M 2.197 Integration der Mitarbeiter in den Sicherheitsprozess
Verantwortlich für Initiierung: IT-Sicherheitsmanagement-Team
Verantwortlich für Umsetzung: Vorgesetzte, IT-Sicherheitsmanagement-Team
IT-Sicherheit betrifft ohne Ausnahme alle Mitarbeiter. Jeder Einzelne muss durch verantwortungs- und qualitätsbewusstes Handeln Schäden vermeiden und zum Erfolg beitragen. Zur Integration der Mitarbeiter in den Sicherheitsprozess gehören folgende Aufgaben:
Motivation und Arbeitsbedingungen
Die Behörden- oder Unternehmensleitung muss ein positives Arbeitsklima schaffen und das Engagement der Mitarbeiter für die IT-Sicherheit fördern. Dazu gehören unter anderem folgende Aspekte:
- Es müssen angemessene und bedienungsfreundliche IT-Sicherheitsprodukte eingesetzt werden.
- IT-Sicherheitskonzepte und -Richtlinien müssen realistisch sein.
- IT-Sicherheit muss von der Leitungsebene praktiziert werden, um eine hohe Akzeptanz bei den Mitarbeitern zu gewährleisten.
Schulung und Sensibilisierung
Eine weitere Aufgabe, die den gesamten IT-Sicherheitsprozess begleiten muss, ist die Organisation und Durchführung von Schulungs- und Sensibilisierungsmaßnahmen. Das Unternehmen oder die Behörde sollte ein Schulungs- und Sensibilisierungskonzept erarbeiten. Eine ausführliche Behandlung dieses Themas ist im Baustein B 1.13 IT-Sicherheitssensibilisierung und -schulung genauer nachzulesen.
Beteiligung von Mitarbeitern
Mitarbeiter müssen über den Sinn von Sicherheitsmaßnahmen aufgeklärt werden. Weiterhin sollten Mitarbeiter frühzeitig bei der Planung von IT-Sicherheitsmaßnahmen oder der Gestaltung organisatorischer Regelungen beteiligt werden.
Personelle Sicherheitsmaßnahmen
Es gibt eine Vielzahl von personellen Sicherheitsaspekten, die bei allen Mitarbeitern, internen wie externen, berücksichtigt werden sollten. Dies beginnt bei der Personalauswahl und geht über die Einarbeitung neuer Mitarbeiter bis zu deren Weggang. Die erforderlichen Sicherheitsmaßnahmen sind in Baustein B 1.2 Personal beschrieben.
Ergänzende Kontrollfragen:
- Werden die Mitarbeiter bei der Einführung von IT-Sicherheitsrichtlinien und Sicherheitswerkzeugen beteiligt und vorher informiert?
- Gibt es Schulungs- und Sensibilisierungskonzepte?