ISO 27001 – Anhang A.7: Personalsicherheit

Was ist das Ziel von Anhang A.7.1?

In Anhang A.7.1 geht es um die Zeit vor der Einstellung. Das Ziel dieses Anhangs besteht darin, sicherzustellen, dass Mitarbeiter und Auftragnehmer ihre Verantwortlichkeiten verstehen und für die Rollen geeignet sind, für die sie in Betracht gezogen werden. Es deckt auch ab, was passiert, wenn diese Personen das Unternehmen verlassen oder ihre Rolle wechseln.

Es ist ein wichtiger Bestandteil des Informationssicherheits-Managementsystems (ISMS), insbesondere wenn Sie eine ISO 27001-Zertifizierung erreichen möchten.

A.7.1.1 Screening

Eine gute Kontrolle umfasst Hintergrundüberprüfungen und Kompetenzüberprüfungen aller Bewerber für eine Anstellung. Diese müssen in Übereinstimmung mit den einschlägigen Gesetzen, Vorschriften und ethischen Grundsätzen durchgeführt werden und sollten im Verhältnis zu den Geschäftsanforderungen, der Klassifizierung der Informationen, auf die zugegriffen wird, und den damit verbundenen wahrgenommenen Risiken stehen.

Beispielsweise unterliegen Mitarbeiter, die auf höherrangige Informationsressourcen zugreifen, die ein höheres Risiko bergen, möglicherweise viel strengeren Kontrollen als Mitarbeiter, die immer nur Zugang zu öffentlichen Informationen erhalten oder mit Ressourcen umgehen, die eine begrenzte Bedrohung darstellen. Die Einführung angemessener und verhältnismäßiger Personalkontrollen in allen Beschäftigungsphasen trägt dazu bei, die Wahrscheinlichkeit versehentlicher oder böswilliger Bedrohungen zu verringern.

Die Überprüfung sollte auch für Auftragnehmer durchgeführt werden (es sei denn, deren Mutterorganisation erfüllt Ihre umfassenderen Sicherheitskontrollen, z. B. verfügt sie über eine eigene ISO 27001 und führt eigene Hintergrundüberprüfungen durch).

Ein Prüfer erwartet, dass jedes Mal ein Überprüfungsprozess mit klaren Verfahren konsequent durchgeführt wird, um auch das Risiko von Präferenzen/Vorurteilen zu vermeiden. Im Idealfall wird dies auf den gesamten Einstellungsprozess der Organisation abgestimmt sein.

A.7.1.2 Beschäftigungsbedingungen

In der vertraglichen Vereinbarung mit Mitarbeitern und Auftragnehmern müssen ihre und die Verantwortung der Organisation für die Informationssicherheit dargelegt werden. Diese Vereinbarungen sind ein guter Ort, um wichtige allgemeine und individuelle Verantwortlichkeiten im Bereich der Informationssicherheit festzulegen, da sie rechtliche Bedeutung haben – das heißt, sie sind durch das Gesetz abgesichert.

Dies ist auch im Hinblick auf die DSGVO und das neue Datenschutzgesetz 2018 sehr wichtig. Sie sollten sich auf eine ganze Reihe von Kontrollbereichen beziehen und diese abdecken, einschließlich der allgemeinen Einhaltung des ISMS sowie insbesondere der akzeptablen Nutzung, des Eigentums an geistigen Eigentumsrechten, der Rückgabe von Vermögenswerten usw.

Wenn Sie sich nicht sicher sind, empfehlen wir die Zusammenarbeit mit einem HR-Anwalt, da die Folgen falscher Arbeitsverträge aus Sicht der Informationssicherheit (und anderer Dimensionen) erheblich sein können.

Was ist das Ziel von Anhang A.7.2?

Das Ziel dieses Anhangs besteht darin, sicherzustellen, dass Mitarbeiter und Auftragnehmer sich ihrer Verantwortung für die Informationssicherheit während ihrer Beschäftigung bewusst sind und diese erfüllen.

A.7.2.1 Verantwortlichkeiten des Managements

Eine gute Kontrolle beschreibt, wie Mitarbeiter und Auftragnehmer die Informationssicherheit gemäß den Richtlinien und Verfahren der Organisation anwenden.

Die den Managern übertragenen Verantwortlichkeiten sollten folgende Anforderungen umfassen: Stellen Sie sicher, dass diejenigen, für die sie verantwortlich sind, die für ihre berufliche Tätigkeit relevanten Bedrohungen, Schwachstellen und Kontrollen der Informationssicherheit verstehen und regelmäßig geschult werden (gemäß A7.2.2); Stellen Sie sicher, dass Sie sich für eine proaktive und angemessene Unterstützung relevanter Richtlinien und Kontrollen zur Informationssicherheit einsetzen. und die Anforderungen der Beschäftigungsbedingungen verstärken.

Führungskräfte spielen eine entscheidende Rolle bei der Gewährleistung des Sicherheitsbewusstseins und der Gewissenhaftigkeit im gesamten Unternehmen sowie bei der Entwicklung einer angemessenen „Sicherheitskultur“.

A.7.2.2 Informationssicherheitsbewusstsein, Bildung und Schulung

Alle Mitarbeiter und relevanten Auftragnehmer müssen eine angemessene Sensibilisierung und Schulung erhalten, um ihre Arbeit gut und sicher erledigen zu können. Sie müssen regelmäßig über die Organisationsrichtlinien und -verfahren informiert werden, wenn diese geändert werden, und außerdem über ein gutes Verständnis der geltenden Gesetze verfügen, die sie in ihrer Rolle betreffen.

Es ist üblich, dass das Informationssicherheitsteam mit der Personalabteilung oder einem Lern- und Entwicklungsteam zusammenarbeitet, um Fähigkeiten-, Wissens-, Kompetenz- und Bewusstseinsbewertungen durchzuführen und ein Programm zur Sensibilisierung, Bildung und Schulung während des gesamten Beschäftigungslebenszyklus (nicht nur am Arbeitsplatz) zu planen und umzusetzen Induktion). Sie müssen in der Lage sein, diese Ausbildung und Compliance gegenüber Prüfern nachzuweisen.

Überlegen Sie auch sorgfältig, wie die Schulung und Sensibilisierung vermittelt wird, um dem Personal und den Ressourcen des Auftragnehmers die beste Chance zu geben, sie zu verstehen und zu befolgen – das bedeutet, dass sorgfältig auf den Inhalt und das Medium für die Bereitstellung geachtet werden muss.

Was ist das Ziel von Anhang A.7.3?

In Anhang A.7.3 geht es um die Beendigung und den Wechsel des Arbeitsverhältnisses. Das Ziel dieses Anhangs besteht darin, die Interessen der Organisation im Rahmen des Prozesses der Änderung und Beendigung des Arbeitsverhältnisses zu schützen.

A.7.3.1 Beendigung oder Änderung des Arbeitsverhältnisses

Verantwortlichkeiten und Verpflichtungen zur Informationssicherheit, die auch nach Beendigung oder Wechsel des Arbeitsverhältnisses bestehen bleiben, müssen definiert, dem Mitarbeiter oder Auftragnehmer mitgeteilt und durchgesetzt werden. Beispiele hierfür sind die vertrauliche Behandlung von Informationen und die Nichtaushändigung von Informationen, die der Organisation gehören.

Es ist wirklich wichtig sicherzustellen, dass die Informationen auch nach dem Ausscheiden eines Mitarbeiters oder Auftragnehmers aus der Organisation geschützt bleiben, da die Mitarbeiter selbst Datenspeicher sind. Die Vertragsbedingungen sollten dies bekräftigen, und der Austrittsprozess und/oder der Vertragsbeendigungsprozess (einschließlich der Rückgabe von Vermögenswerten) sollte eine Erinnerung an Einzelpersonen enthalten, dass sie auch nach ihrem Ausscheiden gewisse Verpflichtungen gegenüber der Organisation haben.

Ein Prüfer möchte Beweise dafür sehen, dass Ausscheider ihre Vermögenswerte zurückgegeben haben und dass der Prozess abgeschlossen und dokumentiert wurde, um nachzuweisen, dass Vermögenswerte gegebenenfalls auch im Vermögensverzeichnis (A8.1.1) aktualisiert werden.

Dabei geht es nicht nur um Kündigung und Ausstieg. Wenn ein Mitarbeiter seine Rolle wechselt, z. B. vom Betrieb in den Vertrieb wechselt, sollten Sie eine Überprüfung durchführen, um nachzuweisen, dass er keinen Zugriff mehr auf Informationsbestände hat, die in der neuen Rolle nicht benötigt werden, und Zugriff auf Informationsbestände erhält, die für die Zukunft benötigt werden.

A.7.2.3 Disziplinarverfahren

Es muss ein dokumentiertes Disziplinarverfahren vorhanden sein und kommuniziert werden (gemäß A7.2.2 oben). Auch wenn der Schwerpunkt hier auf Disziplinarmaßnahmen nach Sicherheitsverstößen liegt, kann er auch mit anderen Disziplinargründen verknüpft werden. Wenn Ihre Organisation bereits über einen anerkannten HR-Disziplinarprozess verfügt, stellen Sie sicher, dass dieser die Informationssicherheit in der für die Norm ISO 27001:2013 erforderlichen Weise abdeckt.