Bedrohungsbewertung, Risk management, BeraterGPT, ConsultantGPT, information security, VDA ISA (TISAX), threat assessment, Risikomanagement, Informationssicherheit

Threat assessment, risk management, consultant GPT, consultant GPT, information security, VDA ISA (TISAX), threat assessment, risk management, information security

Risikomanagement, BeraterGPT, ConsultantGPT, Informationssicherheit, VDA ISA (TISAX), Bedrohungsbewertung, Risikomanagement, Informationssicherheit, Bedrohungsbewertung

Risk management, BeraterGPT, ConsultantGPT, information security, VDA ISA (TISAX), threat assessment, Risikomanagement, Informationssicherheit, Bedrohungsbewertung

BeraterGPT, VDA ISA (TISAX), Risikobewertung, BeraterGPT, Risikomanagement, Informationssicherheit, Bedrohungsbewertung, Informationssicherheit, Bedrohungsmanagement

ConsultantGPT, VDA ISA (TISAX), risk assessment, BeraterGPT, Risikomanagement, information security, Bedrohungsbewertung, Informationssicherheit, threat management

JEDERZEIT VERFÜGBAR UND KOSTENLOS, DER ONLINE ISMS BERATERGPT FÜR SCHNELLE FORTSCHRITTE:

Suche

Marc Borgers

25. Nov. 2019

Ein freundlicher und transparenter Maßregelungsprozess

Informationssicherheitsmanagementsystem, ISMS, ISO 27001, PDCA, Konsequenzen, ISO 27002, Annex, A.7.2.3, Maßregelungsprozess, Disziplinarprozess, Informationssicherheitsbeauftragter, ISB, Abmahnung, Kündigung, Einführung, Betrieb, Unternehmensziele, Informationssicherheitsziele, Verbesserungsprozess

Die ISO 27001 fordert im Annex unter A.7.2.3 einen Maßregelungsprozess und viele Unternehmen tun sich damit schwer diesen zu formalisieren und zu dokumentieren. Häufig wird dieser Prozess mit dem Begriff Abmahnung gleichgesetzt und man befürchtet negative Auswirkungen auf den Betriebsfrieden, wenn man sich diesem Thema widmet.

Es gibt mehr als nur die Instrumente Abmahnung und Kündigung.

Anstatt den Betriebsfrieden zu gefährden, hat mir die Erfahrung als Informationssicherheitsbeauftragter (ISB) gezeigt, wie wichtig die Transparenz an dieser Stelle für die erfolgreiche Einführung und den Betrieb eines Informationssicherheitsmanagementsystems (ISMS) ist. Den Mitarbeitern ist bewusst, dass Verstöße gegen Vorgaben Konsequenzen nach sich ziehen können. Aversionen treten jedoch oft erst auf, wenn es unkalkulierbare Konsequenzen sind. Aus diesem Grund sollten diese im Vorwege definiert und als Beispiele kommuniziert werden:

Beispiel	Maßnahme	Ebene
Ein Mitarbeiter äußert Unverständnis bezüglich der Maßnahme zur Informationssicherheit.	Informelles Gespräch	ISB
Auch nach dem informellen Gespräch stellt der Mitarbeiter weiterhin die Maßnahme in Frage.	Formelles Gespräch	ISB
Die Maßnahme wird vom Mitarbeiter ignoriert und er zeigt keine Einsicht.	Klärendes Gespräch mit Protokoll	ISB
Der Mitarbeiter erzählt Kollegen, wie man die Maßnahme umgehen kann.	Formelles Gespräch	ISB & zuständiger Vorgesetzter
Der Mitarbeiter droht damit, wichtige Maßnahmen zu umgehen.	Klärendes Gespräch mit Protokoll	ISB & zuständiger Vorgesetzter
Der Mitarbeiter motiviert Kollegen dazu Möglichkeiten zu suchen, um Maßnahmen zu umgehen.	Klärendes Gespräch mit Protokoll	ISB & zuständiger Bereichsleiter
Der Mitarbeiter provoziert einen geringfügigen Vorfall.	Klärendes Gespräch mit Protokoll und Abmahnung	ISB & Geschäftsführung
Der Mitarbeiter begeht Informationsdiebstahl oder Sabotage, führt einen Angriff durch, veröffentlicht geheime Informationen, etc.	Kündigung	Geschäftsführung

Natürlich ist es nicht das Ziel des Maßregelungsprozesses die Mitarbeiter zum Schweigen zu bringen. Konstruktive Kritik aus der Belegschaft kann und sollte zur Verbesserung genutzt werden. Maßnahmen müssen immer angemessen sein und die Unternehmensziele sowie Informationssicherheitsziele adäquat unterstützen und schützen. Falls die in den informellen Gesprächen gewonnen Erkenntnisse nahelegen, dass dies nicht der Fall ist, bietet sich eine zeitnahe Korrektur über den kontinuierlichen Verbesserungsprozess an.

Sie haben Fragen?

Manchmal ist ein direktes Gespräch einfach unschlagbar. Zögern Sie bitte nicht über unseren Telefonkalender ein kostenloses Erstgespräch zu vereinbaren!