Betroffene Basis-Ziele
Konkretes Ziel
Sicherstellung, dass Mitarbeiter und externe Benutzer ihre Pflichten bezüglich der Informationssicherheit kennen und ihnen nachkommen.
Maßnahme
Das Management muss alle Mitarbeiter und externe Benutzer dazu anhalten, Sicherheitsmaßnahmen entsprechend den festgelegten Leitlinien und Verfahren der Organisation anzuwenden.
Umsetzung
Neben dem Hinweis auf entsprechende Klauseln im Arbeitsvertrag und der initialen Sicherheitsanweisung nimmt das Management seine Verantwortung auch durch die Veranlassung von Mitarbeiter-Schulungen wahr.
Maßnahme
Alle Mitarbeiter der Organisation sowie, falls relevant, externe Benutzer müssen ein Programm zur Sensibilisierung für Informationssicherheit sowie entsprechende Aus- und Weiterbildung und Schulungen durchlaufen und regelmäßig bezüglich der Leitlinien und Verfahren der Organisation, die für ihre berufliche Funktion relevant sind, auf dem neuesten Stand gehalten werden.
Umsetzung
Grundsätzlich werden alle Mitarbeiter funktionsspezifisch im Zuge einer Schulung für Informationssicherheit sensibilisiert und über die relevanten Regeln und Maßnahmen informiert (siehe Wiki). Weitere Schulungen oder persönliche Gespräche mit betroffenen Mitarbeitern finden statt und werden im Wiki protokolliert, sobald Änderungen am ISMS auch Verhaltens-Änderungen oder Kenntnis durch die Mitarbeiter erfordern.
Maßnahme
Es muss ein formales und offiziell bekanntgegebenes Disziplinarverfahren eingeleitet werden, in dessen Rahmen Maßnahmen gegen Mitarbeiter verhängt werden können, die gegen Informationssicherheitsvorschriften verstoßen haben.
Umsetzung
Sämtliche disziplinarischen Maßnahmen sind in der Informations- und Verpflichtungserklärung aufgeführt. Diese wird von jedem Mitarbeiter bei seiner Einstellung quittiert. Außerdem bekommt jeder Mitarbeiter eine Kopie ausgehändigt.
Reviewdatum: 12.11.2024, Johannes Imhof