Auslagerung der ISB-Funktion
Nachfrage nach Auslagerung der/des ISB
Das Ziel des DSGV-Projekts zur Betriebsstrategie der Zukunft (BdZ) ist klar formuliert:
Sparkassen sollen bis 2022 zukunftsfähig aufgestellt werden und der Verwaltungsaufwand soll um 15 bis 30 Prozent sinken. Um dieses Ziel zu erreichen, müssen auch bestimmte Funktionsbereiche standardisiert und durch Dienstleister industrialisiert werden.
Das SIZ-Angebot deckt inzwischen alle Bereiche des Beauftragtenwesens ab. Dies beinhaltet auch die Auslagerung der ISB-Funktion.
ISB-Tätigkeiten in der zweiten Verteidigungslinie – ein kultureller Wandel
Voraussetzung für die Auslagerung der ISB-Funktion ist die Standardisierung der damit zusammenhängenden Prozesse. Zur Prüfung, welche Veränderungen hierfür erforderlich sind, führen wir im Vorhinein den ISMS-Checkup durch.
Hier werden die ISMS-Prozesse und die Wahrnehmung der dort relevanten Aufgaben durch die jeweiligen Funktionsträger im Institut beleuchtet.
Diese Überprüfung der Standardisierung ist wichtig, denn in der Praxis zeigt sich immer wieder, dass aus der Historie heraus der/die ISB immer noch Aufgaben wahrnimmt, die der ersten Verteidigungslinie zuzuordnen sind und somit der Kontrollfunktion des/der ISB entgegenstehen.
Nicht alle aus der eigenen Praxis resultierenden Erwartungen sind eine geeignete Grundlage für die gemäß BdZ strategisch gewünschte (und notwendige) Standardisierung bzw. Industrialisierung.
Der individuell etablierte Status quo ist nicht immer ohne Weiteres auslagerungsfähig. Es ist wichtig, deutlich aufzuzeigen, was eine standardisierte Leistung für die intern bestehenden Prozesse bedeutet. Dies setzt eine klare Analyse der Ausgangssituation und eventuell einigen Veränderungswillen voraus.
Wir ermitteln mit Ihnen zusammen die realen Auswirkungen und Veränderungen, die eine Auslagerung der ISB-Funktion mit sich bringt und zeigen auf, wie Sie in der Lage bleiben, die Auslagerung zu steuern.
Fakt ist:
- Die Übernahme der Funktion erfolgt mit der SIZ normenkonform und standardisiert.
- Wir setzen hohe Maßstäbe an die Qualität unserer Arbeit: Unsere externen Informationssicherheits-Beauftragten werden selbstverständlich auf Basis der Vorgaben des SIZ-Produkts Sicherer IT-Betrieb (bzw. RiMaGo) arbeiten.
- Momentan ist es in vielen Instituten gelebte Praxis, dass der/die ISB häufig die ISM-bezogenen Aufgaben und Kontrollen der sogenannten First-Line (Fachbereiche, Informations- und Prozesseigentümer) wahrnimmt, damit es nicht zu Feststellungen kommt. Hierzu gehört beispielsweise auch das Thema Sicherheitsvorfälle, da der/die Informationssicherheits-Beauftragte in diesem Kontext lediglich für geeignete Vorgaben und (nachgelagerte) Kontrollen verantwortlich ist.
- Ein/e Informationssicherheits-Beauftragte/r, der/die nicht mit seinen/ihren Kernaufgaben befasst ist, kann die von der BaFin geforderten originären Aufgaben der 2nd-Line nicht hinlänglich erfüllen; entsprechend leidet die Qualität der Arbeit.
- Mit Bezug auf unser Versprechen, normenkonform zu arbeiten und hohen Qualitätsansprüchen zu genügen, ist es also wichtig, zu wissen, dass nicht alle Aufgaben, die der/die einzelne ISB momentan in der Sparkasse erfüllt, auch tatsächlich ausgelagert werden können.
Ihr Vorteil mit uns
Das SIZ-Auslagerungsangebot wird Sie unterstützen – und dafür sorgen, dass Ihre ISB-Tätigkeiten aufsichtsrechtlich korrekt vorgenommen werden. Bitte sprechen Sie uns an.
Ihre Ansprechpartner
Tino Weber-Liel
Abteilungsleiter Informationssicherheit
Telefon +49 (0)228 4495-7999 E-Mail informationssicherheit [at] siz [dot] de
Dirk Optebeck
Abteilungsleiter stv., Informationssicherheit
Telefon +49 228 4495 7999 E-Mail informationssicherheit [at] siz [dot] de