News

Betriebsinterne Risiken in der Informationssicherheit – Eine Lösung finden, mit Hilfe der DIN 27001

Betriebsinterne Risiken in der Informationssicherheit

Kategorie: Prozessmanagement

Betriebsinterne Risiken in der Informationssicherheit – Eine Lösung finden, mit Hilfe der DIN 27001

Teil 1 -  Maßnahmen zur Personalsicherheit vor Beschäftigungsbeginn

Informationssicherheitsrisiken werden oftmals mit dem unsachgemäßem Umgang mit Daten im Internet gleichgesetzt. Die Palette reicht hier von Erpressung über Spionage bis hin zur Sabotage.
Jedoch resultiert ein nicht zu unterschätzendes Risiko auch aus der eigenen Mitarbeiterschaft heraus. Hier ist man oft der irrigen Meinung, dass eine Unterweisung und Verpflichtung den Anforderungen genügt und vertrauliche Daten im Unternehmen so ausreichend schützt.

Ein gut strukturiertes Informationssicherheitsmanagement (ISMS) bildet hier die Basis, diesem Risiko zu begegnen. Durch systematisches Vorgehen wird der Schutz von Unternehmensdaten vor Verlust und Missbrauch gestärkt. Potenzielle Schwachpunkte werden identifiziert, analysiert und geeignete Maßnahmen abgeleitet und umgesetzt. Hilfestellung und geeignete beispielhafte Maßnahmen finden wir hier in der DIN EN ISO/IEC 27001 im Annex A. Das formulierte Ziel der „Personalsicherheit“ im Kapitel A7 werden wir an dieser Stelle einmal näher betrachten.

Misstrauen gegenüber den Beschäftigten oder doch eher klar strukturierte Personalprozesse?

Durch Prozesse in allen Bereichen der Beschäftigung wird sichergestellt:

  • Zuweisung aller Rollen und Verantwortlichkeiten in der Informationssicherheit
  • Kontrolle der Einhaltung und richtiger Umgang mit Verstößen durch geeignete Maßnahmen
  • Beabsichtigte oder unbeabsichtigte Verstöße gegen die Informationssicherheit werden erschwert

Somit kann man nicht von Misstrauen sprechen, wenn Maßnahmen ergriffen werden, welche geeignet sind, den Zugriff innerbetrieblich zu verhindern oder zu erschweren. Objektiv betrachtet kann es durch Unzufriedenheit des Mitarbeiters (z.B. bei drohender oder bereits ausgesprochener Kündigung) hier zu Datendiebstahl kommen. Insbesondere dann, wenn beim Mitarbeiter die irrige Meinung besteht, einen Eigentumsanspruch z.B. an Projektdaten innezuhaben. Aber auch Leichtsinn oder grob fahrlässiges Verhalten kann zu schwerwiegenden Folgen führen.

Dies können zum Beispiel sein: 

  • Die eigene IT-Abteilung hält sich nicht an eigene Regeln da angeblich zu zeitraubend oder zu umständlich; 
  • ein unachtsamer Umgang mit Passwörtern oder ungeschützten Endgeräten; 
  • die Verwendung fremder USB-Sticks; 
  • geheime Unterlagen in verlassenen Büros; 
  • geöffnete Dokumente auf dem Monitor; 
  • ausgedruckte und vergessene Unterlagen im Drucker, 
  • und vieles mehr. 

Hilfe bietet da die bereits erwähnte Annex A, wo wir im Kapitel A7 Maßnahmen zur Personal-sicherheit für alle Phasen der Beschäftigung zur Umsetzung finden.

Maßnahmen VOR der Beschäftigung

Feststellung der Eignung und des Verständnisses für die zukünftige Verantwortlichkeit, z.B. durch eine Sicherheitsüberprüfung mit folgendem Inhalt:  

  • Verfahren in welchem das Einholen von Informationen geregelt ist (wie und unter welchen Voraussetzungen) sowie eine Liste gesetzlicher und ethischer Kriterien welche berücksichtigt werden müssen
  • Angemessenheit im Bezug auf Risiken und den Unternehmensbedarf
  • Plausibilität und Echtheit von Lebenslauf, Abschlüssen und sonstigen Dokumenten
  • Vertrauenswürdigkeit und Kompetenz des Bewerbers hinsichtlich der zugedachten Vakanz

Vertragliche Vereinbarungen

Der nächste Schritt besteht darin die Beschäftigungs- und Vertragsbedingungen festzulegen. Hier werden unter anderem die gegenseitigen Verantwortungen festgelegt. Dies bedeutet also sowohl diejenige welche der Mitarbeiter dem Unternehmen gegenüber zu erbringen hat als aber auch diejenigen welche das Unternehmen gegenüber dem Mitarbeiter hat. Hier finden wir unter A7 1.2 folgende Punkte:

  • Vertraulichkeitsvereinbarung für den Mitarbeiter mit Zugang zu vertraulichen Informationen
  • Verpflichtung der Mitarbeiter zur Einhaltung von Urheberrechten und Datenschutzrechtlicher Bestimmungen
  • Regelung zur Verantwortung von Beschäftigten beim Umgang mit externen Informationen

Auch Sie identifizieren die oben genannten Punkte als Risiko für Ihren Personalprozess in Ihrem Unternehmen und möchten sich gern an der ISO/ IEC 27001 orientieren, um Ihre Informationssicherheit zu verbessern?
Sprechen Sie uns an. Unser Prozessmanagement-Team hilft Ihnen gern in diesen herausforderden Zeiten Ihren Einstellungsprozess zu stabilisieren und mehr Informationssicherheit für Ihr Unternehmen zu generieren.

In den folgenden Aktuellen Informationen greifen wir dieses Thema wieder auf und informieren Sie umfassend über die weitergehenden Maßnahmen zur Informationssicherheitsverbesserung durch die Werkzeuge, welche die ISO/IEC 27001 bietet.

 

prozessberatung@fkc-gmbh.de

Nutzen Sie unsere Tipps als Aushang für Ihre Mitarbeiter

Gerne teilen wir unser Wissen mit Ihnen und bieten Ihnen unsere Informationen als Download:
AI_Prozessmanagement_0221.pdf02.2021AI_Prozessmanagement_0221.pdf (324 KB)