7.2 Während der Beschäftigung
7.2 Während der Beschäftigung
7.2.1 Verantwortlichkeiten der Leitung
Die Leitung hat sicherzustellen, dass die Mitarbeitenden im laufenden Betrieb ihre Rollen in Bezug auf Informationssicherheit kennen und ausfüllen. Folgendes muss sie unter anderem sicherstellen:
Den Mitarbeitenden ist ihre Rolle und ihre Verantwortung in Bezug auf folgendes bewusst:
- Technische Richtlinien
- Vertraulichkeits- und Geheimhaltungspflicht
- Datenschutzerklärung
- Vereinbarung zum Urheberschutz (wenn nicht im Arbeitsvertrag enthalten)
- Vereinbarung der Beschäftigte für den Umgang mit Informationen und Gegebenheiten, die von Kunden gefordert werden
- Datenschutz und Informationssicherheit
Zudem werden Prozesse bereitgestellt, die es den Mitarbeitenden über Verletzungen von Richtlinien und Verfahren zur Informationssicherheit Bericht erstatten können ohne draus Nachteile befürchten zu müssen.
7.2.2 Informationssicherheitsbewusstsein, -ausbildung und -schulung
Es ist sicherzustellen, dass die unter 7.2.1 benannten Verantwortlichkeiten und Rollen den Mitarbeitenden durch eventuelle Schulungen und/oder Information bekannt sind und sie entsprechend sensibilisiert sind. Diese sind nachzuhalten.
7.2.3 Maßregelungsprozess
Ein formal festgelegter und bekanntgegebener Maßregelungsprozess sollte eingerichtet sein, um Maßnahmen gegen Beschäftigte zu ergreifen, die einen Informationssicherheitsverstoß begangen haben. Ein Maßregelungsprozess sollte nicht ohne vorherige Prüfung eingeleitet werden, ob tatsächlich eine Informationssicherheitsverletzung aufgetreten ist.
Siehe hierzu auch Kapital 16 Informationssicherheitsvorfälle