25. November 2019

Ein freundlicher und transparenter Maßregelungsprozess

Die ISO 27001 fordert im Annex unter A.7.2.3 einen Maßregelungsprozess und viele Unternehmen tun sich damit schwer diesen zu formalisieren und zu dokumentieren. Häufig wird dieser Prozess mit dem Begriff Abmahnung gleichgesetzt und man befürchtet negative Auswirkungen auf den Betriebsfrieden, wenn man sich diesem Thema widmet.

 

Es gibt mehr als nur die Instrumente Abmahnung und Kündigung. 

 

Anstatt den Betriebsfrieden zu gefährden, hat mir die Erfahrung als Informationssicherheitsbeauftragter (ISB) gezeigt, wie wichtig die Transparenz an dieser Stelle für die erfolgreiche Einführung und den Betrieb eines Informationssicherheitsmanagementsystems (ISMS) ist. Den Mitarbeitern ist bewusst, dass Verstöße gegen Vorgaben Konsequenzen nach sich ziehen können. Aversionen treten jedoch oft erst auf, wenn es unkalkulierbare Konsequenzen sind. Aus diesem Grund sollten diese im Vorwege definiert und kommuniziert werden:

 

 Beispiel  Maßnahme Ebene
Ein Mitarbeiter äußert Unverständnis bezüglich der Maßnahme zur Informationssicherheit. Informelles Gespräch ISB 

Auch nach dem informellen Gespräch stellt der Mitarbeiter weiterhin die Maßnahme in Frage.

Formelles Gespräch ISB

Die Maßnahme wird vom Mitarbeiter ignoriert und er zeigt keine Einsicht.

Klärendes Gespräch mit Protokoll ISB 

Der Mitarbeiter erzählt Kollegen, wie man die Maßnahme umgehen kann.

Formelles Gespräch ISB & zuständiger Vorgesetzter

Der Mitarbeiter droht damit, wichtige Maßnahmen zu umgehen.

Klärendes Gespräch mit Protokoll ISB & zuständiger Vorgesetzter

Der Mitarbeiter motiviert Kollegen dazu Möglichkeiten zu suchen, um Maßnahmen zu umgehen.

Klärendes Gespräch mit Protokoll ISB & zuständiger Bereichsleiter

Der Mitarbeiter provoziert einen geringfügigen Vorfall.

Klärendes Gespräch mit Protokoll und Abmahnung ISB & Geschäftsführung

Der Mitarbeiter begeht Informationsdiebstahl oder Sabotage, führt einen Angriff durch, veröffentlicht geheime Informationen, etc.

Kündigung Geschäftsführung

Natürlich ist es nicht das Ziel des Maßregelungsprozesses die Mitarbeiter zum Schweigen zu bringen. Konstruktive Kritik aus der Belegschaft kann und sollte zur Verbesserung genutzt werden. Maßnahmen müssen immer angemessen sein und die Unternehmensziele sowie Informationssicherheitsziele adäquat unterstützen und schützen. Falls die in den informellen Gesprächen gewonnen Erkenntnisse nahelegen, dass dies nicht der Fall ist, bietet sich eine zeitnahe Korrektur über den kontinuierlichen Verbesserungsprozess an.

Tags: Informationssicherheitsmanagementsystem, ISMS, ISO 27001, PDCA, Konsequenzen, ISO 27002, Annex, A.7.2.3, Maßregelungsprozess, Disziplinarprozess, Informationssicherheitsbeauftragter, ISB, Abmahnung, Kündigung, Einführung, Betrieb, Unternehmensziele, Informationssicherheitsziele, Verbesserungsprozess
Beratung: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
Audit: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
Audit: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
KRITIS-Prüfung: B3S KRITIS, Ernährung, Ernährungsindustrie, Ernährungswirtschaft, Anlagen zur Steuerung und Bündelung (Aggregatoren), Gesundheitsversorgung im Krankenhaus, Pharma, Datacenter & Hosting

TISAX® ist eine eingetragene Marke der ENX Association. Ich stehe in keiner geschäftlichen Beziehung zur ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.