Bundesamt für Sicherheit in der Informationstechnik

M 3.51 Geeignetes Konzept für Personaleinsatz und -qualifizierung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Personal

Verantwortlich für Umsetzung: Personalabteilung, Vorgesetzte

Für jeden Mitarbeiter sollten die am Arbeitsplatz wahrzunehmenden Aufgaben dokumentiert sein: "Jeder sollte wissen, was er zu tun hat". Die Aufgaben sind so zu definieren, dass keine Überschneidungen entstehen, damit es keine Probleme mit Zuständigkeiten gibt. Die Mitarbeiter müssen alle für ihr Aufgabengebiet relevanten Ansprechpartner kennen. Dazu gehören insbesondere alle, die ähnliche Aufgaben erledigen oder die sie bei Bedarf unterstützen. Beispielsweise sollten Mitarbeiter wissen, wer für den IT-Support zuständig ist, damit einerseits Probleme unmittelbar nach dem Auftreten abgestellt werden können und andererseits kein Mitarbeiter auf falsche Support-Mitarbeiter hereinfällt (siehe G 5.42 Social Engineering ). Zusätzlich müssen geeignete Vertreter benannt sind.

Die Rollen, die ein Mitarbeiter wahrnehmen soll, müssen klar definiert sein. Darauf aufbauend sind alle erforderlichen Berechtigungen zu vergeben (siehe M 3.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter und M 3.2 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen ).

Alle Mitarbeiter sind für die Erfüllung ihrer Aufgaben ausreichend zu schulen sowie für mögliche Gefährdungen und richtiges Verhalten zu sensibilisieren. Dies schließt insbesondere den sorgfältigen Umgang mit Informationen und IT-Systemen entsprechend ihrem Schutzbedarf sowie die Kenntnis der relevanten Sicherheitsrichtlinien ein. Hierfür ist ein angemessenes Sensibilisierungs- und Schulungskonzept zu erstellen (siehe Baustein B 1.13 Sensibilisierung und Schulung zur Informationssicherheit ).

Prüffragen:

  • Sind die Aufgabengebiete der Mitarbeiter schriftlich fixiert?

  • Ist die Vertreterregelung erfasst?

  • Sind den Mitarbeitern die Zuständigkeitsbereiche der Kollegen innerhalb der Institution bekannt?

  • Besteht ein Sensibilisierungs- und Schulungskonzept für die Mitarbeiter?

Stand: 14. EL Stand 2014