TISAX® Kapitel 2.1.2
Inwieweit werden alle Mitarbeiter vertraglich zur Einhaltung der Informationssicherheitsrichtlinien verpflichtet?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Vorlagenpaket.
Ziel
Für Organisationen gelten Gesetze, Vorschriften und interne Richtlinien. Bereits bei der Einstellung von Mitarbeitern muss sichergestellt werden, dass sich Mitarbeiter zur Einhaltung der Richtlinien verpflichten und ihnen die Folgen eines Fehlverhaltens bewusst sind.
Anforderungen
- Muss
- Es besteht eine Verpflichtung zur Geheimhaltung.
- Muss
- Es besteht eine Verpflichtung zur Einhaltung der Richtlinien zur Informationssicherheit.
- Sollte
- Es besteht eine Verpflichtung zur Geheimhaltung über das Arbeitsverhältnis bzw. den Auftrag hinaus.
- Sollte
- Informationssicherheit wird in den Arbeitsverträgen der Mitarbeiter berücksichtigt.
- Sollte
- Eine Vorgehensweise bei Verstößen gegen die vorstehenden Verpflichtungen ist beschrieben.
Umsetzung
Verpflichtung zur Geheimhaltung und Richtlinieneinhaltung
Um die Anforderungen von TISAX gemäß Kapitel 2.1.2 zu erfüllen, ist es notwendig, dass alle Mitarbeiter vertraglich zur Geheimhaltung und zur Einhaltung der Richtlinien zur Informationssicherheit verpflichtet werden. Dies beginnt bereits mit der Gestaltung der Arbeits- oder Dienstverträge. Integrieren Sie Klauseln, die die Mitarbeitenden ausdrücklich zur Vertraulichkeit und zur Befolgung sämtlicher Informationssicherheitsvorgaben verpflichten. Diese Klauseln sollten klar formulieren, welche Daten und Informationen unter die Geheimhaltungsverpflichtungen fallen und welche spezifischen Verhaltensregeln zur Gewährleistung der Informationssicherheit zu befolgen sind.
Berücksichtigung der Informationssicherheit in Arbeitsverträgen
Es ist empfehlenswert, spezifische Abschnitte in den Arbeitsverträgen zu integrieren, die sich direkt auf die Informationssicherheit beziehen. Hierbei sollten die Verantwortlichkeiten der Mitarbeitenden bezüglich der Informationssicherheit detailliert dargestellt werden. Sie können beispielsweise festhalten, welche Sicherheitsprotokolle und -richtlinien einzuhalten sind und welche Konsequenzen bei Nichteinhaltung anstehen. Außerdem sollte ein besonderer Fokus auf die fortlaufende Schulung der Mitarbeiter gelegt werden, um sicherzustellen, dass ihnen die Bedeutung und die Praktiken der Informationssicherheit kontinuierlich bewusst gemacht werden.
Verpflichtung über das Arbeitsverhältnis hinaus
Für eine umfassende Umsetzung der Richtlinien ist es zudem sinnvoll, eine Verpflichtung zur Geheimhaltung, die über das Arbeitsverhältnis hinausgeht, in den Verträgen festzuschreiben. Dies schützt sensible Unternehmensinformationen auch nach Beendigung des Arbeitsverhältnisses. Solche Bestimmungen sind insbesondere dann kritisch, wenn Mitarbeiter in Bereichen arbeiten, in denen sie regelmäßig mit vertraulichen Daten umgehen.
Vorgehensweise bei Verstößen
Es ist entscheidend, eine klare Vorgehensweise für den Fall von Verstößen gegen die Richtlinien zur Informationssicherheit zu definieren. Dies umfasst sowohl die Ermittlung und Bewertung des Verstoßes als auch die daraus resultierenden Konsequenzen. Implementieren Sie ein Verfahren, das es ermöglicht, Verstöße effizient zu dokumentieren, zu untersuchen und angemessen darauf zu reagieren. Diese Vorgehensweise sollte allen Mitarbeitern bekannt und leicht zugänglich gemacht werden, beispielsweise durch Aushänge, in Handbüchern oder über das Intranet des Unternehmens.
Schulung und Bewusstsein
Die Awareness bei den Mitarbeitern zu stärken ist eine fortlaufende Aufgabe. Regelmäßige Schulungen und Workshops zur Informationssicherheit helfen, das Bewusstsein zu schärfen und sicherzustellen, dass die Sicherheitsrichtlinien bekannt und verstanden werden. Stellen Sie sicher, dass neue Mitarbeiter schon bei der Einarbeitung entsprechende Schulungen erhalten und bestehende Mitarbeitende regelmäßig auf den neuesten Stand gebracht werden.
