RiLi-Sensibilisierung: Unterschied zwischen den Versionen
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
Dirk (Diskussion | Beiträge) |
||
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 3: | Zeile 3: | ||
|keywords=ISMS,Muster,Richtlinie,Sensibilisierung,Mitarbeiter | |keywords=ISMS,Muster,Richtlinie,Sensibilisierung,Mitarbeiter | ||
|description=Muster für eine IT-Sicherheits-Richtlinie zur Sensibilisierung von Mitarbeitenden. | |description=Muster für eine IT-Sicherheits-Richtlinie zur Sensibilisierung von Mitarbeitenden. | ||
}} | }}{{SHORTDESC:Mustervorlage für eine Richtlinie zur Sensibilisierung für Informationssicherheit.}} | ||
''Die Richtlinie beschreibt Maßnahmen zur Erhöhung des Bewusstseins für Informationssicherheit unter Mitarbeitenden. Sie umfasst Schulungen, Kommunikation im Intranet, Vorbildfunktion der Führungskräfte und Meldewege für Sicherheitsvorfälle, um das Risiko menschlichen Versagens zu minimieren und die Sicherheit zu erhöhen.'' | |||
==Einleitung== | ==Einleitung== | ||
Zeile 33: | Zeile 33: | ||
*''ggf. Telemediengesetz (TMG)'' | *''ggf. Telemediengesetz (TMG)'' | ||
* ''ggf. Sozialgesetzbuch (SGB X)'' | * ''ggf. Sozialgesetzbuch (SGB X)'' | ||
''Mögliche weitere rechtliche Rahmenbedingungen sind im Artikel [[Rechtsgrundlagen]] aufgelistet.'' | |||
==Verantwortliche== | ==Verantwortliche== | ||
Zeile 74: | Zeile 75: | ||
==Schlussbemerkung== | ==Schlussbemerkung== | ||
===Behandlung von Ausnahmen=== | |||
Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des [[RiLi-Ausnahmemanagement|Ausnahmemanagements]] möglich. | |||
===Revision=== | |||
Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst. | |||
==Inkrafttreten== | ==Inkrafttreten== | ||
Diese Richtlinie tritt zum 01.01.2222 in Kraft. | Diese Richtlinie tritt zum 01.01.2222 in Kraft. |
Aktuelle Version vom 22. August 2024, 18:24 Uhr
Die Richtlinie beschreibt Maßnahmen zur Erhöhung des Bewusstseins für Informationssicherheit unter Mitarbeitenden. Sie umfasst Schulungen, Kommunikation im Intranet, Vorbildfunktion der Führungskräfte und Meldewege für Sicherheitsvorfälle, um das Risiko menschlichen Versagens zu minimieren und die Sicherheit zu erhöhen.
Einleitung
In einer zunehmend vernetzten und digitalisierten Arbeitswelt kommt der Informationssicherheit eine hohe Bedeutung zu. Cyberangriffe und Datenverluste können erhebliche Schäden verursachen und das Vertrauen von Kunden und Geschäftspartnern beeinträchtigen. Die Sensibilisierung der Mitarbeitenden für IT-Sicherheit ist daher unerlässlich, um das Risiko von IT-Sicherheitsvorfällen zu minimieren. In Schulungen und Trainings lernen die Mitarbeitenden, wie sie sich und das Unternehmen vor Cyberangriffen und Datenverlusten schützen können. Dadurch wird ein sichereres Arbeitsumfeld geschaffen und das Unternehmen kann besser vor den Folgen von IT-Sicherheitsvorfällen geschützt werden.
Geltungsbereich
Diese Richtlinie gilt für alle Mitarbeitenden der Organisation.
Zielsetzung
Die Sensibilisierung der Mitarbeitenden für Informationssicherheit ist ein wichtiger Aspekt der Unternehmenssicherheit. Da die meisten Sicherheitsbedrohungen auf menschliches Versagen zurückzuführen sind, ist es von entscheidender Bedeutung, dass alle Mitarbeitenden der Organisation über die Bedeutung der Informationssicherheit informiert und geschult werden.
Einige der wichtigsten Themen, die bei der Sensibilisierung der Mitarbeitenden für Informationssicherheit behandelt werden sollten, sind
- Phishing-Angriffe: Die Mitarbeitenden sollten über die Risiken von Phishing-Angriffen informiert werden und darüber, wie wichtig es ist, beim Öffnen von E-Mails oder beim Anklicken von Links Vorsicht walten zu lassen.
- Passwortsicherheit: Alle Mitarbeitenden sollten darüber informiert werden, wie sie sichere Passwörter erstellen und regelmäßig aktualisieren können.
- Datenklassifizierung: Die Mitarbeitenden sollten verstehen, wie sie Daten entsprechend ihrer Bedeutsamkeit und Sensibilität klassifizieren und sicher aufbewahren können.
- Verhaltensregeln für die Nutzung von IT-Systemen: Mitarbeitende sollten klare Verhaltensregeln für die Nutzung von IT-Systemen kennen und einhalten.
- Social Engineering: Mitarbeitende sollten über Social-Engineering-Angriffe informiert sein und wissen, wie sie diese erkennen und darauf reagieren können.
- Notfallvorsorge: Mitarbeitende sollten über Notfallpläne informiert sein und wissen, wie sie bei einem Sicherheitsvorfall reagieren können.
Es sind regelmäßig Schulungen und Trainings durchzuführen und die Mitarbeitenden über neue Bedrohungen und Risiken auf dem Laufenden zu halten, um Informationssicherheit dauerhaft in der Organisationskultur zu verankern.
Gesetzliche Rahmenbedingungen
Rechtliche Anforderungen für die Sensibilisierung von Mitarbeitenden sind u.a. in folgenden Gesetzen verankert:
- Bundesdatenschutzgesetz (BDSG)
- ggf. IT-Sicherheitsgesetz (IT-SiG)
- ggf. Telemediengesetz (TMG)
- ggf. Sozialgesetzbuch (SGB X)
Mögliche weitere rechtliche Rahmenbedingungen sind im Artikel Rechtsgrundlagen aufgelistet.
Verantwortliche
Die Verantwortung für die Informationssicherheit und die Sensibilisierung der Mitarbeitenden liegt in erster Linie bei der Leitung der Organisation und ihren Führungskräften. Die Organisation legt mit dieser Policy klare Ziele für die Sensibilisierung der Mitarbeitenden fest.
Auch die Mitarbeitenden selbst können zur Sensibilisierung beitragen. Durch offene Kommunikation und aktive Beteiligung an Diskussionen über erkannte Risiken und Verbesserungspotenziale können sie dazu beitragen, das Bewusstsein für Informationssicherheit in der Organisation zu schärfen.
Der ISB wird regelmässig Schulungen und Trainings zu verschiedenen Themen der Informationssicherheit anbieten oder organisieren.
Vorbildfunktion
Die Vorbildfunktion der Organisationsleitung, der ISB und der Führungskräfte kann einen starken Einfluss auf die Sensibilisierung der Mitarbeitenden haben. Wenn Führungskräfte eine bestimmte Einstellung oder ein bestimmtes Verhalten vorleben, ist es wahrscheinlicher, dass die Mitarbeitenden diese Einstellung oder dieses Verhalten übernehmen und im Unternehmen umsetzen.
Führungskräfte müssen als Vorbilder fungieren und sich aktiv an der Sensibilisierung der Mitarbeitenden beteiligen. Darüber hinaus können sie durch ihre eigene Kommunikation und ihr Verhalten dafür sorgen, dass bestimmte Werte und Verhaltensweisen im Unternehmen gelebt werden.
Schulungen und Trainings
Schulungen und Trainings zur Informationssicherheit sind eine wichtige Maßnahme, um Mitarbeitende für die Risiken von Cyber-Angriffen und Datenverlusten zu sensibilisieren. Der ISB organisiert im Auftrag der Organisationsleitung regelmässige Schulungen und Trainings, die zur Sensibilisierung beitragen:
- Grundlagen der Informationssicherheit: Diese Schulungen vermitteln Grundkenntnisse der Informationssicherheit und zeigen auf, wie die Mitarbeitenden zu einem sicheren Arbeitsumfeld beitragen können. Themen sind beispielsweise der Umgang mit Passwörtern, die Bedeutung von Firewalls und Antivirensoftware sowie Phishing-Angriffe.
- Social Engineering Training: Beim Social Engineering geht es darum, Mitarbeitende zur Preisgabe vertraulicher Informationen oder zu unerwünschten Handlungen zu verleiten. In diesem Training werden die Mitarbeitenden für diese Art von Angriffen sensibilisiert und lernen, wie sie diese erkennen und vermeiden können.
- Mobile Devices and Remote Work Security Training: Die zunehmende Nutzung von mobilen Geräten und die Verbreitung von Homeoffice und mobilen Arbeiten erhöhen das Risiko von IT-Sicherheitsvorfällen. In diesem Training werden die Mitarbeitenden für die Risiken sensibilisiert und lernen, wie sie ihre mobilen Geräte und Remote-Arbeitsplätze sicherer betreiben können.
- Incident Response Training: Im Falle eines Cyberangriffs ist es wichtig, dass die Mitarbeitenden schnell und richtig reagieren. In diesem Training lernen sie, wie man einen Angriff erkennt, wie man ihn meldet und wie man im Ernstfall reagiert, um den Schaden zu minimieren.
Diese Schulungen und Trainings werden regelmäßig durchgeführt, um sicherzustellen, dass die Mitarbeitenden immer auf dem neuesten Stand sind und sich der Bedrohungen bewusst bleiben.
Intranet und Kommunikation
Das Intranet ist ein wertvolles Instrument zur Sensibilisierung für Informationssicherheit. Folgende Inhalte und Angebote zur Informationssicherheit werden im Intranet der Organisation angeboten:
- Verzeichnis der Richtlinien und Konzepte: Über das Intranet werden organisationsweit an zentraler Stelle alle relevanten Richtlinien und Verfahrensanweisungen in der jeweils aktuellen Fassung veröffentlicht und allen Mitarbeitenden zur Verfügung gestellt.
- Informationen zu Schulungen und Trainings: Das aktuelle Angebot an Schulungen und Trainings zur Informationssicherheit wird regelmäßig im Intranet veröffentlicht.
- Sensibilisierungskampagnen: Bei Bedarf werden Awareness-Kampagnen im Intranet veröffentlicht, um auf aktuelle Bedrohungen oder wiederkehrende Sicherheitsvorfälle hinzuweisen und zu sensibilisieren.
- Ansprechpartner und Meldewege: Alle Ansprechpartner für Informationssicherheit und deren Kontaktdaten werden im Intranet veröffentlicht, ebenso die Meldewege für Sicherheitsvorfälle.
- Information über aktuelle Sicherheitswarnungen: Aktuelle Sicherheitswarnungen werden in einem Newsticker im Intranet auf der Startseite veröffentlicht.
Meldewege
Beschreibung der Meldewege für Sicherheitsvorfälle, z.B.:
- Ansprechpartner (ISB, DSB) und Kontaktdaten
- Zentrale Funktionspostfächer
- ServiceDesk, UserHelpDesk oder Ticketsystem
- ...
Schlussbemerkung
Behandlung von Ausnahmen
Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.
Revision
Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.
Inkrafttreten
Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Freigegeben durch: Organisationsleitung
Ort, 01.12.2220,
Unterschrift, Name der Leitung