Bundesamt für Sicherheit in der Informationstechnik

M 2.226 Regelungen für den Einsatz von Fremdpersonal

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Leiter Personal, Leiter IT

Häufig wird in Behörden oder Unternehmen auf externe Unterstützung zurückgegriffen, falls die entsprechenden personellen Ressourcen nicht im eigenen Haus vorhanden sind. Dies kann im Extremfall dazu führen, dass Fremdpersonal über so lange Zeiträume im eigenen Haus eingesetzt wird, dass viele Mitarbeiter schon nicht mehr genau wissen, ob es sich um eigene oder externe Mitarbeiter handelt.

Externe Mitarbeiter, die über einen längeren Zeitraum in einer oder für eine Organisation tätig sind und eventuell Zugang zu vertraulichen Unterlagen und Daten bekommen könnten, sind schriftlich auf die Einhaltung der geltenden einschlägigen Gesetze, Vorschriften und internen Regelungen zu verpflichten (siehe auch M 3.2 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen ).

Beim Einsatz von externen Mitarbeiter muss außerdem auf jeden Fall sichergestellt sein, dass sie bei Beginn ihrer Tätigkeit - ähnlich wie eigene Mitarbeiter - in ihre Aufgaben eingewiesen werden (siehe M 3.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter ). Sie sind - so weit es zur Erfüllung ihrer Aufgaben und Verpflichtungen erforderlich ist - über hausinterne Regelungen und Vorschriften zur IT-Sicherheit sowie die organisationsweite IT-Sicherheitspolitik zu unterrichten. Dies gilt in besonderem Maß, wenn sie innerhalb der Liegenschaften des Auftraggebers arbeiten.

Daneben sollte sichergestellt sein, dass auch für externe Mitarbeiter Vertretungsregelungen existieren (siehe M 3.3 Vertretungsregelungen ). Ebenso sollte gewährleistet sein, dass sich diese mit den von ihnen eingesetzten IT-Anwendungen auskennen und auch die erforderlichen Sicherheitsmaßnahmen beherrschen.

Bei Beendigung des Auftragsverhältnisses muss eine geregelte Übergabe der Arbeitsergebnisse und der erhaltenen Unterlagen und Betriebsmittel erfolgen. Es sind außerdem sämtliche eingerichteten Zugangsberechtigungen und Zugriffsrechte zu entziehen bzw. zu löschen. Außerdem sollte der Ausscheidende explizit darauf hingewiesen werden, dass die Verschwiegenheitsverpflichtung auch nach Beendigung der Tätigkeit bestehen bleibt (siehe auch M 3.6 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern ).

Kurzfristig oder einmalig zum Einsatz kommendes Fremdpersonal ist wie Besucher zu behandeln, d. h. beispielsweise dass der Aufenthalt in sicherheitsrelevanten Bereichen nur in Begleitung von Mitarbeitern der Behörde bzw. des Unternehmens erlaubt ist (siehe auch M 2.16 Beaufsichtigung oder Begleitung von Fremdpersonen ).

Prüffragen:

  • Werden externe Mitarbeiter mit längerfristigen Aufgaben schriftlich auf die Einhaltung der einschlägigen Gesetze, Vorschriften und interne Regelungen verpflichtet?

  • Werden externe Mitarbeiter geregelt in ihre Aufgaben eingewiesen und über bestehende Regelungen zur Informationssicherheit unterrichtet?

  • Existieren für externe Mitarbeiter Vertretungsregelungen?

  • Existiert ein geregeltes Verfahren für die Beendigung des Auftragsverhältnisses mit externen Mitarbeitern?

  • Wird kurzfristig oder einmalig zum Einsatz kommendes Fremdpersonal wie Besucher behandelt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK