Informationssicherheit kann nur dann wirksam umgesetzt werden, wenn alle Personen, die für oder im Auftrag der Organisation tätig sind, sich ihrer Verantwortung bewusst sind. Fehlendes Bewusstsein für Informationssicherheitsanforderungen gehört zu den häufigsten Ursachen für Sicherheitsvorfälle. Diese Klausel stellt sicher, dass ein angemessenes Bewusstsein für Informationssicherheit organisationsweit geschaffen und aufrechterhalten wird.
Zweck der Klausel
Klausel 7.3 soll gewährleisten, dass alle relevanten Personen die Bedeutung der Informationssicherheit verstehen und sich ihrer Rolle im ISMS bewusst sind. Ziel ist es, sicherheitsgerechtes Verhalten zu fördern und Risiken durch menschliche Fehlhandlungen zu reduzieren.
Anforderungen und Maßnahmen
1. Bewusstsein für die Informationssicherheitspolitik
Alle Personen müssen sich der Informationssicherheitspolitik bewusst sein, insbesondere:
Zweck und Zielsetzung der Policy
grundlegende Sicherheitsprinzipien
Bedeutung der Policy für den Arbeitsalltag
persönliche Verantwortung
Die Policy muss verständlich kommuniziert werden.
2. Bewusstsein für die eigene Rolle im ISMS
Personen müssen ihre Rolle im ISMS kennen:
individuelle Aufgaben und Verantwortlichkeiten
Auswirkungen des eigenen Handelns auf die Informationssicherheit
Einhaltung von Richtlinien und Verfahren
Meldepflichten bei Sicherheitsereignissen
So wird persönliches Verantwortungsbewusstsein gestärkt.
3. Bewusstsein für Risiken und Bedrohungen
Die Organisation muss das Bewusstsein für Risiken fördern:
typische Bedrohungen wie Phishing oder Social Engineering
Risiken durch unsachgemäßen Umgang mit Informationen
Auswirkungen von Sicherheitsverstößen
aktuelle Bedrohungslagen
Dies erhöht die Aufmerksamkeit im Alltag.
4. Bewusstsein für Konsequenzen bei Verstößen
Personen müssen die Konsequenzen kennen:
Auswirkungen auf die Organisation
mögliche rechtliche oder vertragliche Folgen
interne Maßnahmen bei Verstößen
Reputations- und Vertrauensverluste
Transparenz wirkt präventiv.
5. Durchführung von Awareness-Maßnahmen
Zur Förderung des Bewusstseins müssen Maßnahmen durchgeführt werden:
regelmäßige Awareness-Kampagnen
Schulungen und Unterweisungen
Informationsmaterialien
praxisnahe Beispiele und Szenarien
Die Maßnahmen müssen zielgruppengerecht sein.
6. Einbindung externer Personen
Auch externe Personen müssen berücksichtigt werden:
Dienstleister und Partner
Zeitarbeitskräfte
externe Berater
Das Bewusstsein muss dem jeweiligen Zugriff und Risiko entsprechen.
7. Überprüfung der Wirksamkeit
Die Organisation muss prüfen, ob Awareness-Maßnahmen wirksam sind:
Feedback und Befragungen
Tests oder Simulationen
Auswertung von Vorfällen
Ergebnisse interner Audits
So können Maßnahmen verbessert werden.
8. Dokumentation und kontinuierliche Verbesserung
Awareness-Aktivitäten müssen dokumentiert und weiterentwickelt werden:
Schulungs- und Teilnahmenachweise
Inhalte und Zeitpunkte der Maßnahmen
Bewertung der Wirksamkeit
Anpassung bei neuen Risiken
Die Dokumentation ist auditrelevant.
Zusammenfassung
Klausel 7.3 fordert, dass Organisationen ein angemessenes Bewusstsein für Informationssicherheit schaffen und aufrechterhalten. Durch gezielte Awareness-Maßnahmen, klare Kommunikation von Rollen und Verantwortlichkeiten sowie die regelmäßige Überprüfung der Wirksamkeit wird sichergestellt, dass Informationssicherheit im täglichen Handeln verankert ist. Diese Klausel ist ein zentraler Baustein zur Reduzierung menschlicher Risiken im ISMS nach ISO/IEC 27001:2022.
Leave a comment