Einblick in Anhang A.7: Personalsicherheit nach ISO 27001

Im Anhang A.7 der ISO 27001 dreht sich alles um die Minimierung von Informationssicherheitsrisiken, die durch Mitarbeiter und Dienstleister – also Menschen – entstehen können. Dabei ist die Richtlinie in drei Kapitel aufgeteilt: vor Beginn des Beschäftigungsverhältnisses, während der Zusammenarbeit und beim Ausscheiden aus dem Unternehmen.

Die Erstellung und Umsetzung einer Personalsicherheitsrichtlinie ist verpflichtend für alle Unternehmen, die ihr Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 zertifizieren lassen wollen – jedenfalls dann, wenn das Unternehmen mindestens einen Mitarbeiter hat.

Im Folgenden finden Sie einen Überblick über die Inhalte aus der Annex A.7 und Hinweise zur praktischen Umsetzung. Einen vollständigen Überblick über die ISO 27001 Controls aus der Annex A erhalten Sie hier.

Die Personalsicherheitsrichtlinie vor der Beschäftigung: Das fordert der ISO 27001 Anhang A.7.1  

Personalsicherheit beginnt im Sinne der ISO 27001 bereits vor der Beschäftigung neuer Mitarbeiter oder Dienstleister. Anhang A.7.1 gibt vor, wie Sie das Thema Informationssicherheit von Anfang an mitdenken können:

  1. Neue Mitarbeiter und Dienstleister werden einer Sicherheitsüberprüfung unterzogen, die ihren Aufgaben und Verantwortlichkeiten angemessen ist.

    Das bedeutet, dass Personen, die Zugang zu besonders vertraulichen Informationen haben oder sogar Schlüsselfunktionen in der IT-Sicherheit bekleiden, potenziell einem umfangreichen Hintergrundcheck unterzogen werden. Für Mitarbeiter, deren Tätigkeit ein niedriges Risiko für die Informationssicherheit mit sich bringt, kann u. U. ganz auf eine Sicherheitsüberprüfung verzichtet werden.

    Wichtig ist, dass Sie die Entscheidung für oder gegen Sicherheitschecks bewusst treffen, begründen können und das Ganze dokumentieren. In einem externen Audit wird diese Dokumentation gerne kontrolliert.
  1. Das Thema Informationssicherheit sollte in die vertraglichen Vereinbarungen mit Mitarbeitern und Dienstleistern integriert sein. So kommunizieren Sie Ihre Erwartungen und Beschäftigte verstehen, dass Sie Ihre Vorgaben in Sachen Informationssicherheit einhalten müssen.

    Zum Beispiel kann es einen Anhang zum Arbeitsvertrag geben, in dem explizit auf das Thema Informationssicherheit verwiesen wird.
 

 

Während der Beschäftigung: Anhang A.7.2

Egal, in welcher Rolle ein Mitarbeiter oder Dienstleister für Sie tätig ist: Während des Beschäftigungsverhältnisses muss klar sein, was in Bezug auf die Informationssicherheit erwartet wird.  

Damit Beschäftigte ihre Verantwortlichkeiten verstehen und diesen nachkommen können, sieht Anhang 7.2 drei Maßnahmen vor:

  1. Die von Ihnen eingeführten Informationssicherheits-Richtlinien und -Prozesse müssen top-down an Beschäftigte kommuniziert werden. Es ist zum Beispiel wichtig, dass die Verantwortlichkeiten in der Stellenbeschreibung definiert sind. Sie können hier auf andere Dokumente wie Ihre unternehmensweite Informationssicherheitsrichtlinie verweisen.
  2. Die ISO 27001 A.7.2.2 sieht regelmäßige InfoSec-Trainings für Mitarbeiter vor, die einem festgelegten Trainingsplan folgen. Beim Format haben Sie große Spielräume: Von Video-Trainings über interaktive Slack-Chatbots bis hin zu Live-Kursen im Büro ist alles denkbar. Wichtig ist, dass Sie allen Mitarbeitern mindestens ein InfoSec-Grundverständnis vermitteln. Je kritischer der Verantwortungsbereich einer Person, desto vertiefender muss auch das Training sein.

    Dokumentieren Sie, wer im Unternehmen wann das letzte Trainings besucht hat. Das erste Training sollte innerhalb der Onboarding-Phase stattfinden und sich dann jährlich wiederholen.

Unser Tipp: Übertragen Sie die Verantwortlichkeit für InfoSec-Trainings einer zentralen Ansprechperson. Diese sollte Trainings koordinieren und die Teilnehmer dokumentieren. Sonst endet das Thema schnell im Chaos.

  1. Legen Sie fest, welche Konsequenten die Nichteinhaltung Ihrer InfoSec-Vorgaben nach sich zieht. Was passiert bei Verstößen verschiedener Größenordnung? Die Maßregelungsmaßnahmen können Sie im HR-Handbook festhalten.

Bei Beendigung oder Änderung der Beschäftigung: Anhang A.7.3 

Um InfoSec-Risiken beim Austritt eines Mitarbeiters aus dem Unternehmen zu minimieren, sollten Sie eine Off-boarding-Checkliste anlegen – zum Beispiel in Asana oder Ihrem HR-Tool. Wichtig ist, dass der Prozess zur Beendigung des Arbeitsverhältnisses Schritt für Schritt beschrieben ist (Arbeitslaptop und Arbeitsmaterialien einsammeln, Zugangsdaten zum CRM deaktivieren, Zugangskarte zum Büro vernichten, etc.).

Im externen ISO 27001 Audit hilft es, wenn Sie dem Auditor am Beispiel von ehemaligen Mitarbeitern zeigen können, dass die einzelnen Punkte beim Off-boarding abgehakt wurden.

ISO 27001 Annex 7: Wir helfen bei der Erstellung von Richtlinien

Vielleicht ist Ihnen bereits aufgefallen, dass die ISO 27001 sehr abstrakt formuliert ist und kaum konkrete Anforderungen und Handlungsempfehlungen enthält. Ihre Umsetzung steht und fällt daher mit branchenspezifischer Expertenberatung.

Mit unserer „Informationssicherheit-as-a-Service“-Lösung unterstützen wir Sie bei der Einrichtung Ihres Informationssicherheits-Managementsystems (ISMS) und bei der Vorbereitung auf ein externes ISO 27001-Audit.

Buchen Sie Ihr kostenloses Erstgespräch und lernen Sie uns persönlich kennen:

 
ISO 27001 Roadmap

Roadmap zur ISO 27001 Zertifizierung

Mit unserem kostenlosen Leitfaden behalten Sie den Überblick auf dem Weg zur Zertifizierung Ihres ISMS nach ISO 27001. 

Jetzt kostenlos herunterladen

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren