RiLi-Sensibilisierung

Aus ISMS-Ratgeber WiKi
Version vom 21. Februar 2023, 21:51 Uhr von Dirk (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „Mustervorlage: '''"Name der Richtlinie"''' ==Einleitung== In einer zunehmend vernetzten und digitalisierten Arbeitswelt ist Informationssicherheit von großer Bedeutung. Cyberangriffe und Datenverluste können erhebliche Schäden verursachen und das Vertrauen von Kunden und Geschäftspartnern beeinträchtigen. Eine Sensibilisierung der Mitarbeitenden für IT-Sicherheit ist daher unerlässlich, um das Risiko von IT-Sicherheitsvorfällen zu minimieren. In S…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springenZur Suche springen

Mustervorlage: "Name der Richtlinie"

Einleitung

In einer zunehmend vernetzten und digitalisierten Arbeitswelt ist Informationssicherheit von großer Bedeutung. Cyberangriffe und Datenverluste können erhebliche Schäden verursachen und das Vertrauen von Kunden und Geschäftspartnern beeinträchtigen. Eine Sensibilisierung der Mitarbeitenden für IT-Sicherheit ist daher unerlässlich, um das Risiko von IT-Sicherheitsvorfällen zu minimieren. In Schulungen und Trainings lernen die Mitarbeitenden, wie sie sich und das Unternehmen vor Cyberangriffen und Datenverlusten schützen können. Dadurch wird ein sichereres Arbeitsumfeld geschaffen und das Unternehmen kann besser vor den Folgen von IT-Sicherheitsvorfällen geschützt werden.

Geltungsbereich

Diese Richtlinie gilt für alle Mitarbeitenden der Organisation.

Zielsetzung

Die Sensibilisierung von Mitarbeitenden zur Informationssicherheit ist ein wichtiger Aspekt für die Sicherheit von Unternehmen. Da die meisten Sicherheitsbedrohungen aus menschlichem Versagen resultieren, ist es von entscheidender Bedeutung, dass alle Mitarbeiterinnen und Mitarbeiter eines Unternehmens über die Bedeutung der Informationssicherheit informiert und geschult werden.

Einige der wichtigsten Themen, die in der Sensibilisierung von Mitarbeitenden zur Informationssicherheit behandelt werden sollen, sind:

  • Phishing-Angriffe: Mitarbeiterinnen und Mitarbeiter sollten über die Risiken von Phishing-Angriffen und die Bedeutung von Vorsicht und Achtsamkeit beim Öffnen von E-Mails oder Anklicken von Links informiert werden.
  • Passwortsicherheit: Alle Mitarbeitenden sollten darüber aufgeklärt werden, wie sie sichere Passwörter erstellen und diese regelmäßig aktualisieren können.
  • Datenklassifizierung: Mitarbeitende sollten verstehen, wie sie Daten entsprechend ihrer Wichtigkeit und Sensibilität klassifizieren und sicher aufbewahren können.
  • Verhaltensregeln bei der Nutzung von IT-Systemen: Mitarbeitende sollten klare Verhaltensregeln für die Nutzung von IT-Systemen kennen und einhalten.
  • Social Engineering: Mitarbeitende sollten über Social Engineering-Angriffe aufgeklärt werden und wissen, wie sie diese erkennen und darauf reagieren können.
  • Notfallvorsorge: Mitarbeitende sollten über Notfallpläne informiert werden und wissen, wie sie im Falle eines Sicherheitsvorfalls reagieren müssen.

Es ist wichtig, regelmäßig Schulungen und Trainings durchzuführen und Mitarbeiterinnen und Mitarbeiter über neue Bedrohungen und Risiken auf dem Laufenden zu halten, um die Informationssicherheit in der Organisationskultur dauerhaft fest zu verankern.

Gesetzliche Rahmenbedingungen

Rechtliche Anforderungen für die Sensibilisierung von Mitarbeitenden sind u.a. in folgenden Gesetzen verankert:

  • Bundesdatenschutzgesetz (BDSG)
  • ggf. IT-Sicherheitsgesetz (IT-SiG)
  • ggf. Telemediengesetz (TMG)
  • ggf. Sozialgesetzbuch (SGB X)

Verantwortliche

Die Verantwortung für die Informationssicherheit und die Sensibilisierung der Mitarbeitenden liegt in erster Linie bei der Organisationsleitung und seinen Führungskräften. Die Organisation legt mit dieser Richtlinie klare Ziele für die Sensibilisierung der Mitarbeitenden fest.

Auch die Mitarbeitenden selbst können sich an der Sensibilisierung beteiligen. Durch eine offene Kommunikation und eine aktive Beteiligung an Diskussionen über erkannte Risiken und Verbesserungspotentiale können sie dazu beitragen, ein Bewusstsein für Informationssicherheit in der Organisation zu schaffen.

Der ISB wird regelmäßig Schulungen und Trainings zu unterschiedlichen Themen der Informationssicherheit anbieten oder organisieren.

Vorbildfunktion

Die Vorbildfunktion von Organisationsleitung, ISB und Führungskräften kann eine starke Wirkung auf die Sensibilisierung der Mitarbeitenden haben. Wenn die Führungskräfte eine bestimmte Einstellung oder Verhaltensweise vorleben, ist es wahrscheinlicher, dass die Mitarbeitenden diese Einstellung oder Verhaltensweise übernehmen und im Unternehmen umsetzen.

Führungskräfte sollen als Vorbilder fungieren und sich aktiv an der Sensibilisierung der Mitarbeitenden beteiligen. Darüber hinaus können sie durch ihre eigene Kommunikation und ihr Verhalten sicherstellen, dass bestimmte Werte und Verhaltensweisen im Unternehmen gelebt werden.

Schulungen und Trainings

Schulungen und Trainings zur Informationssicherheit sind eine wichtige Maßnahme, um Mitarbeitende für die Risiken von Cyberangriffen und Datenverlusten zu sensibilisieren. Der ISB organisiert im Auftrag der Organisationsleitung regelmäßige Schulungen und Trainings, die zur Sensibilisierung beitragen:

  • Grundlagen der Informationssicherheit: Diese Schulungen vermitteln grundlegende Kenntnisse über Informationssicherheit und zeigen, wie Mitarbeitende dazu beitragen können, ein sicheres Arbeitsumfeld zu schaffen. Dabei geht es beispielsweise um den Umgang mit Passwörtern, die Bedeutung von Firewalls und Antivirus-Software sowie um Phishing-Angriffe.
  • Social Engineering-Training: Bei Social Engineering geht es darum, Mitarbeiter dazu zu verleiten, vertrauliche Informationen herauszugeben oder ungewollte Aktionen durchzuführen. In diesem Training werden die Mitarbeitenden für diese Art von Angriffen sensibilisiert und lernen, wie sie sie erkennen und vermeiden können.
  • Mobile Device- und Remote Work-Sicherheitstraining: Durch die zunehmende Nutzung von mobilen Geräten und die Verbreitung von Homeoffice-Arbeitsplätzen steigt das Risiko von IT-Sicherheitsvorfällen. In diesem Training werden die Mitarbeitenden für die Risiken sensibilisiert und lernen, wie sie ihre mobilen Geräte und Remote-Arbeitsplätze sicherer betreiben können.
  • Incident Response-Training: Im Falle eines Cyberangriffs ist es wichtig, dass die Mitarbeitenden schnell und richtig reagieren. In diesem Training lernen sie, wie sie einen Angriff erkennen, wie sie ihn melden und wie sie im Ernstfall handeln sollten, um den Schaden zu minimieren.

Es ist wichtig, dass diese Schulungen und Trainings regelmäßig durchgeführt werden, um sicherzustellen, dass die Mitarbeitenden immer auf dem neuesten Stand sind und sich der Bedrohungen bewusst bleiben.

Intranet und Kommunikation

Das Intranet ist ein wertvolles Instrument zur Sensibilisierung für Informationssicherheit. Folgende Inhalte und Angebote zur Informationssicherheit werden im Intranet der Organisation angeboten:

  • Verzeichnis der Richtlinien und Konzepte: Über das Intranet werden organisationsweit an zentraler Stelle alle relevanten Richtlinien und Verfahrensanweisungen in der jeweils aktuellsten Fassung veröffentlicht und allen Mitarbeitenden bereit gestellt.
  • Information über Schulungen und Trainings: Das aktuelle Angebot von Schulungen und Trainings zur Informationssicherheit wird regelmäßig im Intranet veröffentlicht.
  • Sensibilisierungskampagnen: Bedarfsorientiert werden Kampagnen zur Sensibilisierung im Intranet veröffentlicht, um auf aktuelle Bedrohungen oder wiederkehrende Sicherheitsvorfälle hinzuweisen und zu sensibilisieren.
  • Ansprechpartner und Meldewege: Alle Ansprechpartner für Informationssicherheit und deren Kontaktdaten sind im Intranet veröffentlicht, ebenso die Meldewege für Sicherheitsvorfälle.
  • Informationen über aktuelle Sicherheitswarnungen: Akute Sicherheitswarnungen werden in einem Newsticker in Intranet auf der Startseite veröffentlicht.

Meldewege

Beschreibung der Meldewege für Sicherheitsvorfälle, z.B.:

  • Ansprechpartner (ISB, DSB) und Kontaktdaten
  • Zentrale Funktionspostfächer
  • ServiceDesk, UserHelpDesk oder Ticketsystem
  • ...

Schlussbemerkung

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung