ISMS

Muster: Bestellung zum Informationssicherheitsbeauftragten

In den letzten Jahren gehörten zwei Beiträge zur Erstellung eines „IT-Sicherheitskonzeptes nach der GM-Methode“ (Teil 1 | Teil 2) zu den am meisten aufgerufenen Inhalten meiner Website. Die Beiträge haben allerdings schon gute sechs Jahre auf dem Buckel und sind schlichtweg nicht mehr aktuell. Es ist Zeit, diese abzulösen. Passend ist die Zeit auch, weil die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union sprichwörtlich vor der Tür steht. Mit Wirkung zum 25.5.2018 sieht die DSGVO vor, dass Unternehmen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 DSGVO).

Die DSGVO nimmt dabei erfreulicherweise die Methodik der derzeitigen Informationssicherheitstandards auf. So werden die klassischen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit adressiert. Nach Art. 32 Abs. 1 lit. b) DSGVO hat das Unternehmen nämlich insbesondere auch die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.

Es wird aber noch besser. Denn mit der DSGVO werden auch klassische Methoden des Qualitätsmanagements Voraussetzung. Es ist nicht nur eine Umsetzung von geeigneten technischen und organisatorischen Maßnahmen zur Datensicherheit geboten. Nein, es ist vielmehr ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzurichten. Das heißt nichts anderes als ein Informationssicherheitsmanagementsystem (ISMS).

In künftigen Beiträgen werde ich noch einmal etwas näher schildern, wie ein ISMS im Sinne der DSGVO umgesetzt werden kann. Ein Teilelement möchte ich aber schon einmal vorziehen: Die Bestellung eines Informationssicherheitsbeauftragten (ISB)

Warum man eine solche Bestellung durchzuführen hat, könnt ihr dem nachfolgenden Video entnehmen:

Wie sieht nun eine solche Bestellung eines ISB aus? Da habe ich mal ein Muster vorbereitet, an das ihr euch anlehnen bzw. dies einfach übernehmen und für euch anpassen könnt:

Versionshinweis: Aktuelle Version des Dokuments: 1.1 – Stand: 07.03.2017

Umsetzung eines Datenschutzmanagements auf Basis von VdS 3473

Ich bin externer Datenschutzbeauftragter einer Reihe von deutschen Einzelhandelsunternehmen, die zu einer dänischen Unternehmensgruppe gehören. Im Zusammenhang mit der Umsetzung der Anforderungen aus der DSGVO haben die Mandanten und ich uns überlegt, wie wir mit verhältnismäßig geringem Umfang ein Datenschutz- und Informationssicherheitsmanagement auf die Beine stellen können. Ich habe dabei eine Umsetzung auf Basis von VdS 3473 empfohlen. Die Richtlinien VdS 3473 sind ein neues, schlankes Konzept für die Umsetzung von Informationssicherheit im Unternehmen. Initiiert wurde dieser neue Standard von Gesamtverband der Deutschen Versicherungswirtschaft (GDV). Er wird z.B. im Bereich von IT-Versicherungen verwendet, um das Risiko bei potentiellen Versicherungsnehmern einzuschätzen bzw. ist ggf. Voraussetzung für den Abschluss eines Versicherungsvertrages im IT-Bereich. Was sind die Vorteile von VdS 3473?
Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden