Betroffene Basis-Ziele
Konkretes Ziel
Definieren von Prozessen, die im Rahmen der Anstellung von Mitarbeitern für ein hohes Maß an Informationssicherheit sorgen.
Maßnahme
Prüfungen des Hintergrunds von Bewerbern müssen im Einklang mit den relevanten Gesetzen, Vorschriften und ethischen Grundsätzen sowie in einem angemessenen Verhältnis zu den geschäftlichen Anforderungen, der Einstufung der einzuholenden Informationen und den wahrgenommenen Risiken stehen.
Umsetzung
Bevor ein Mitarbeiter seine Anstellung antritt, muss dieser in die für sie oder ihn relevanten Themen eingewiesen werden. Dazu gehört insbesondere die Unterweisung in die Sicherheitsrichtlinien.
Für Berufsanfänger existiert hier ein Einführungstag, an dem dem neuen Mitarbeiter das Unternehmen vorgestellt wird. Zu diesem Anlass existiert auch eine Station, an der der neue Mitarbeiter über die Sicherheitsaspekte im Unternehmen informiert wird.
Minderjährigen Berufsanfängern wird vorgeschlagen, die Geheimhaltungs- und Verpflichtungserklärung(en) erst nach Rücksprache mit den Erziehungsberechtigten zu unterschreiben, um dadurch ein größeres Vertrauen in die und eine stärkere Identifikation mit der Unternehmensphilosophie zu erzeugen.
Grundsätzlich werden durch den ISB oder einer von ihm benannten Person alle Mitarbeitenden in der IT-Sicherheit und diesem ISM unterwiesen. Die entsprechenden Schulungsmaßnahmen sind im Wiki [Mitarbeiterschulung] (https://u-form.atlassian.net/wiki/spaces/ISB/pages/42238640/Mitarbeiterschulung) im Bereich Informationssicherheit zu dokumentieren.
Dieses Vorgehen gilt in Fällen, in denen Dritte Teilaufgaben mit Sicherheitsbezug wahrnehmen, auch für den Vertragsschluss mit Drittanbietern.
Vor der Einstellung bzw. am Anfang der Arbeitsaufnahme sind folgende Zuständigkeiten festgelegt:
| Thema | Abteilung |
|---|---|
| Personenüberprüfung | Personalleitung |
| Personalunterlagen | Personalleitung |
| Vertraulichkeitsdokument | Personalleitung |
| Sicherheitseinweisung | Personalleitung |
| Mobiles Arbeiten (ab 2025) | Personalleitung |
| KI-Richtlinie | Personalleitung |
| IT-Sicherheit | IT-Leitung |
| Schlüssel | Personalleitung |
| Zeiterfassungschip | Personalleitung |
| Initiale Zugänge | IT-Leitung |
Dazu können - je nach Abteilung - weitere Einweisungen innerhalb der Abteilung stattfinden, über deren Notwendigkeit und Terminierung allerdings individuell entschieden wird.
Bei externen Mitarbeitern bzw. Verträgen zur Auftragsdatenverarbeitung sind folgende Zuständigkeiten geregelt:
| Thema | Abteilung |
|---|---|
| Vertrag | Auftraggeber |
| Vertrag Auftragsdatenverarbeitung | IT-Leitung |
| Sicherheitseinweisung | IT-Leitung |
| IT-Sicherheit | IT-Leitung |
Zur Überprüfung im Rahmen der Einstellung gehört die Feststellung der Identität der eingestellten Person. Dies erfolgt durch Ansicht des Lichtbildausweises (Personalausweis, Reisepass, etc.).
Die Abläufe bei Neuanstellung eines Mitarbeiters finden sich im Dokument “Checkliste: Einstellung und Austritt” wieder, das von der Personalleitung im Einstellungsprozess ausgefüllt werden muss.
Für die Bestimmung der initialen Zugänge siehe: Zugangssteuerungsrichtlinie.
Hinweis: Die entsprechenden Vertragsdokumente sind sowohl für Mitarbeitenede, als auch für Autragnehmer im Phoenix Dokumentenmanagement abzulegen.
Maßnahme
Im Rahmen ihrer vertraglichen Verpflichtung müssen Mitarbeiter den Arbeitsvertragsklauseln in ihrem Arbeitsvertrag, mit denen ihre eigenen Pflichten und die Pflichten der Organisation im Bereich der Informationssicherheit festgelegt werden, zustimmen und sie unterzeichnen.
Umsetzung
Eine entsprechende Informations- und Verpflichtungserklärung liegt dem Arbeitsvertrag bei und muss zwingend unterschrieben werden.
Reviewdatum: 12.11.2024, Johannes Imhof