Im Anhang A.7 der ISO 27001 dreht sich alles um die Minimierung von Informationssicherheitsrisiken, die durch Mitarbeiter und Dienstleister – also Menschen – entstehen können. Dabei ist die Richtlinie in drei Kapitel aufgeteilt: vor Beginn des Beschäftigungsverhältnisses, während der Zusammenarbeit und beim Ausscheiden aus dem Unternehmen.
Die Erstellung und Umsetzung einer Personalsicherheitsrichtlinie ist verpflichtend für alle Unternehmen, die ihr Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 zertifizieren lassen wollen – jedenfalls dann, wenn das Unternehmen mindestens einen Mitarbeiter hat.
Im Folgenden finden Sie einen Überblick über die Inhalte aus der Annex A.7 und Hinweise zur praktischen Umsetzung. Einen vollständigen Überblick über die ISO 27001 Controls aus der Annex A erhalten Sie hier.
Die Personalsicherheitsrichtlinie vor der Beschäftigung: Das fordert der ISO 27001 Anhang A.7.1
Personalsicherheit beginnt im Sinne der ISO 27001 bereits vor der Beschäftigung neuer Mitarbeiter oder Dienstleister. Anhang A.7.1 gibt vor, wie Sie das Thema Informationssicherheit von Anfang an mitdenken können:
- Neue Mitarbeiter und Dienstleister werden einer Sicherheitsüberprüfung unterzogen, die ihren Aufgaben und Verantwortlichkeiten angemessen ist.
Das bedeutet, dass Personen, die Zugang zu besonders vertraulichen Informationen haben oder sogar Schlüsselfunktionen in der IT-Sicherheit bekleiden, potenziell einem umfangreichen Hintergrundcheck unterzogen werden. Für Mitarbeiter, deren Tätigkeit ein niedriges Risiko für die Informationssicherheit mit sich bringt, kann u. U. ganz auf eine Sicherheitsüberprüfung verzichtet werden.
Wichtig ist, dass Sie die Entscheidung für oder gegen Sicherheitschecks bewusst treffen, begründen können und das Ganze dokumentieren. In einem externen Audit wird diese Dokumentation gerne kontrolliert.
- Das Thema Informationssicherheit sollte in die vertraglichen Vereinbarungen mit Mitarbeitern und Dienstleistern integriert sein. So kommunizieren Sie Ihre Erwartungen und Beschäftigte verstehen, dass Sie Ihre Vorgaben in Sachen Informationssicherheit einhalten müssen.
Zum Beispiel kann es einen Anhang zum Arbeitsvertrag geben, in dem explizit auf das Thema Informationssicherheit verwiesen wird.
Während der Beschäftigung: Anhang A.7.2
Egal, in welcher Rolle ein Mitarbeiter oder Dienstleister für Sie tätig ist: Während des Beschäftigungsverhältnisses muss klar sein, was in Bezug auf die Informationssicherheit erwartet wird.
Damit Beschäftigte ihre Verantwortlichkeiten verstehen und diesen nachkommen können, sieht Anhang 7.2 drei Maßnahmen vor:
- Die von Ihnen eingeführten Informationssicherheits-Richtlinien und -Prozesse müssen top-down an Beschäftigte kommuniziert werden. Es ist zum Beispiel wichtig, dass die Verantwortlichkeiten in der Stellenbeschreibung definiert sind. Sie können hier auf andere Dokumente wie Ihre unternehmensweite Informationssicherheitsrichtlinie verweisen.
- Die ISO 27001 A.7.2.2 sieht regelmäßige InfoSec-Trainings für Mitarbeiter vor, die einem festgelegten Trainingsplan folgen. Beim Format haben Sie große Spielräume: Von Video-Trainings über interaktive Slack-Chatbots bis hin zu Live-Kursen im Büro ist alles denkbar. Wichtig ist, dass Sie allen Mitarbeitern mindestens ein InfoSec-Grundverständnis vermitteln. Je kritischer der Verantwortungsbereich einer Person, desto vertiefender muss auch das Training sein.
Dokumentieren Sie, wer im Unternehmen wann das letzte Trainings besucht hat. Das erste Training sollte innerhalb der Onboarding-Phase stattfinden und sich dann jährlich wiederholen.
Unser Tipp: Übertragen Sie die Verantwortlichkeit für InfoSec-Trainings einer zentralen Ansprechperson. Diese sollte Trainings koordinieren und die Teilnehmer dokumentieren. Sonst endet das Thema schnell im Chaos.
- Legen Sie fest, welche Konsequenten die Nichteinhaltung Ihrer InfoSec-Vorgaben nach sich zieht. Was passiert bei Verstößen verschiedener Größenordnung? Die Maßregelungsmaßnahmen können Sie im HR-Handbook festhalten.
Bei Beendigung oder Änderung der Beschäftigung: Anhang A.7.3
Um InfoSec-Risiken beim Austritt eines Mitarbeiters aus dem Unternehmen zu minimieren, sollten Sie eine Off-boarding-Checkliste anlegen – zum Beispiel in Asana oder Ihrem HR-Tool. Wichtig ist, dass der Prozess zur Beendigung des Arbeitsverhältnisses Schritt für Schritt beschrieben ist (Arbeitslaptop und Arbeitsmaterialien einsammeln, Zugangsdaten zum CRM deaktivieren, Zugangskarte zum Büro vernichten, etc.).
Im externen ISO 27001 Audit hilft es, wenn Sie dem Auditor am Beispiel von ehemaligen Mitarbeitern zeigen können, dass die einzelnen Punkte beim Off-boarding abgehakt wurden.
ISO 27001 Annex 7: Wir helfen bei der Erstellung von Richtlinien
Vielleicht ist Ihnen bereits aufgefallen, dass die ISO 27001 sehr abstrakt formuliert ist und kaum konkrete Anforderungen und Handlungsempfehlungen enthält. Ihre Umsetzung steht und fällt daher mit branchenspezifischer Expertenberatung.
Mit unserer „Informationssicherheit-as-a-Service“-Lösung unterstützen wir Sie bei der Einrichtung Ihres Informationssicherheits-Managementsystems (ISMS) und bei der Vorbereitung auf ein externes ISO 27001-Audit.
Buchen Sie Ihr kostenloses Erstgespräch und lernen Sie uns persönlich kennen:
Roadmap zur ISO 27001 Zertifizierung
Mit unserem kostenlosen Leitfaden behalten Sie den Überblick auf dem Weg zur Zertifizierung Ihres ISMS nach ISO 27001.
Jetzt kostenlos herunterladen