TISAX® Kapitel 2.1.3
Inwieweit werden Mitarbeiter hinsichtlich der Risiken beim Umgang mit Informationen geschult und sensibilisiert?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Vorlagenpaket.
Ziel
Wenn die Anforderungen und Risiken der Informationssicherheit bei den Mitarbeitern nicht bekannt sind, besteht das Risiko, dass sich Mitarbeiter falsch verhalten und damit der Organisation ein Schaden entsteht. Daher ist es wichtig, dass Informationssicherheit als selbstverständlicher Teil ihrer Tätigkeit verinnerlicht ist und gelebt wird.
Anforderungen
- Muss
- Mitarbeiter sind geschult und sensibilisiert.
- Sollte
- Ein Konzept zur Sensibilisierung und Schulung der Mitarbeiter ist erstellt. Dabei werden mindestens die folgenden Aspekte berücksichtigt:
- Sollte
- Richtlinie zur Informationssicherheit
- Sollte
- Meldungen von Informationssicherheitsereignissen
- Sollte
- Verhalten bei Auftreten von Schadsoftware
- Sollte
- Richtlinien zu Benutzerkonten und Anmeldeinformationen (z.B. Passwort-Richtlinie)
- Sollte
- Compliance-Themen der Informationssicherheit
- Sollte
- Anforderungen und Verfahren zum Einsatz von Geheimhaltungsvereinbarungen bei der gemeinsamen Nutzung schutzbedürftiger Informationen
- Sollte
- Nutzung organisationsfremder IT-Dienste.
- Sollte
- Zielgruppen für Schulungs- und Sensibilisierungsmaßnahmen (d.h. Personen, die in bestimmten risikobehafteten Umgebungen arbeiten, wie Administratoren, Mitarbeiter mit Zugang zu Kundennetzwerken, Personal in Fertigungsbereichen) sind ermittelt und in einem Schulungskonzept berücksichtigt.
- Sollte
- Das Konzept wurde vom verantwortlichen Management freigegeben.
- Sollte
- Schulungs- und Sensibilisierungsmaßnahmen werden sowohl in regelmäßigen Abständen als auch als Reaktion auf Ereignisse durchgeführt.
- Sollte
- Die Teilnahme an Schulungs- und Sensibilisierungsmaßnahmen wird dokumentiert.
- Sollte
- Mitarbeitern sind die Ansprechpartner für Informationssicherheit bekannt.
Umsetzung
Umsetzung der TISAX-Anforderungen zur Mitarbeiterschulung und Sensibilisierung
Um den TISAX-Anforderungen im Kapitel 2.1.3 gerecht zu werden, ist es entscheidend, dass alle Mitarbeiter hinreichend geschult und sensibilisiert sind. Dazu sollten Unternehmen ein umfassendes Konzept für die Sensibilisierung und Schulung der Mitarbeiter entwickeln und implementieren.
Das Konzept sollte dabei nicht nur auf die Vermittlung der firmeninternen Richtlinie zur Informationssicherheit abzielen, sondern auch praxisnahe Szenarien wie das Verhalten bei Auftreten von Schadsoftware und den korrekten Umgang mit Informationssicherheitsereignissen umfassen. Ebenso sollten die Mitarbeiter über die Handhabung von Benutzerkonten und Anmeldeinformationen, wie beispielsweise die Einhaltung der Passwort-Richtlinie, instruiert werden.
Es ist außerdem wichtig, dass das Schulungskonzept Compliance-Themen der Informationssicherheit und den Einsatz von Geheimhaltungsvereinbarungen bei der Nutzung schutzbedürftiger Informationen einschließt. Die Nutzung von organisationsfremden IT-Diensten sollte ebenfalls adressiert werden, um das Bewusstsein und die Verantwortung der Mitarbeiter in diesem Bereich zu stärken.
- Identifizierung der Zielgruppen für spezifische Schulungen und Sensibilisierungsmaßnahmen, wie etwa IT-Administratoren oder Mitarbeiter in produktionsnahen Bereichen.
- Regelmäßige Überprüfung und Anpassung des Schulungskonzepts an aktuelle Bedrohungen und Geschäftsanforderungen.
- Sicherstellung, dass die Schulungs- und Sensibilisierungsmaßnahmen firmenweit und in regelmäßigen Abständen sowie als Reaktion auf besondere Ereignisse stattfinden.
- Dokumentation der Teilnahme an den Schulungen zur Nachweisführung und Qualitätssicherung.
Die Freigabe des Schulungskonzepts durch das zuständige Management ist ebenso essenziell, wie die transparente Kommunikation der zuständigen Ansprechpartner für Informationssicherheit an alle Mitarbeiter. So wird sichergestellt, dass im Bedarfsfall schnell und effektiv gehandelt werden kann.
