensweise

• Status-quo-Analyse im Rahmen eines IT-Sicherheits-Checks (VAIT-Check)
• Darauf aufbauend Workshop mit dem Vorstand und IT-Ansprechpartnern zu den Ergebnissen, Identifizierung notwendiger Handlungsfelder und Priorisierung der weiteren Vorgehensweise
• Gemeinsame Festlegung eines ISMS-Plans (Maßnahmen/Umfang/Zeitablauf) und die dafür erforderlichen regelmäßigen Tätigkeiten des externen Informationssicherheitsbeauftragten
• Der Kunde budgetierte eine regelmäßige monatliche Überwachung sowie ein Kontingent für abgestimmte zusätzliche Tätigkeiten/ISMS Projekte

Ergebnis und Ausblick

Durch die Ausgliederung des ISB erhöhte sich für das Unternehmen sehr schnell die Transparenz und der fachliche sowie regulatorische Input zum Informationssicherheits-Management. Die Strukturierung der Vorgehensweise auf Grundlage des IT-Sicherheits-Checks führte zu einer schnellen und reibungslosen Integration des externen ISB in das bestehende Team des Kunden.

Der externe ISB ist jederzeit ansprechbar für das Unternehmen und nimmt an relevanten Besprechungen meist online teil. Er arbeitet eng mit den IT-Ansprechpartnern des Kunden zusammen und unterstützt z. B. bei der Erstellung der erforderlichen Unterlagen (Arbeitsanweisungen, Leitlinien etc.).