M 3.46 Ansprechpartner zu Sicherheitsfragen
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
In jeder Organisation sollten Ansprechpartner zu Sicherheitsfragen vorhanden sein, sowohl für scheinbar einfache wie auch für technische Fragen. Dies können die IT-Administratoren, die IT-Anwendungsverantwortlichen oder IT-Sicherheitsbeauftragten sein (siehe z. B. M 2.12 Betreuung und Beratung von IT-Benutzern, M 6.60 Verhaltensregeln und Meldewege bei Sicherheitsvorfällen).
Leider ist die Hemmschwelle, konkrete Sicherheitsprobleme weiterzumelden, immer noch sehr hoch. Wenn der IT-Sicherheitsbeauftragte den Mitarbeitern auch als Ansprechpartner zu allgemeinen IT-Sicherheitsfragen bekannt ist, senkt dies die Hemmschwelle, ihm konkrete Sicherheitsprobleme zu melden. Da viele Sicherheitsfragen bei der privaten Nutzung von IT-Systemen auftreten, sollten IT-Sicherheitsbeauftragte auch zu vermeintlich nicht dienstlichen Belangen Informationen weitergeben, z. B. zur Problematik von Viren und Trojanern beim Internet-Surfen oder zum Schutz von Daten beim E-Commerce. Dies fördert die Offenheit für Sicherheitsmaßnahmen, steigert die Akzeptanz der IT-Sicherheitsbeauftragten und zudem können viele vermeintlich private Probleme auch im Büro-Umfeld auftreten.
Allen Mitarbeitern sollten die Ansprechpartner zu Sicherheitsfragen ebenso wie die Meldewege für Sicherheitsvorfälle bekannt sein. Hierzu könnte z. B. im internen Telefonverzeichnis oder im Intranet eine Liste mit Namen, Telefonnummern und E-Mail-Adressen der jeweiligen Ansprechpartner enthalten sein.
Ergänzende Kontrollfragen:
- Gibt es Ansprechpartner zu Sicherheitsfragen innerhalb der Behörde oder des Unternehmens?
- Sind die Ansprechpartner zu Sicherheitsfragen allen Mitarbeitern bekannt?