Die Hauptaufgabe eines internen oder externen IT-Sicherheitsbeauftragten liegt darin, die Unternehmensleitung bei der Wahrnehmung ihrer Aufgaben hinsichtlich der IT-Sicherheit zu beraten und bei der Einführung und Umsetzung von neuen Sicherheitsprozessen zu unterstützen. Darüber hinaus müssen die Mitarbeiter für IT-Sicherheit sensibilisiert werden. Neben dem firmeneigenen Interesse die Integrität, Vertraulichkeit und Verfügbarkeit aller Daten zu gewährleisten, bestehen auch gesetzliche Vorgaben im Rahmen der Informationssicherheit, die die Geschäftsführung einhalten muss. Die Bestellung eines IT-Sicherheitsbeauftragten gehört zu den strategischen Zielen der Geschäftsführung. Die Geschäftsführung ist nach KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) verpflichtet, ein Risikomanagementsystem zu installieren, um frühzeitig Risiken zu erkennen und diese wirksam vom Unternehmen abzuhalten. Für die Erfüllung der strategischen Ziele haften die Geschäftsführer einer GmbH oder die Vorstände einer AG persönlich.

Die Beauftragung eines zertifizierten IT-Sicherheitsbeauftragten nach ISO/IEC 27001 und BSI IT-Grundschutz bietet wichtige Vorteile:

• Zugriff auf aktuelles Expertenwissen, ohne Bindung interner Ressourcen.
   
• Implementierung eines Information Security Management Systems (ISMS).
   
• Ausarbeitung von Sicherheitsrichtlinien und -konzepten.
   
• Informationsaustausch mit Fachbereichen und Projektverantwortlichen.
   
• Erstellung von Bedrohungs- und Risikoanalysen.
   
• Überprüfung von Sicherheitsvorfällen durch Methoden der IT-Forensik.
   
• Neutrale Berichterstattung an Geschäftsführung und Vorstände.
   
• Schulung und Sensibilisierung von Mitarbeitern im Fachbereich.
   
• Durchführung von internen Audits und Vorbereitungen auf Zertifizierungen.
   
• Schutz vor Wirtschaftsspionage und Sabotage durch geeignete Maßnahmen.
   
• Klare Prozesse bei IT-Sicherheitsvorfällen oder Ausfall techn. Systeme.
   
• Abwehr von Imageschäden und Sicherung von Kreditkonditionen (BASEL III).