Häufig wird bezüglich des Punktes A.7.1.1 aus dem Annex der ISO 27001 die Frage gestellt, wie man diese Anforderung adäquat umsetzen kann. Natürlich gibt es viele Möglichkeiten der „Sicherheitsüberprüfung“ und die beste ist die, die Ihren Anforderungen und Risiken gerecht wird.
Doch welche Anforderungen gibt es?
Dies hängt immer vom Umfeld in dem Sie tätig sind ab. Aus diesem Grund empfiehlt es sich einen gründlichen Blick in die Dienstleister- und Kundenverträge, Ihre Stakeholderanalyse und das Rechtskataster zu werfen. So kann zum Beispiel ein Unternehmen aus den Kritischen Infrastrukturen (KRITIS) höheren Anforderungen unterliegen, als ein mittelständischer Automobilzulieferer. Falls Sie noch keinen Einstieg in das Thema gefunden haben sollten, bietet sich zusätzlich zum besagten Blick auch der folgende praxisbewährte Ansatz zur ersten Orientierung an, den Sie selbstverständlich bedarfsgerecht ergänzen können:
Arbeitsverhältnis | Standardprüfung | Führungszeugnis | Detaillierte Überprüfung des Lebenslaufs und der Referenzen | Echtheitsprüfung der Zeugnisse, Zertifikate und akademischen Abschlüsse |
Mitarbeiter | X | | | |
Teamleiter | X | X | | |
Abteilungsleiter | X | X | X | |
Bereichsleiter, Administrator, Security Officer, Datenschutzbeauftragter, Assistent des Vorstandes | X | alle 5 Jahre | X | X |