Die Informationssicherheit und der Datenschutz sind zwei sehr nahe Verwandte, die sich in der Definition der Begriffe abgrenzen. Der Datenschutz kennt das personenbezogene Merkmal und die automatisierte Verarbeitung von Daten. Daten sind dabei materiell und werden in dieser Form gespeichert und verarbeitet. Hingegen ist „Information“ zuerst einmal immateriell, kann aber durch das festhalten auf Medien, analog wie digital, materiell existieren. Dabei versteht sich Information, im Gegensatz zum Datenschutz, nicht nur als solche mit personenbezogenen Merkmalen. Vielmehr kann es jede Art von Information sein, zum Beispiel das Knowhow eines Unternehmens, Patente oder bestimmte Rezepturen etc.

Die Abkürzung ISB steht eigentlich für Informations-Sicherheitsbeauftragter. Die Abkürzung und der Begriff werden aber auch häufig als IT-Sicherheitsbeauftragter genutzt. Ich bevorzuge den Ausdruck Informations-Sicherheitsbeauftragter und  sehe die Tätigkeit eines IT-Sicherheitsbeauftragten dazu abgegrenzt. Der IT-Sicherheitsbeauftragte stellt, vorwiegend technisch orientiert, das sicher, was das Wort aussagt. Die Aufgaben des ISB sind aber umfassender. Dieser erstellt vor allem auch Managementsysteme, wie das ISMS und das BCMS. Er wirkt auch bei Datenschutz-Folgenabschätzungen (DSFA) mit und entwirft Risiko-Management-Systeme.

Schützenswerte Information kann digital, analog oder in den Köpfen von Menschen existieren. Es sind die Köpfe von Menschen, die man in den Konzepten und Schulungen nicht vergessen darf. Menschen halten Information leider nicht immer so geheim, wie es sein sollte.

In der Informationssicherheit geht es darum, wie schon gesagt, mehr als nur personenbezogene Daten zu schützen. Es sollen auch alle betriebsgeheimen immateriellen Werte vor einer Kenntnis durch unberechtigte dritte Personen und vor Verlust sowie Verfälschung geschützt werden. Das ist natürlich wichtig und für jedes Unternehmen von existenzieller Bedeutung. Die Grenzen zwischen Datenschutz, IT-Sicherheit und Informationssicherheit sind nicht immer eindeutig zu ziehen. Nicht zuletzt nennen sich deshalb die Aufsichtsbehörden auch regelmäßig „Der Beauftragte für den Datenschutz und die Informationsfreiheit“. Die IT-Sicherheit im technischen Sinne ist vorrangig beim BSI (Bundesamt für Sicherheit in der Informationstechnologie) angesiedelt. Gleichermaßen gehört IT-Sicherheit im Datenschutz zu den TOMs (technische und organisatorische Maßnahmen). In der praktischen Arbeit trenne ich diese Bereiche daher auch nicht immer. Wer bei mir Datenschutz bestellt, der bekommt auch regelmäßig die IT-Sicherheit und Informationssicherheit dazu. Oftmals ist es einfach nicht sinnvoll, das eine ohne das andere zu betrachten.

In der Informationssicherheit muss man zusätzlich noch andere Bedrohungsszenarien als beim Datenschutz betrachten, zum Beispiel APTs (Advance Persistent Threats). Für beides, den Datenschutz sowie die Informationssicherheit, ist die IT-Sicherheit eine wesentliche Grundlage. Aber es ist nicht die ausschließliche Grundlage, denn neben den technischen Schwachstellen gibt es auch die menschlichen Schwachstellen.

Beauftragter für Informationssicherheit (ISB) nach DIN EN ISO/IEC 27001

Eine besondere Form der Informationssicherheit ist die Umsetzung durch das bestellen eines ISB. ISB steht für IT-Sicherheitsbeauftragte*r bzw. Beauftragter für die Informationssicherheit. Der Gesetzgeber schreibt keinem Unternehmen, im Gegensatz zum Datenschutzbeauftragten, die Bestellung einer solchen Person vor. Es gibt auch keine Anforderungen an die Ausbildung und die notwendigen Kenntnisse oder Zertifizierungen. Auf dem Markt werden zahlreiche Angebote für eine Ausbildung zum ISB nach DIN EN ISO/IEC 27001 mit einem entsprechendem Zertifikat angeboten. Diese Ausbildungen sind inhaltlich gleichwertig zu DSC-Standard oder BSI-Standard. Näheres dazu finden Sie auf meiner Seite. Ich bin als ISB zertifiziert und kann auf diesem Feld für sie tätig werden.