RiLi-Sensibilisierung: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
(Die Seite wurde neu angelegt: „Mustervorlage: '''"Name der Richtlinie"''' ==Einleitung== In einer zunehmend vernetzten und digitalisierten Arbeitswelt ist Informationssicherheit von großer Bedeutung. Cyberangriffe und Datenverluste können erhebliche Schäden verursachen und das Vertrauen von Kunden und Geschäftspartnern beeinträchtigen. Eine Sensibilisierung der Mitarbeitenden für IT-Sicherheit ist daher unerlässlich, um das Risiko von IT-Sicherheitsvorfällen zu minimieren. In S…“)
 
 
(9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
Mustervorlage: '''"Name der Richtlinie"'''
{{#seo:
|title=Richtlinie Sensibilisierung zur Informationssicherheit
|keywords=ISMS,Muster,Richtlinie,Sensibilisierung,Mitarbeiter
|description=Muster für eine IT-Sicherheits-Richtlinie zur Sensibilisierung von Mitarbeitenden.
}}{{SHORTDESC:Mustervorlage für eine Richtlinie zur Sensibilisierung für Informationssicherheit.}}
''Die Richtlinie beschreibt Maßnahmen zur Erhöhung des Bewusstseins für Informationssicherheit unter Mitarbeitenden. Sie umfasst Schulungen, Kommunikation im Intranet, Vorbildfunktion der Führungskräfte und Meldewege für Sicherheitsvorfälle, um das Risiko menschlichen Versagens zu minimieren und die Sicherheit zu erhöhen.''
 
==Einleitung==
==Einleitung==
In einer zunehmend vernetzten und digitalisierten Arbeitswelt ist Informationssicherheit von großer Bedeutung. Cyberangriffe und Datenverluste können erhebliche Schäden verursachen und das Vertrauen von Kunden und Geschäftspartnern beeinträchtigen. Eine Sensibilisierung der Mitarbeitenden für IT-Sicherheit ist daher unerlässlich, um das Risiko von IT-Sicherheitsvorfällen zu minimieren. In Schulungen und Trainings lernen die Mitarbeitenden, wie sie sich und das Unternehmen vor Cyberangriffen und Datenverlusten schützen können. Dadurch wird ein sichereres Arbeitsumfeld geschaffen und das Unternehmen kann besser vor den Folgen von IT-Sicherheitsvorfällen geschützt werden.
In einer zunehmend vernetzten und digitalisierten Arbeitswelt kommt der Informationssicherheit eine hohe Bedeutung zu. Cyberangriffe und Datenverluste können erhebliche Schäden verursachen und das Vertrauen von Kunden und Geschäftspartnern beeinträchtigen. Die Sensibilisierung der Mitarbeitenden für IT-Sicherheit ist daher unerlässlich, um das Risiko von IT-Sicherheitsvorfällen zu minimieren. In Schulungen und Trainings lernen die Mitarbeitenden, wie sie sich und das Unternehmen vor Cyberangriffen und Datenverlusten schützen können. Dadurch wird ein sichereres Arbeitsumfeld geschaffen und das Unternehmen kann besser vor den Folgen von IT-Sicherheitsvorfällen geschützt werden.


==Geltungsbereich==
==Geltungsbereich==
Zeile 7: Zeile 13:


==Zielsetzung==
==Zielsetzung==
Die Sensibilisierung von Mitarbeitenden zur Informationssicherheit ist ein wichtiger Aspekt für die Sicherheit von Unternehmen. Da die meisten Sicherheitsbedrohungen aus menschlichem Versagen resultieren, ist es von entscheidender Bedeutung, dass alle Mitarbeiterinnen und Mitarbeiter eines Unternehmens über die Bedeutung der Informationssicherheit informiert und geschult werden.
Die Sensibilisierung der Mitarbeitenden für Informationssicherheit ist ein wichtiger Aspekt der Unternehmenssicherheit. Da die meisten Sicherheitsbedrohungen auf menschliches Versagen zurückzuführen sind, ist es von entscheidender Bedeutung, dass alle Mitarbeitenden der Organisation über die Bedeutung der Informationssicherheit informiert und geschult werden.


Einige der wichtigsten Themen, die in der Sensibilisierung von Mitarbeitenden zur Informationssicherheit behandelt werden sollen, sind:
Einige der wichtigsten Themen, die bei der Sensibilisierung der Mitarbeitenden für Informationssicherheit behandelt werden sollten, sind


* Phishing-Angriffe: Mitarbeiterinnen und Mitarbeiter sollten über die Risiken von Phishing-Angriffen und die Bedeutung von Vorsicht und Achtsamkeit beim Öffnen von E-Mails oder Anklicken von Links informiert werden.
*Phishing-Angriffe: Die Mitarbeitenden sollten über die Risiken von Phishing-Angriffen informiert werden und darüber, wie wichtig es ist, beim Öffnen von E-Mails oder beim Anklicken von Links Vorsicht walten zu lassen.
* Passwortsicherheit: Alle Mitarbeitenden sollten darüber aufgeklärt werden, wie sie sichere Passwörter erstellen und diese regelmäßig aktualisieren können.
*Passwortsicherheit: Alle Mitarbeitenden sollten darüber informiert werden, wie sie sichere Passwörter erstellen und regelmäßig aktualisieren können.
* Datenklassifizierung: Mitarbeitende sollten verstehen, wie sie Daten entsprechend ihrer Wichtigkeit und Sensibilität klassifizieren und sicher aufbewahren können.
*Datenklassifizierung: Die Mitarbeitenden sollten verstehen, wie sie Daten entsprechend ihrer Bedeutsamkeit und Sensibilität klassifizieren und sicher aufbewahren können.
* Verhaltensregeln bei der Nutzung von IT-Systemen: Mitarbeitende sollten klare Verhaltensregeln für die Nutzung von IT-Systemen kennen und einhalten.
*Verhaltensregeln für die Nutzung von IT-Systemen: Mitarbeitende sollten klare Verhaltensregeln für die Nutzung von IT-Systemen kennen und einhalten.
* Social Engineering: Mitarbeitende sollten über Social Engineering-Angriffe aufgeklärt werden und wissen, wie sie diese erkennen und darauf reagieren können.
*Social Engineering: Mitarbeitende sollten über Social-Engineering-Angriffe informiert sein und wissen, wie sie diese erkennen und darauf reagieren können.
* Notfallvorsorge: Mitarbeitende sollten über Notfallpläne informiert werden und wissen, wie sie im Falle eines Sicherheitsvorfalls reagieren müssen.
*Notfallvorsorge: Mitarbeitende sollten über Notfallpläne informiert sein und wissen, wie sie bei einem Sicherheitsvorfall reagieren können.


Es ist wichtig, regelmäßig Schulungen und Trainings durchzuführen und Mitarbeiterinnen und Mitarbeiter über neue Bedrohungen und Risiken auf dem Laufenden zu halten, um die Informationssicherheit in der Organisationskultur dauerhaft fest zu verankern.
Es sind regelmäßig Schulungen und Trainings durchzuführen und die Mitarbeitenden über neue Bedrohungen und Risiken auf dem Laufenden zu halten, um Informationssicherheit dauerhaft in der Organisationskultur zu verankern.


==Gesetzliche Rahmenbedingungen==
==Gesetzliche Rahmenbedingungen==
Rechtliche Anforderungen für die Sensibilisierung von Mitarbeitenden sind u.a. in folgenden Gesetzen verankert:
Rechtliche Anforderungen für die Sensibilisierung von Mitarbeitenden sind u.a. in folgenden Gesetzen verankert:


* Bundesdatenschutzgesetz (BDSG)
*Bundesdatenschutzgesetz (BDSG)
* ''ggf. IT-Sicherheitsgesetz (IT-SiG)''
* ''ggf. IT-Sicherheitsgesetz (IT-SiG)''
* ''ggf. Telemediengesetz (TMG)''
*''ggf. Telemediengesetz (TMG)''
* ''ggf. Sozialgesetzbuch (SGB X)''
* ''ggf. Sozialgesetzbuch (SGB X)''
''Mögliche weitere rechtliche Rahmenbedingungen sind im Artikel [[Rechtsgrundlagen]] aufgelistet.''


==Verantwortliche==
==Verantwortliche==
Die Verantwortung für die Informationssicherheit und die Sensibilisierung der Mitarbeitenden liegt in erster Linie bei der Organisationsleitung und seinen Führungskräften. Die Organisation legt mit dieser Richtlinie klare Ziele für die Sensibilisierung der Mitarbeitenden fest.
Die Verantwortung für die Informationssicherheit und die Sensibilisierung der Mitarbeitenden liegt in erster Linie bei der Leitung der Organisation und ihren Führungskräften. Die Organisation legt mit dieser Policy klare Ziele für die Sensibilisierung der Mitarbeitenden fest.


Auch die Mitarbeitenden selbst können sich an der Sensibilisierung beteiligen. Durch eine offene Kommunikation und eine aktive Beteiligung an Diskussionen über erkannte Risiken und Verbesserungspotentiale können sie dazu beitragen, ein Bewusstsein für Informationssicherheit in der Organisation zu schaffen.
Auch die Mitarbeitenden selbst können zur Sensibilisierung beitragen. Durch offene Kommunikation und aktive Beteiligung an Diskussionen über erkannte Risiken und Verbesserungspotenziale können sie dazu beitragen, das Bewusstsein für Informationssicherheit in der Organisation zu schärfen.


Der ISB wird regelmäßig Schulungen und Trainings zu unterschiedlichen Themen der Informationssicherheit anbieten oder organisieren.
Der ISB wird regelmässig Schulungen und Trainings zu verschiedenen Themen der Informationssicherheit anbieten oder organisieren.


== Vorbildfunktion ==
==Vorbildfunktion==
Die Vorbildfunktion von Organisationsleitung, ISB und Führungskräften kann eine starke Wirkung auf die Sensibilisierung der Mitarbeitenden haben. Wenn die Führungskräfte eine bestimmte Einstellung oder Verhaltensweise vorleben, ist es wahrscheinlicher, dass die Mitarbeitenden diese Einstellung oder Verhaltensweise übernehmen und im Unternehmen umsetzen.
Die Vorbildfunktion der Organisationsleitung, der ISB und der Führungskräfte kann einen starken Einfluss auf die Sensibilisierung der Mitarbeitenden haben. Wenn Führungskräfte eine bestimmte Einstellung oder ein bestimmtes Verhalten vorleben, ist es wahrscheinlicher, dass die Mitarbeitenden diese Einstellung oder dieses Verhalten übernehmen und im Unternehmen umsetzen.


Führungskräfte sollen als Vorbilder fungieren und sich aktiv an der Sensibilisierung der Mitarbeitenden beteiligen. Darüber hinaus können sie durch ihre eigene Kommunikation und ihr Verhalten sicherstellen, dass bestimmte Werte und Verhaltensweisen im Unternehmen gelebt werden.
Führungskräfte müssen als Vorbilder fungieren und sich aktiv an der Sensibilisierung der Mitarbeitenden beteiligen. Darüber hinaus können sie durch ihre eigene Kommunikation und ihr Verhalten dafür sorgen, dass bestimmte Werte und Verhaltensweisen im Unternehmen gelebt werden.


==Schulungen und Trainings==
==Schulungen und Trainings==
Schulungen und Trainings zur Informationssicherheit sind eine wichtige Maßnahme, um Mitarbeitende für die Risiken von Cyberangriffen und Datenverlusten zu sensibilisieren. Der ISB organisiert im Auftrag der Organisationsleitung regelmäßige Schulungen und Trainings, die zur Sensibilisierung beitragen:
Schulungen und Trainings zur Informationssicherheit sind eine wichtige Maßnahme, um Mitarbeitende für die Risiken von Cyber-Angriffen und Datenverlusten zu sensibilisieren. Der ISB organisiert im Auftrag der Organisationsleitung regelmässige Schulungen und Trainings, die zur Sensibilisierung beitragen:


* '''Grundlagen der Informationssicherheit:''' Diese Schulungen vermitteln grundlegende Kenntnisse über Informationssicherheit und zeigen, wie Mitarbeitende dazu beitragen können, ein sicheres Arbeitsumfeld zu schaffen. Dabei geht es beispielsweise um den Umgang mit Passwörtern, die Bedeutung von Firewalls und Antivirus-Software sowie um Phishing-Angriffe.
*'''Grundlagen der Informationssicherheit:''' Diese Schulungen vermitteln Grundkenntnisse der Informationssicherheit und zeigen auf, wie die Mitarbeitenden zu einem sicheren Arbeitsumfeld beitragen können. Themen sind beispielsweise der Umgang mit Passwörtern, die Bedeutung von Firewalls und Antivirensoftware sowie Phishing-Angriffe.
* '''Social Engineering-Training:''' Bei Social Engineering geht es darum, Mitarbeiter dazu zu verleiten, vertrauliche Informationen herauszugeben oder ungewollte Aktionen durchzuführen. In diesem Training werden die Mitarbeitenden für diese Art von Angriffen sensibilisiert und lernen, wie sie sie erkennen und vermeiden können.
*'''Social Engineering Training:''' Beim Social Engineering geht es darum, Mitarbeitende zur Preisgabe vertraulicher Informationen oder zu unerwünschten Handlungen zu verleiten. In diesem Training werden die Mitarbeitenden für diese Art von Angriffen sensibilisiert und lernen, wie sie diese erkennen und vermeiden können.
* '''Mobile Device- und Remote Work-Sicherheitstraining:''' Durch die zunehmende Nutzung von mobilen Geräten und die Verbreitung von Homeoffice-Arbeitsplätzen steigt das Risiko von IT-Sicherheitsvorfällen. In diesem Training werden die Mitarbeitenden für die Risiken sensibilisiert und lernen, wie sie ihre mobilen Geräte und Remote-Arbeitsplätze sicherer betreiben können.
*'''Mobile Devices and Remote Work Security Training:''' Die zunehmende Nutzung von mobilen Geräten und die Verbreitung von Homeoffice und mobilen Arbeiten erhöhen das Risiko von IT-Sicherheitsvorfällen. In diesem Training werden die Mitarbeitenden für die Risiken sensibilisiert und lernen, wie sie ihre mobilen Geräte und Remote-Arbeitsplätze sicherer betreiben können.
* '''Incident Response-Training:''' Im Falle eines Cyberangriffs ist es wichtig, dass die Mitarbeitenden schnell und richtig reagieren. In diesem Training lernen sie, wie sie einen Angriff erkennen, wie sie ihn melden und wie sie im Ernstfall handeln sollten, um den Schaden zu minimieren.
*'''Incident Response Training:''' Im Falle eines Cyberangriffs ist es wichtig, dass die Mitarbeitenden schnell und richtig reagieren. In diesem Training lernen sie, wie man einen Angriff erkennt, wie man ihn meldet und wie man im Ernstfall reagiert, um den Schaden zu minimieren.


Es ist wichtig, dass diese Schulungen und Trainings regelmäßig durchgeführt werden, um sicherzustellen, dass die Mitarbeitenden immer auf dem neuesten Stand sind und sich der Bedrohungen bewusst bleiben.
Diese Schulungen und Trainings werden regelmäßig durchgeführt, um sicherzustellen, dass die Mitarbeitenden immer auf dem neuesten Stand sind und sich der Bedrohungen bewusst bleiben.


== Intranet und Kommunikation ==
==Intranet und Kommunikation==
Das Intranet ist ein wertvolles Instrument zur Sensibilisierung für Informationssicherheit. Folgende Inhalte und Angebote zur Informationssicherheit werden im Intranet der Organisation angeboten:
Das Intranet ist ein wertvolles Instrument zur Sensibilisierung für Informationssicherheit. Folgende Inhalte und Angebote zur Informationssicherheit werden im Intranet der Organisation angeboten:


* '''Verzeichnis der Richtlinien und Konzepte:''' Über das Intranet werden organisationsweit an zentraler Stelle alle relevanten Richtlinien und Verfahrensanweisungen in der jeweils aktuellsten Fassung veröffentlicht und allen Mitarbeitenden bereit gestellt.  
*'''Verzeichnis der Richtlinien und Konzepte:''' Über das Intranet werden organisationsweit an zentraler Stelle alle relevanten Richtlinien und Verfahrensanweisungen in der jeweils aktuellen Fassung veröffentlicht und allen Mitarbeitenden zur Verfügung gestellt.
* '''Information über Schulungen und Trainings:''' Das aktuelle Angebot von Schulungen und Trainings zur Informationssicherheit wird regelmäßig im Intranet veröffentlicht.
*'''Informationen zu Schulungen und Trainings:''' Das aktuelle Angebot an Schulungen und Trainings zur Informationssicherheit wird regelmäßig im Intranet veröffentlicht.
* '''Sensibilisierungskampagnen:''' Bedarfsorientiert werden Kampagnen zur Sensibilisierung im Intranet veröffentlicht, um auf aktuelle Bedrohungen oder wiederkehrende Sicherheitsvorfälle hinzuweisen und zu sensibilisieren.
*'''Sensibilisierungskampagnen:''' Bei Bedarf werden Awareness-Kampagnen im Intranet veröffentlicht, um auf aktuelle Bedrohungen oder wiederkehrende Sicherheitsvorfälle hinzuweisen und zu sensibilisieren.
* '''Ansprechpartner und Meldewege:''' Alle Ansprechpartner für Informationssicherheit und deren Kontaktdaten sind im Intranet veröffentlicht, ebenso die Meldewege für Sicherheitsvorfälle.  
*'''Ansprechpartner und Meldewege:''' Alle Ansprechpartner für Informationssicherheit und deren Kontaktdaten werden im Intranet veröffentlicht, ebenso die Meldewege für Sicherheitsvorfälle.
* '''Informationen über aktuelle Sicherheitswarnungen:''' Akute Sicherheitswarnungen werden in einem Newsticker in Intranet auf der Startseite veröffentlicht.
*'''Information über aktuelle Sicherheitswarnungen:''' Aktuelle Sicherheitswarnungen werden in einem Newsticker im Intranet auf der Startseite veröffentlicht.


== Meldewege ==
==Meldewege==
''Beschreibung der Meldewege für Sicherheitsvorfälle, z.B.:''
''Beschreibung der Meldewege für Sicherheitsvorfälle, z.B.:''


* ''Ansprechpartner (ISB, DSB) und Kontaktdaten''
*''Ansprechpartner (ISB, DSB) und Kontaktdaten''
* ''Zentrale Funktionspostfächer''
*''Zentrale Funktionspostfächer''
* ''ServiceDesk, UserHelpDesk oder Ticketsystem''
*''ServiceDesk, UserHelpDesk oder Ticketsystem''
* ''...''
*''...''


==Schlussbemerkung==
==Schlussbemerkung==
 
===Behandlung von Ausnahmen===
Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des [[RiLi-Ausnahmemanagement|Ausnahmemanagements]] möglich.
===Revision===
Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.
==Inkrafttreten==
==Inkrafttreten==
Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Zeile 77: Zeile 87:


Unterschrift, Name der Leitung
Unterschrift, Name der Leitung
[[Kategorie:Richtlinie]]
[[Kategorie:Mustervorlage]]

Aktuelle Version vom 22. August 2024, 18:24 Uhr

Die Richtlinie beschreibt Maßnahmen zur Erhöhung des Bewusstseins für Informationssicherheit unter Mitarbeitenden. Sie umfasst Schulungen, Kommunikation im Intranet, Vorbildfunktion der Führungskräfte und Meldewege für Sicherheitsvorfälle, um das Risiko menschlichen Versagens zu minimieren und die Sicherheit zu erhöhen.

Einleitung

In einer zunehmend vernetzten und digitalisierten Arbeitswelt kommt der Informationssicherheit eine hohe Bedeutung zu. Cyberangriffe und Datenverluste können erhebliche Schäden verursachen und das Vertrauen von Kunden und Geschäftspartnern beeinträchtigen. Die Sensibilisierung der Mitarbeitenden für IT-Sicherheit ist daher unerlässlich, um das Risiko von IT-Sicherheitsvorfällen zu minimieren. In Schulungen und Trainings lernen die Mitarbeitenden, wie sie sich und das Unternehmen vor Cyberangriffen und Datenverlusten schützen können. Dadurch wird ein sichereres Arbeitsumfeld geschaffen und das Unternehmen kann besser vor den Folgen von IT-Sicherheitsvorfällen geschützt werden.

Geltungsbereich

Diese Richtlinie gilt für alle Mitarbeitenden der Organisation.

Zielsetzung

Die Sensibilisierung der Mitarbeitenden für Informationssicherheit ist ein wichtiger Aspekt der Unternehmenssicherheit. Da die meisten Sicherheitsbedrohungen auf menschliches Versagen zurückzuführen sind, ist es von entscheidender Bedeutung, dass alle Mitarbeitenden der Organisation über die Bedeutung der Informationssicherheit informiert und geschult werden.

Einige der wichtigsten Themen, die bei der Sensibilisierung der Mitarbeitenden für Informationssicherheit behandelt werden sollten, sind

  • Phishing-Angriffe: Die Mitarbeitenden sollten über die Risiken von Phishing-Angriffen informiert werden und darüber, wie wichtig es ist, beim Öffnen von E-Mails oder beim Anklicken von Links Vorsicht walten zu lassen.
  • Passwortsicherheit: Alle Mitarbeitenden sollten darüber informiert werden, wie sie sichere Passwörter erstellen und regelmäßig aktualisieren können.
  • Datenklassifizierung: Die Mitarbeitenden sollten verstehen, wie sie Daten entsprechend ihrer Bedeutsamkeit und Sensibilität klassifizieren und sicher aufbewahren können.
  • Verhaltensregeln für die Nutzung von IT-Systemen: Mitarbeitende sollten klare Verhaltensregeln für die Nutzung von IT-Systemen kennen und einhalten.
  • Social Engineering: Mitarbeitende sollten über Social-Engineering-Angriffe informiert sein und wissen, wie sie diese erkennen und darauf reagieren können.
  • Notfallvorsorge: Mitarbeitende sollten über Notfallpläne informiert sein und wissen, wie sie bei einem Sicherheitsvorfall reagieren können.

Es sind regelmäßig Schulungen und Trainings durchzuführen und die Mitarbeitenden über neue Bedrohungen und Risiken auf dem Laufenden zu halten, um Informationssicherheit dauerhaft in der Organisationskultur zu verankern.

Gesetzliche Rahmenbedingungen

Rechtliche Anforderungen für die Sensibilisierung von Mitarbeitenden sind u.a. in folgenden Gesetzen verankert:

  • Bundesdatenschutzgesetz (BDSG)
  • ggf. IT-Sicherheitsgesetz (IT-SiG)
  • ggf. Telemediengesetz (TMG)
  • ggf. Sozialgesetzbuch (SGB X)

Mögliche weitere rechtliche Rahmenbedingungen sind im Artikel Rechtsgrundlagen aufgelistet.

Verantwortliche

Die Verantwortung für die Informationssicherheit und die Sensibilisierung der Mitarbeitenden liegt in erster Linie bei der Leitung der Organisation und ihren Führungskräften. Die Organisation legt mit dieser Policy klare Ziele für die Sensibilisierung der Mitarbeitenden fest.

Auch die Mitarbeitenden selbst können zur Sensibilisierung beitragen. Durch offene Kommunikation und aktive Beteiligung an Diskussionen über erkannte Risiken und Verbesserungspotenziale können sie dazu beitragen, das Bewusstsein für Informationssicherheit in der Organisation zu schärfen.

Der ISB wird regelmässig Schulungen und Trainings zu verschiedenen Themen der Informationssicherheit anbieten oder organisieren.

Vorbildfunktion

Die Vorbildfunktion der Organisationsleitung, der ISB und der Führungskräfte kann einen starken Einfluss auf die Sensibilisierung der Mitarbeitenden haben. Wenn Führungskräfte eine bestimmte Einstellung oder ein bestimmtes Verhalten vorleben, ist es wahrscheinlicher, dass die Mitarbeitenden diese Einstellung oder dieses Verhalten übernehmen und im Unternehmen umsetzen.

Führungskräfte müssen als Vorbilder fungieren und sich aktiv an der Sensibilisierung der Mitarbeitenden beteiligen. Darüber hinaus können sie durch ihre eigene Kommunikation und ihr Verhalten dafür sorgen, dass bestimmte Werte und Verhaltensweisen im Unternehmen gelebt werden.

Schulungen und Trainings

Schulungen und Trainings zur Informationssicherheit sind eine wichtige Maßnahme, um Mitarbeitende für die Risiken von Cyber-Angriffen und Datenverlusten zu sensibilisieren. Der ISB organisiert im Auftrag der Organisationsleitung regelmässige Schulungen und Trainings, die zur Sensibilisierung beitragen:

  • Grundlagen der Informationssicherheit: Diese Schulungen vermitteln Grundkenntnisse der Informationssicherheit und zeigen auf, wie die Mitarbeitenden zu einem sicheren Arbeitsumfeld beitragen können. Themen sind beispielsweise der Umgang mit Passwörtern, die Bedeutung von Firewalls und Antivirensoftware sowie Phishing-Angriffe.
  • Social Engineering Training: Beim Social Engineering geht es darum, Mitarbeitende zur Preisgabe vertraulicher Informationen oder zu unerwünschten Handlungen zu verleiten. In diesem Training werden die Mitarbeitenden für diese Art von Angriffen sensibilisiert und lernen, wie sie diese erkennen und vermeiden können.
  • Mobile Devices and Remote Work Security Training: Die zunehmende Nutzung von mobilen Geräten und die Verbreitung von Homeoffice und mobilen Arbeiten erhöhen das Risiko von IT-Sicherheitsvorfällen. In diesem Training werden die Mitarbeitenden für die Risiken sensibilisiert und lernen, wie sie ihre mobilen Geräte und Remote-Arbeitsplätze sicherer betreiben können.
  • Incident Response Training: Im Falle eines Cyberangriffs ist es wichtig, dass die Mitarbeitenden schnell und richtig reagieren. In diesem Training lernen sie, wie man einen Angriff erkennt, wie man ihn meldet und wie man im Ernstfall reagiert, um den Schaden zu minimieren.

Diese Schulungen und Trainings werden regelmäßig durchgeführt, um sicherzustellen, dass die Mitarbeitenden immer auf dem neuesten Stand sind und sich der Bedrohungen bewusst bleiben.

Intranet und Kommunikation

Das Intranet ist ein wertvolles Instrument zur Sensibilisierung für Informationssicherheit. Folgende Inhalte und Angebote zur Informationssicherheit werden im Intranet der Organisation angeboten:

  • Verzeichnis der Richtlinien und Konzepte: Über das Intranet werden organisationsweit an zentraler Stelle alle relevanten Richtlinien und Verfahrensanweisungen in der jeweils aktuellen Fassung veröffentlicht und allen Mitarbeitenden zur Verfügung gestellt.
  • Informationen zu Schulungen und Trainings: Das aktuelle Angebot an Schulungen und Trainings zur Informationssicherheit wird regelmäßig im Intranet veröffentlicht.
  • Sensibilisierungskampagnen: Bei Bedarf werden Awareness-Kampagnen im Intranet veröffentlicht, um auf aktuelle Bedrohungen oder wiederkehrende Sicherheitsvorfälle hinzuweisen und zu sensibilisieren.
  • Ansprechpartner und Meldewege: Alle Ansprechpartner für Informationssicherheit und deren Kontaktdaten werden im Intranet veröffentlicht, ebenso die Meldewege für Sicherheitsvorfälle.
  • Information über aktuelle Sicherheitswarnungen: Aktuelle Sicherheitswarnungen werden in einem Newsticker im Intranet auf der Startseite veröffentlicht.

Meldewege

Beschreibung der Meldewege für Sicherheitsvorfälle, z.B.:

  • Ansprechpartner (ISB, DSB) und Kontaktdaten
  • Zentrale Funktionspostfächer
  • ServiceDesk, UserHelpDesk oder Ticketsystem
  • ...

Schlussbemerkung

Behandlung von Ausnahmen

Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.

Revision

Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung