WISSEN · SYSTEME · WERKZEUGE

Welche Aufgaben übernimmt ein Informationssicherheitsbeauftragter?

Ein Informationssicherheitsbeauftragter (ISMS Beauftragter) ist im Unternehmen für die Einführung, Betreuung und Weiterentwicklung eines Informationssicherheitsmanagementsystems (ISMS) verantwortlich. Er ist also zentraler Ansprechpartner rund um das Managementsystem und somit verantwortlich für die Informationssicherheit im gesamten Unternehmen. Dabei sorgt er für die Einhaltung von normativen Forderungen zur Informationssicherheit gemäß ISO 27001. Unternehmen, die ein Managementsystem gemäß der ISO 27001:2017 implementiert haben, aber nicht über ausreichend personelle Ressourcen zur Benennung eines Beauftragten verfügen, können diese Position auch auslagern. Ein externer Informationssicherheitsbeauftragter ist ebenfalls normkonform. Dabei ist aber zu beachten, dass ein Informationssicherheitsbeauftragter ISB heute von zentraler Bedeutung für Betriebe ist. Informationen sind schließlich sehr wertvolle Güter für Organisationen. Zumeist liegen diese Informationen in digitaler Form vor, sie werden in IT-Systemen verarbeitet und gespeichert. Selbstverständlich können sie aber auch in Papierform oder mündlich überliefert sein. Als ISB beugen Sie u.a. dem Diebstahl von Informationen vor, dieser kann für Ihren Betrieb existenzbedrohend sein.

Warum sollten Unternehmen einen Informationssicherheitsbeauftragten benennen?

Die Norm ISO 27001 enthält, ebenso wie beispielsweise die QM Norm ISO 9001, keine explizite Forderung nach der Position „Informationssicherheitsbeauftragter“. Unternehmen, die ein Managementsystem zur Informationssicherheit eingeführt haben oder dies beabsichtigen, sollten dennoch die Benennung eines Beauftragten in Betracht ziehen. Die Betreuung, Kontrolle und Weiterentwicklung eines ISMS ist nämlich mit zahlreichen Aufgaben und entsprechendem Aufwand verbunden. Verantwortlich für diese Tätigkeiten sind gemäß der ISO 27001 Norm entweder die Führung selbst oder „die Organisation“ vertreten durch „Personen mit Verantwortung für Informationssicherheit“. Die Umsetzung der Aufgaben und Verantwortlichkeiten kann dabei am besten durch eine definierte Position – einem ISB – gewährleistet werden.

Welche Aufgaben übernimmt ein Informationssicherheitsbeauftragter?

Aber welche Aufgaben übernimmt ein ISMS Beauftragter nun genau?

Der Beauftragte für Informationssicherheit ist im Wesentlichen für die systematische Umsetzung der normativen Forderungen im ISMS zuständig. Zudem ist die kontinuierliche Verbesserung der für die IT-Sicherheit relevanten Prozesse eine weitere Aufgabe des Beauftragten. In diesem Zusammenhang identifiziert der ISMS Beauftragte mögliche Sicherheitslücken sowie Risiken und stuft diese nach ihrer Schwere ein. Auf dieser Basis leitet ein Informationssicherheitsbeauftragter dann geeignete Sicherheitsmaßnahmen ein. Außerdem ist er dafür verantwortlich, der Unternehmensleitung über die Leistung des Managementsystems zu berichten und Potenziale zur Verbesserung der Leistung aufzuzeigen. Mithilfe interner Audits schafft sich der Beauftragte dafür einen Überblick, inwieweit die Mitarbeiter die Informationssicherheit im Unternehmen umsetzen.


Präsenzschulung Basiswissen Informationssicherheitsmanagement ISO 27001

Unser Tipp

Präsenzschulung: Im Basiswissen ISO 27001 lernen Sie alles zur Einführung, laufenden Betreuung sowie Zertifizierung eines Informationssicherheitssystems nach ISO 27001.

E-Learning Kurs: Zudem können Sie diese Schulung auch online als E-Learning Kurs absolvieren. Sparen Sie somit Zeit und lernen Sie in Ihrem optimalen Tempo. Werfen Sie hier direkt einen Blick in den kostenlosen Demokurs!


Zusammenfassung der operativen Aufgaben als Informationssicherheitsbeauftragter im Rahmen des Managementsystem

Im Folgenden fassen wir die Verantwortlichkeiten eines ISB in Bezug auf das ISO 27001 Managementsystem zusammen:

  • Betreuung sowie Weiterentwicklung des ISMS
  • Erstellung Bericht - Berichtspflicht an die oberste Leitung
  • Unterstützung der Leitung bei der Festlegung des Anwendungsbereichs des Informationssicherheitsmanagementsystems
  • Unterstützen der Unternehmensleitung bei der Vorgabe der Leitlinie für Informationssicherheit und der Ziele
  • Support der Leitung bei der Integration der Anforderungen eines ISMS in die organisatorischen Prozesse
  • Planung sowie Steuerung der Umsetzung von Maßnahmen zum Umgang mit Risiken und Chancen – Erstellen einer Erklärung zur Anwendbarkeit der erforderlichen Maßnahmen
  • Planen und Umsetzen eines Risikomanagements im Bereich der Informationssicherheit
  • Schulungsbedarfe in der Organisation ermitteln
  • Bewusstseinsbildung zum Umgang mit sensiblen Daten bei den Mitarbeitern der Organisation herbeiführen
  • Interne und externe Kommunikation zur Informationssicherheit durchführen
  • Leistung des ISMS überwachen, messen, analysieren und bewerten
  • Dokumentenmanagement durchführen
  • Interne Audits managen und durchführen
  • Unterstützung der Leitung bei deren Überprüfung des Informationssicherheitssystems
  • Fehlermanagement einführen und Einhaltung überwachen
  • Fortlaufende Verbesserung implementieren und Umsetzung steuern

Der Informationssicherheitsbeauftragte ist auch noch für weitere spezifische Tätigkeiten verantwortlich

Neben seinen operativen Aufgaben im Rahmen des ISMS übernimmt der ISO 27001 Beauftragte weitere Verantwortlichkeiten. So entwickelt er beispielsweise fachbereichsübergreifende Sicherheitskonzepte. Hierzu können unter anderem Konzepte zum Umgang mit Smartphones, zur Telearbeit oder der Einstufung von Informationen zählen. Ebenfalls überprüft er Sicherheitsvorfälle (z.B. wenn jemand das IT-System des Unternehmens hackt und an vertrauliche Informationen gelangt) und überprüft externe Dienstleister insofern diese im Bereich der IT-Sicherheit relevant sind. Sensible Informationen sollen auch durch externe Dienstleister mit größtmöglicher Vertraulichkeit und Sorgfalt behandelt werden.

Welche Kompetenzen benötigt ein Informationssicherheitsbeauftragter nach ISO 27001?

Durch das breit gefächerte Aufgabenspektrum des Informationssicherheitsbeauftragten sind neben den rein fachlichen Qualifikationen auch persönliche Kompetenzen gefragt, um das System normkonform zur ISO 27001 zu betreuen und weiterzuentwickeln. Zur Betreuung des Systems für Informationssicherheit agiert der Beauftragte als Schnittstelle und Moderator permanent zwischen den fachlichen Abteilungen, dem Management und der obersten Leitung. Hierbei fungiert er auch als Motivator und Vermittler. Kommunikationsfähigkeit und soziale Kompetenz sind demnach sehr wichtig, um die Aufgaben als Informationssicherheitsbeauftragter ISB zu erfüllen. Ebenso muss er teamfähig sein und über Durchsetzungsvermögen verfügen.

Zudem ist er auch gegenüber der externen Zertifizierungsstelle im Rahmen der Zertifizierungsaudits der Ansprechpartner. In all diesen Schnittstellen ist die Funktion des Beauftragten die beteiligten Personen von den notwendigen Aufgaben zu überzeugen, hierfür zu motivieren und für eine vollständige Umsetzung zu sorgen. Dazu müssen auch Kompetenzen zur Anwendung von Moderationstechniken und Problemlösungstechniken vorhanden sein, welche dann gezielt in der Moderation von Sachthemen zum Einsatz kommen. Ebenso sind Führungskompetenzen, z.B. zum Führen des ISMS-Teams sehr hilfreich für die Tätigkeit.

Ihre Informationssicherheitsbeauftragter Schulung ISO 27001

Die fachlichen Fähigkeiten beziehen sich in der Regel auf die adäquate Ausbildung zum ISMS Beauftragten. Dabei sind normative Kenntnisse zur ISO 27001 aber auch Kenntnisse zur Durchführung, Vor- und Nachbereitung interner Audits gefragt. Zudem sind selbstverständlich sehr gute IT-Kenntnisse sowie IT-Sicherheitskenntnisse von zentraler Bedeutung. Zusätzlich zu den bereits genannten Punkten muss die Geschäftsführung sicherstellen, dass der Informationssicherheitsbeauftragte über Unternehmensziele und –strategien bestens Bescheid weiß, damit er seine Sicherheitsziele entsprechend ableiten kann. Dabei müssen Sie stets darauf achten, dass auch zeitliche Ressourcen zur Verfügung stehen müssen. Dies ist oftmals bei kleineren Unternehmen ein Knackpunkt, wenn der ISMS Beauftragte seine Aufgabenfelder nur als „Nebenjob“ wahrnehmen kann.

Unsere Ausbildungsgrafik zeigt Ihnen alle Schritte Ihrer Informationssicherheitsbeaugftragter Schulung ISO 27001. Lernen Sie beispielsweise im Seminar Interner Auditor ISMS, wie Sie Ihr ISO 27001 System zielgerichtet auditieren und dokumentieren. Anschließend können Sie sich in der Schulung ISMS Beauftragter ISO IEC 27001 zum Informationssicherheitsbeauftragten ausbilden klassen und die entsprechenden Aufgaben in Ihrem Betrieb übernehmen.

Ihre Informationssicherheitsbeauftragter Schulung ISO 27001

IT-Sicherheit und Informationssicherheit – was ist der Unterschied?

Abschließend noch ein kurzer Exkurs zu den Unterschieden von IT-Sicherheit und Informationssicherheit. Der Bereich IT-Sicherheit definiert im Unternehmen ausschließlich den Schutz von IT-Systemen, als IT-Sicherheitsbeauftragter bewegt sich demnach in technischen Systemen. Die Informationssicherheit geht darüber hinaus. Sie befasst sich mit dem Schutz aller sensiblen Informationen im Unternehmen. D.h. als Informationssicherheitsbeauftragter befassen Sie sich zusätzlich zur IT-Welt mit nicht-technischen Systemen. Dies kann beispielhaft das bestehende Papier-Archiv in Ihrer Institution oder Informationen über das die Mitarbeiter verfügen umfassen. Bedrohungen für die Informationssicherheit können also ebenfalls aus dem IT-Bereich sowie aus der realen Welt stammen. Beispiele sind Hacking-Angriffe, Feuer, Sabotage usw.

Informationssicherheit geht demnach über die IT-Sicherheit hinaus und beinhaltet auch Sicherheits-Maßnahmen wie etwa Zugangskontrollen zum Gebäude oder Mitarbeiter Schulungen zur Sensibilisierung für Themen der Informationssicherheit.


Weitere interessante Wissens-Artikel zum Thema ISMS ISO 27001 finden Sie hier: Fachwissen zum Thema Informationssicherheitsmanagement.


Sie haben Fragen oder wünschen ein Angebot?
Ich helfe Ihnen gerne weiter!

Kati Brehmer
Produktmanagement Training & PRO SYS
Tel.: 07231 92 23 91 - 29
E-Mail: kbrehmer@vorest-ag.de


Unsere Serviceangebote im Bereich Qualitätsmanagement ISO 9001