Zum Inhalt springen

ISB

Zuletzt geändert von Burkard Hagspiel am 2024-02-02
Abkürzungen, Akronyme
ISB
Fachbegriff (in Deutsch)

Informationssicherheitsbeauftragter

Begriffe in Fachsprache

Informationssicherheitsbeauftragter

Definitionen und Erläuterungen

Informationssicherheitsbeauftragter

Der ISB nimmt die vom ISMS-Lenkungskreis an ihn delegierten Aufgaben war. Er ist direkt dem GF und dem ISMS-Lenkungskreis unterstellt und weisungsbefugt gegenüber den Mitarbeitern des ISMS in Belangen der Informationssicherheit.
Die Aufgabe des ISB besteht auch darin, die Geschäftsführung bei der Wahrnehmung deren Aufgaben bezüglich der Informationssicherheit zu beraten und bei deren Umsetzung zu unterstützen.

Aufgaben

  • Sicherstellen, dass alle Mitarbeiter sowie entsprechende externe Parteien mit der ISMS-Leitlinie vertraut sind (in Zusammenarbeit mit ISMS-Lenkungskreis).
  • Koordination ISMS-Betrieb. Leistungsfähigkeit des Systems sicherstellen. Verantwortung der Berichterstattung. (In Zusammenarbeit mit ISMS-Team)
  • Spezifikation der Informationssicherheits-Leitlinie, der Vorschriften und Anweisungen zur Informationssicherheit und der Sicherstellung der jährlichen Überarbeitung.
  • Koordination von Sensibilisierungs- und Schulungsmaßnahmen zum Thema Informationssicherheit. Gestaltung Programme zur Bewusstseinsbildung (Awareness) der Mitarbeitenden.
  • Mitwirkung im ISMS-Gremium und relevanten Arbeitskreisen. Beitrag zur kontinuierliche Verbesserung des ISMS.
  • Beratung des ISMS-Lenkungskreis über die Informationssicherheitsstrategie.
  • Unterstützung der IT-Abteilung bzw. der externen IT-Dienstleister bei der Erstellung von Richtlinien und Regelungen, auf welche Weise IT-Sicherheit im Unternehmen erreicht werden soll.
  • Durchführung von Risikoanalysen zur Erstellung des Informationssicherheitskonzepts.
  • Koordination der Informationssicherheitsziele mit den Unternehmenszielen.
  • Überprüfung des erstellten Informationssicherheitskonzeptes auf Korrektheit und Nachvollziehbarkeit.
  • Unterstützung der Unternehmensleitung über zu treffende, (kostenträchtige) Maßnahmen zur Informationssicherheit.
  • Kontrolle: Überwachen des Fortschritts der Realisierung der Informationssicherheitsmaßnahmen.
  • Sanktionierung: Sicherstellung der Ahndung von Verstößen im Zusammenwirken mit dem ISMS-Lenkungskreis.
  • Lieferantenmanagement: Prüfung der Verträge, Kontrolle und ggf. Auditierung der Dienstleister und Lieferanten.
  • Audits: Durchführung und Dokumentation interner Audits bzw. Unterstützung des internen Auditors.
  • Messung und Bewertung der Leistungsfähigkeit des ISMS.
  • Management-Reviews: Vorbereiten, Durchführen und Dokumentieren des jährlichen Reviews.
  • Maßnahmenmanagement: Verantwortliche Bewertung, Steuerung, Dokumentation und Wirksamkeitsprüfung der Maßnahmen (Korrektur-, Risikobehandlungs- und Verbesserungsmaßnahmen).
  • Informationssicherheitsvorfallsmanagement: Verantwortliche Stelle für die Meldung und Beurteilung von Ereignissen und Schwächen, die Beurteilung und Bearbeitung der Ereignisse und ggf. das Sammeln von Beweismaterial.
  • Business Continuity Management: Einbettung der Aufrechterhaltung der Informationssicherheit (Planung, Umsetzung und Überprüfung).

Befugnisse und Kompetenzen

  • Treiber in allen für die Informationssicherheit relevanten Themen und Richtungsgeber der Entwicklung.
  • Eingriff und Änderung in Vorhaben, die die Informationssicherheit berühren können (z.B. IT-Projekte, IT-Infrastruktur, Rahmenbedingungen mit Sicherheitswirkung).
  • Hat Mitsprache- und Vetorecht bei allen Entscheidungen, die seinen Verantwortungsbereich betreffen.
  • Hat direktes Vortragsrecht gegenüber der Geschäftsführung.
  • Hat Zutrittsrecht grundsätzlich zu allen Bereichen, in denen Informationstechnik eingesetzt wird und damit zusammenhängende Daten verarbeitet werden, und zu allen Bereichen, in denen relevante Geschäftsprozesse und Informationen bearbeitet werden.
  • Hat im Rahmen seiner Tätigkeit begrenztes Zugriffsrecht auf betroffenen IT-Systeme und damit verarbeitete Daten. (Je nach Art der Daten gesetzliche Mitbestimmungsrechte einzuhalten.)
  • Führt Revisionen im Themenbereich der Informationssicherheit durch bzw. veranlasst Revisionen durch unabhängige Dritte und überprüft so das aktuelle Informationssicherheitsniveau in seinem Aufgabenbereich.
  • Zentraler unabhängiger Ansprechpartner für alle Mitarbeitenden, Kunden, Geschäftsführer und sonstige interessierte Parteien in Fragen der Informationssicherheit.

Qualifikation

  • Abgeschlossenes Studium mit IT-Bezug, idealerweise ergänzt um kaufmännische Ausbildung oder vergleichbare Ausbildung bzw. Berufserfahrung.
  • ISMS-Ausbildung, Bestätigung durch ISMS Foundation.
  • Fachkenntnisse für die Erbringung der Leistungen des Unternehmens.
  • IT-Erfahrung.
  • ISMS Erfahrung.
  • Jährliche Schulung ISMS, regelmäßige Teilnahme am ISMS Schulungs-Zyklus.
  • Teilnahme an Schulungen zu allen gültigen Richtlinien und Prozessen (Präsens-Seminar oder Onlineschulung).
    Mindestens ein Weiterbildungsseminare pro Jahr im Themenbereich.
  • Kenntnis laufender Entwicklung mit Abonnement entsprechender Newsletter und Fachjournale.