ISB (InfoSec)

Informationssicherheitsbeauftragte (ISB), auch Chief Information Security Officer (CISO) oder Information Security Officer (ISO) genannt, sind Personen, die für die Planung, Koordination und Umsetzung von Massnahmen zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und IT-Systemen in einem Unternehmen verantwortlich sind. Dabei unterscheiden sich diese drei massgeblich durch die Budgetverantwortung.

ISB analysieren die bestehenden Risiken und Schwachstellen, erstellen Sicherheitsrichtlinien und -prozesse, schulen die Beschäftigten im sicheren Umgang mit Daten, führen Sicherheitsaudits durch, reagieren auf Sicherheitsvorfälle und berichten an die Geschäftsleitung über den Status der Informationssicherheit. ISB sind nicht nur für technische Aspekte der Informationssicherheit zuständig, sondern auch für organisatorische, rechtliche und strategische Fragen. Sie müssen die Anforderungen und Ziele des Unternehmens verstehen, die relevanten gesetzlichen und branchenspezifischen Standards einhalten, die Sicherheitskultur fördern und das Bewusstsein für die Bedeutung der Informationssicherheit erhöhen.

Warum ist Informationssicherheit für ihr Unternehmen wichtig?
Benötigen Sie eine:n CISO/ISB/ISO?
Welche Tätigkeiten übernimmt ein:e CISO/ISB/ISO von SIDD?
Wieviel Aufwand hat ein:e CISO/ISB/ISO?
Warum Sie uns als externe:r CISO/ISB/ISO benennen sollten?
Welche Pakete bietet SIDD an?
Was geschieht nach der Beauftragung von SIDD?

Warum ist Informationssicherheit wichtig für Ihr Unternehmen?

70%

der Cyber Angriffe richten sich gegen KMUs

Mehr hierzu

Hier ein paar aktuelle Beispiele:

  • Mercedes Benz, gesamte Gitlab Daten (Code) online
  • 23andme, von ca. 6 Millionen Kunden DNA Daten veröffentlicht.
  • Trello, Daten von über 15 Millionen Kunden gehackt
  • Motel One, Ransomware Angriff
  • Verivox, Software-Schwachstelle

25%

der Führungskräfte integrieren Datensicherheits-funktionen in Produkte, Dienstleistungen und Beziehungen zu Dritten

Mehr hierzu

Führungskräfte integrieren Datensicherheitsfunktionen effektiv, indem sie bereits in der Entwicklungsphase auf „Security by Design“ setzen. Regelmässige Sicherheitsaudits und die Schulung der Beschäftigten stärken die interne Sicherheitskompetenz. In der Zusammenarbeit mit Drittanbieter:innen ist die Einhaltung klar definierter Sicherheitsanforderungen essenziell. Dies wird durch vertraglich festgelegte Standards und regelmässige Überprüfungen sichergestellt. Eine umfassende Datenschutzstrategie, die sowohl technische als auch rechtliche Aspekte berücksichtigt, rundet das Sicherheitskonzept ab und gewährleistet Compliance. So schaffen Führungskräfte nicht nur ein sicheres Umfeld, sondern fördern auch das Vertrauen der Kund:innen.

Benötigen Sie eine:n CISO/ISB/ISO?

Ein Unternehmen benötigt eine:n ISB, wenn es sensible oder schützenswerte Informationen verarbeitet, die einem hohen Risiko von Diebstahl, Verlust, Manipulation oder Missbrauch ausgesetzt sind. Die Beauftragung ist oft Branchenstandard (z. B. Gesundheitswesen, Finanzen, Versicherungen etc.).

Meist ist ein:e ISB empfehlenswert bei riskanten Datenbearbeitungen wie Finanzdaten, Geschäftsgeheimnissdaten, Forschungs- und Entwicklungsdaten oder kritischen Infrastrukturen. Ein:e ISB hilft dem Unternehmen, diese Informationen zu schützen, die Sicherheitsanforderungen seiner Kund:innen und Partner:innen zu erfüllen, seinen Ruf und Wettbewerbsvorteil zu bewahren und potenzielle finanzielle oder rechtliche Konsequenzen von Sicherheitsverletzungen zu vermeiden.

Welche Tätigkeiten übernimmt ein:e CISO/ISB/ISO von SIDD?

Ein:e CISO/ISB/ISO von SIDD übernimmt die folgenden Tätigkeiten:

  • Erstellung, Umsetzung und Überwachung einer Informationssicherheitsstrategie. Diese Strategie ist auf die Geschäftsziele, die Risikolage und die Compliance-Anforderungen des Unternehmens abgestimmt.
  • Definition, Implementierung und Überprüfung von Sicherheitsrichtlinien, Standards und Prozessen, die den anerkannten Best Practices und Normen entsprechen, z. B. ISO 27001, BSI Grundschutz oder NIST Framework.
  • Beratung und Schulung der Geschäftsleitung, Fachbereiche und Beschäftigten zu allen Aspekten der Informationssicherheit, einschliesslich der Sensibilisierung für aktuelle Bedrohungen und Trends, der Vermittlung von Sicherheitsgrundsätzen und -praktiken und der Förderung einer Sicherheitskultur im Unternehmen.
  • Koordination und Steuerung der internen und externen Sicherheitsaudits, Durchführung von Schwachstellen- und Risikoanalysen, Erstellung und Aktualisierung des Sicherheitskonzepts und des Notfallplans, Behandlung von Sicherheitsvorfällen und Umsetzung von Verbesserungsmassnahmen.
  • Kommunikation mit den relevanten Stakeholdern, wie Datenschutzbeauftragten, IT-Leiter:innen, Rechtsberater:innen, Betriebsrat, Kund:innen, Lieferant:innen und Behörden, um eine koordinierte und effektive Informationssicherheit zu gewährleisten.

Wieviel Aufwand hat ein:e CISO/ISB/ISO?

Der Aufwand für eine:n CISO/ISB/ISO hängt von verschiedenen Faktoren ab, wie z. B. der Grösse und Komplexität der Organisation, dem Umfang und der Art der zu schützenden Informationen, dem Reifegrad des bestehenden Informationssicherheitsmanagementsystems (ISMS) und den gesetzlichen und vertraglichen Anforderungen. Eine pauschale Antwort ist daher nicht möglich, aber eine grobe Orientierung kann anhand der folgenden Kriterien gegeben werden:

  • Der zeitliche Aufwand pro Woche oder Monat für die Tätigkeit, variiert je nach dem Umfang der Verantwortlichkeiten, dem Grad der Delegation an andere Beschäftigte oder externe Dienstleister:innen und dem Vorhandensein von standardisierten Prozessen und Werkzeugen.
  • Eine Studie des Branchenverbands BSI hat ergeben, dass für die Rolle in Deutschland durchschnittlich etwa 12 Stunden pro Woche benötigt wird, wobei dieser Wert je nach Unternehmensgrösse stark schwankt. Für kleine Unternehmen (bis 50 Beschäftigte) liegt der Wert bei etwa 4 Stunden pro Woche, für mittelgrosse Unternehmen (51 bis 250 Beschäftigte) bei etwa 8 Stunden pro Woche und für grosse Unternehmen (über 250 Beschäftigte) bei etwa 16 Stunden pro Woche.
  • Die Kosten hängen vom Qualifikationsniveau, der Erfahrung, dem Beschäftigungsstatus (intern oder extern) und der Vergütung ab. Hinzu kommen noch die Kosten für Weiterbildung, Zertifizierung, Reisekosten, Softwarelizenzen und andere Ressourcen, die benötigt werden, um die Aufgaben zu erfüllen.

Warum Sie uns
als externe:r CISO/ISB/ISO beautragen sollten

Sie sparen Zeit und Kosten, indem Sie operative und administrative Aufgaben der Informationssicherheit an uns auslagern.
Sie profitieren von unserer langjährigen Erfahrung und unserem umfassenden Fachwissen zum Thema Informationssicherheit.
Sie minimieren sowohl Sicherheitsrisiken als auch Sicherheitsvorfälle.
Sie erhalten eine unabhängige und objektive Beratung zu allen Fragen zum Thema Informationssicherheit.
Sie stärken das Vertrauen Ihrer Kund:innenen, Beschäftigten und Geschäftspartner:innen in den Umgang mit ihren Personendaten.

Welche Pakete bietet SIDD an?

CISO/ISB/ISO Paket

Was geschieht nach der Beauftragung von SIDD?

Nach der Beauftragung von SIDD startet das Onboarding wie folgt:

Vertragsunterzeichnung

Wir schliessen einen Dienstleistungsvertrag ab, der die Rahmenbedingungen und den Leistungsumfang unserer Tätigkeit als ISB enthält. Natürlich digital 😉

Kick-off Meeting

Wir führen ein Kick-off Workshop mit Ihnen durch, um uns kennenzulernen, die Erwartungen abzustimmen und die nächsten Schritte zu besprechen.

InfoSec-Analyse

Wir führen eine Bestandsaufnahme Ihrer datenschutzrelevanten Prozesse, Systeme und Dokumente durch, um den aktuellen Stand und den Handlungsbedarf zu ermitteln.

InfoSec-Konzept

Wir erstellen einen Massnahmenplan, um die Informationssicherheits-Anforderungen umzusetzen. Dieser Plan beinhaltet unter anderem die Erstellung oder Überarbeitung von Richtlinien, planen von Schulung und Awarenessmassnahmen.

InfoSec-Umsetzung

Wir unterstützen Sie bei der praktischen Umsetzung der geplanten Massnahmen, z. B. durch Beratung, Schulung, Prüfung.

InfoSec-Betreuung

Wir stehen Ihnen als feste Ansprechperson für alle InfoSec-Fragen zur Verfügung und übernehmen die laufende Überwachung, Aktualisierung und Anpassung der Massnahmen an die sich ändernden rechtlichen und technischen Rahmenbedingungen.