Login Registrieren
Lernen / ISO/IEC 27001 — ISMS-Tutorial / Personalsicherheit (6.1–6.8)

Personalsicherheit (6.1–6.8)

A.6 Personenbezogene Maßnahmen

A.6 Personenbezogene Maßnahmen

Der Mensch ist oft das schwächste – und zugleich stärkste – Glied der Sicherheit. Das Thema 6 (Personenbezogen) umfasst 8 Maßnahmen, die den gesamten Beschäftigungs-Lebenszyklus begleiten: vor, während und nach der Beschäftigung.

VOR              WÄHREND                        NACH
6.1 Screening    6.3 Awareness & Schulung        6.5 Pflichten danach
6.2 Verträge     6.4 Maßregelung                 (Rückgabe, Entzug)
                 6.6 Vertraulichkeit (NDA)
                 6.7 Remote-Arbeit
                 6.8 Meldung von Ereignissen

Vor der Beschäftigung

  • 6.1 Sicherheitsüberprüfung (Screening): Bewerber werden – im Rahmen der Gesetze und angemessen zum Risiko – überprüft (z. B. Identität, Referenzen, ggf. Führungszeugnis). Je sensibler die Rolle, desto gründlicher.
  • 6.2 Beschäftigungs- & Vertragsbedingungen: Arbeitsverträge legen die Sicherheits-Verantwortlichkeiten von Person und Organisation fest.

Während der Beschäftigung

  • 6.3 Bewusstsein, Ausbildung & Schulung: Das Herzstück – Mitarbeitende erhalten regelmäßige Awareness-Maßnahmen und Trainings zu Richtlinien und Bedrohungen (Phishing, Social Engineering). Verbindet sich mit Klausel 7.3.
  • 6.4 Maßregelungsprozess: Ein formaler, kommunizierter Prozess für den Umgang mit Verstößen – fair, abgestuft und vorab bekannt.
  • 6.6 Vertraulichkeits-/Geheimhaltungsvereinbarungen (NDA): identifiziert, dokumentiert und unterzeichnet – auch für Dritte.

6.7 Remote-Arbeit

Für das Arbeiten außerhalb der Räumlichkeiten (Homeoffice, mobil) gelten besondere Schutzmaßnahmen: verschlüsselte Geräte, VPN, sichere WLANs, Sichtschutz, Regeln für privates Umfeld. Heute Standard – und ein häufiges Einfallstor.

6.8 Meldung von Sicherheitsereignissen

Die Organisation stellt einen einfachen Meldemechanismus bereit, über den Mitarbeitende beobachtete oder vermutete Ereignisse rechtzeitig melden können. Wichtig ist eine angstfreie Kultur: Wer einen Fehler meldet, wird nicht bestraft, sondern unterstützt – sonst meldet niemand. Die Meldungen speisen das Vorfallmanagement (5.24–5.28).

Nach der Beschäftigung

6.5 Verantwortlichkeiten bei Beendigung/Änderung: Pflichten, die über das Arbeitsverhältnis hinaus gelten (z. B. Verschwiegenheit), werden festgelegt und kommuniziert. Beim Austritt: Zugänge entziehen, Werte zurückgeben (5.11).

Warum ist eine angstfreie Meldekultur (6.8) wichtig?

Continuity & Compliance (5.29–5.37) Physische Sicherheit (7.1–7.14)