(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Beschäftigungs- und Vertragsbedingungen bilden die rechtliche Grundlage für das Verhalten von Mitarbeitenden und externen Personen im Umgang mit Informationen und Informationsverarbeitungssystemen. Unklare oder fehlende Regelungen können zu Missverständnissen, Regelverstößen oder Sicherheitsvorfällen führen. Dieses Control stellt sicher, dass Informationssicherheitsanforderungen verbindlich in Beschäftigungs- und Vertragsbedingungen verankert sind.

Zweck des Controls

A 6.2 soll gewährleisten, dass Mitarbeitende und externe Parteien ihre Pflichten und Verantwortlichkeiten im Bereich der Informationssicherheit kennen und anerkennen. Ziel ist es, Informationssicherheitsanforderungen rechtlich verbindlich festzulegen, die Einhaltung zu fördern und die Organisation vor Risiken durch Pflichtverletzungen zu schützen.

Anforderungen und Maßnahmen

1. Festlegung von Informationssicherheitsanforderungen in Verträgen

Beschäftigungs- und Vertragsbedingungen müssen Informationssicherheitsanforderungen enthalten, insbesondere:

• Verpflichtung zur Einhaltung von Informationssicherheitsrichtlinien
• Regelungen zu Vertraulichkeit und Geheimhaltung
• Vorgaben zum Umgang mit Informationen und Systemen
• Verpflichtung zur Meldung von Sicherheitsvorfällen

Die Anforderungen müssen klar und verständlich formuliert sein.

2. Berücksichtigung rechtlicher und arbeitsrechtlicher Vorgaben

Vertragliche Regelungen müssen im Einklang mit geltendem Recht stehen:

• Beachtung arbeitsrechtlicher Vorschriften
• Einhaltung datenschutzrechtlicher Anforderungen
• Berücksichtigung tariflicher oder kollektivrechtlicher Regelungen
• Transparenz gegenüber den Vertragspartnern

Rechtssicherheit ist Voraussetzung für Durchsetzbarkeit.

3. Einbindung externer Personen und Dienstleister

Auch externe Parteien müssen vertraglich eingebunden werden:

• Regelungen für Leiharbeitende, Berater und Dienstleister
• Einbindung von Geheimhaltungs- und Sicherheitsklauseln
• Verpflichtung zur Einhaltung relevanter Richtlinien
• Regelungen zu Zugriffen und Nutzung von Systemen

So wird ein einheitliches Sicherheitsniveau erreicht.

4. Regelungen zu Rechten und Pflichten

Die Beschäftigungs- und Vertragsbedingungen müssen Rechte und Pflichten klar regeln:

• Verantwortlichkeiten im Umgang mit Informationen
• Befugnisse und Einschränkungen bei der Systemnutzung
• Umgang mit Sicherheitsverstößen
• mögliche Sanktionen bei Pflichtverletzungen

Klare Regelungen unterstützen die Einhaltung.

5. Umgang mit geistigem Eigentum und Informationen

Verträge müssen den Umgang mit geistigem Eigentum regeln:

• Schutz von Geschäftsgeheimnissen
• Regelungen zu Arbeitsergebnissen und Entwicklungen
• Nutzung und Weitergabe von Informationen
• Verpflichtungen nach Beendigung des Vertrags

Dies schützt immaterielle Werte der Organisation.

6. Kommunikation und Anerkennung der Bedingungen

Die Bedingungen müssen den betroffenen Personen bekannt sein:

• Übergabe und Erläuterung der Vertragsinhalte
• Bestätigung der Kenntnisnahme
• Integration in Onboarding-Prozesse
• Bereitstellung aktueller Versionen

So wird sichergestellt, dass Pflichten verstanden werden.

7. Überprüfung und Aktualisierung der Bedingungen

Beschäftigungs- und Vertragsbedingungen müssen regelmäßig überprüft werden:

• Anpassung an geänderte Anforderungen
• Berücksichtigung neuer rechtlicher Vorgaben
• Aktualisierung bei Änderungen von Rollen oder Tätigkeiten
• Dokumentation der Änderungen

Veraltete Regelungen stellen ein Risiko dar.

8. Dokumentation und Nachweisführung

Die Organisation muss sicherstellen, dass Vertragsbedingungen dokumentiert sind:

• Archivierung von Verträgen und Vereinbarungen
• Nachweise über Anerkennung durch Mitarbeitende
• Dokumentation von Änderungen oder Ergänzungen
• Schutz vertraulicher Vertragsinhalte

Diese Dokumentation ist essenziell für Nachvollziehbarkeit und Compliance.

Zusammenfassung

A 6.2 fordert, dass Informationssicherheitsanforderungen verbindlich in Beschäftigungs- und Vertragsbedingungen verankert sind. Durch klare Regelungen zu Pflichten, Vertraulichkeit, Systemnutzung und Sanktionen, Einbindung externer Parteien sowie regelmäßige Überprüfung wird sichergestellt, dass Informationssicherheit rechtlich abgesichert und im Arbeitsalltag verbindlich umgesetzt wird. Das Control ist ein zentraler Bestandteil einer wirksamen Governance und Prävention im Informationssicherheitsmanagementsystem.