Die
ISO/IEC 27001:2022 verlangt weder nach einem
Informations-Sicherheits-Beauftragten (ISB) noch wird ein ISB
im Wortlaut definiert. Recherchiert man etwas im Internet, finden sich zahlreiche Interpretationen, was ein ISB sein soll. Verlangt wird eine bzw. mehrere Rollen, die ein Unternehmen in Übereinstimmung seiner eigenen Anforderungen bestimmt (siehe auch
ISO/IEC 27002:2022 5.2 Information security roles and responsibilities). Hierzu gehört die Klärung der jeweiligen Aufgaben, Verantwortlichkeiten und (sehr wichtig) deren Autorität.
Umgangssprachlich, hat sich jedoch der Begriff
ISB etabliert und seine Rolle bzw. Aufgaben sind ein Pflichtbestandteil der
ISO/IEC 27001:2022,
vorausgesetzt seine Eigenschaften wurden ISO konform bestimmt.
Um den Anforderungen gerecht zu werden, empfiehlt es sich meiner Ansicht nach,
eine tabellarische Auflistung zu pflegen (z.B. nach dem
RACI Modell)
wo alle genaustens definierten Rollen und deren spezifischen Aufgaben und Eigenschaften hinterlegt sind.
Als extern beauftragter ISB, begleite ich Ihr ISMS objektiv und neutral, d. h.
ich vermeide Interessenskonflikte. Zu den Tätigkeiten können gehören:
- Begleitung des ISMS in Gänze und Sicherstellung der formalen Einhaltung aller Pflicht-Anforderungen.
- Basierend auf
jahrelange praktische Erfahrung im Bereich der IT-Sicherheit und der IT-Infrastruktur, kann ich als
Vollblut Informatiker Sie
ganzheitlich beraten.
Ganz gleich, ob Ihre Infrastruktur aus 50 oder 50.000 Assets besteht. - Koordination und Bewertung der Maßnahmen.
- Sichtung und Erstellung der Richtlinien, jeweils in enger Zusammenarbeit mit den beteiligten Personen.
- Stete Kommunikation mit allen Beteiligten und stete Beratung gegenüber dem Top-Management.
- Unterstützung bei strategischen Entscheidungen.
- Unterstützung bei der Risikobewertung.
- Unterstützung bei Sicherheitsvorfällen.
- Unterstützung bei der Überwachung aller Maßnahmen.
- Ich bilde Ihre IT-Teams bzw. eigenen ISBs mit aus --> "Learning on the job".
Die Rolle des ISB ist eine zentrale Schlüsselfigur in der Entwicklung und des Betriebes eines ISMS. Ferner muss ein ISB sich intensiv in die Prozesse eines Unternehmens einarbeiten und auch allen beteiligten Personen bekannt sein, daher ist der nötige zeitliche Aufwand über viele Monate hinweg zu planen.