Bundesamt für Sicherheit in der Informationstechnik

M 3.96 Unterstützung des Managements für Sensibilisierung und Schulung

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Um Informationssicherheit erfolgreich in einer Institution zu etablieren, sind sensibilisierte und geschulte Mitarbeiter unabdingbar. Ein auf den Bedarf der Institution zugeschnittenes und angemessen ausgestattetes Sensibilisierungs- und Schulungsprogramm ist daher ein wesentlicher Erfolgsfaktor, um die Leitlinien und Maßnahmen zur Informationssicherheit nachhaltig in der Institution zu etablieren und ihre Wirksamkeit zu gewährleisten. Um es umzusetzen, muss das Management selbst sensibilisiert sein (siehe M 3.44 Sensibilisierung des Managements für Informationssicherheit ) und das Programm im gesamten Lebenszyklus durch geeignete Maßnahmen aktiv unterstützen:

Initiierung

Bevor ein Sensibilisierungs- und Schulungsprogramm zur Informationssicherheit erarbeitet wird, ist ein expliziter Auftrag des Managements sinnvoll. Dieser ist innerhalb der Institution zu kommunizieren. Dadurch werden die Verantwortlichen für ihre Aufgabe legitimiert und sichtbar unterstützt. Zusätzlich nehmen so die Mitarbeiter das Thema und seine Bedeutung wahr.

Planung

Das Ergebnis der Planung eines Sensibilisierungs- und Schulungsprogramms zur Informationssicherheit sollte dem Management vorgelegt und von diesem verabschiedet werden. Durch einen konkreten Auftrag zur Umsetzung des Programms kann das Management seine weitere Unterstützung signalisieren und die erforderlichen Ressourcen bereitstellen.

Umsetzung und Etablierung

Während die konzipierten Programme in der Institution eingeführt und etabliert werden, muss sich das Management sichtbar engagieren, da hierdurch die gewünschte positive Aufnahme durch die Mitarbeiter stark beeinflusst wird. Führungskräfte sollten sich aktiv an Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit beteiligen, z. B. durch

  • eigene Beiträge in Medien der Institution,
  • Moderation von speziellen Veranstaltungen,
  • vorbildliche Verhaltensweisen,
  • Bereitstellung ausreichender Ressourcen für ihre Mitarbeiter.

So unterstreichen sie, wie wichtig die Maßnahmen für ihren eigenen Bereich sind. Zudem wird das Thema für die Mitarbeiter nachvollziehbar und glaubwürdig. Sie erkennen und akzeptieren, dass eine angemessene Informationssicherheit mehr und mehr zum notwendigen und selbstverständlichen Teil ihres Arbeitsalltages wird.

Erfolgskontrolle und Aktualisierung

Es sollte regelmäßig überprüft werden, ob die etablierten Sensibilisierungs- und Schulungsmaßnahmen noch wirksam sind. Je nach Ergebnis sind die Maßnahmen entsprechend anzupassen. Das muss auch geschehen, wenn sich die Rahmenbedingungen in der Institution verändert haben (siehe dazu auch M 3.83 Analyse sicherheitsrelevanter personeller Faktoren , M 3.94 Messung und Auswertung des Lernerfolgs und M 3.95 Lernstoffsicherung ).

Hierzu kann das Management wertvolle Beiträge leisten, z. B. :

  • Es kann die oft schwierigen Abstimmungen eines Verfahrens zur Messung und Auswertung des Lernerfolgs zwischen verschiedenen Interessengruppen moderieren.
  • Es kann dafür sorgen, dass über Informationssicherheit offen und vertrauensvoll kommuniziert wird. So akzeptieren die Mitarbeiter diese mehr und sie sind eher bereit, bestehende Schwachstellen zu beheben.
  • Wenn Sensibilisierungs- oder Schulungsmaßnahmen angepasst oder neu ausgerichtet werden müssen, sollte das Management zeitnah reagieren und zum Beispiel die erforderlichen Ressourcen bewilligen.

Prüffragen:

  • Unterstützt die Leitungsebene die Durchführung von Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit in ausreichendem Maße?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK