05 – Awareness

Die Sensibilisierung von Mitarbeitenden trägt einen bedeutenden Teil zu einem wirksamen ISMS bei. Was ist aus Sicht der ISO 27001 Norm dabei zu beachten?
Startseite » ISO 27001 Wissen » 05 – Awareness
TL;DR

Planung

Erfolgreiche Phishing-Angriffe sorgen weltweit für Milliardenschäden. Die Sensibilisierung und das Schaffen von Awareness bei Mitarbeitenden kann hier den notwendigen Unterschied machen, um die technischen Verteidigungsmechanismen entscheidend zu ergänzen.

Entsprechend wird diese selbstverständlich auch durch die ISO 27001 gefordert. Die Norm lässt dabei jedoch viele Freiheiten zur Ausgestaltung. Als Mindestmaß hat sich etabliert, dass die Mitarbeitenden mindestens einmal im Jahr eine Schulung oder z. B. ein Onlinetraining zur Informationssicherheit durchlaufen sollten und auch neue Mitarbeitende beim Eintritt eine entsprechende Schulung bekommen.

Neben den klassischen Awareness-Schulungen, können auch zielgruppenbasierte Trainings zum Beispiel für IT-Administratoren oder Entwickler sinnvoll sein, wenn ich z.B. in einem technologisch geprägten Unternehmen arbeite.

In einem Schulungsprogramm sollten alle diese Schulungen und Trainings geplant und erfasst werden, um Ressourcen und Aufwände abschätzen zu können.

Durchführung

Zahlreiche Materialien zu Best Practices und Tipps zur Informationssicherheit finden sich mit Netz, auch öffentlich zugängliche, z. B. vom BSI. Es empfiehlt sich darüber hinaus unbedingt, die Schulungen auch dafür zu nutzen, um den Mitarbeitenden Dokumente wie die Leitlinie und wichtige Inhalte der relevanten Richtlinien vorzustellen. Nutze die Schulungen außerdem dazu, um Prozesse, die für alle Mitarbeitenden wichtig sind, bekannt zu machen. Beispielsweise für die Bekanntmachung von Meldewegen bezüglich Informationssicherheitsvorfällen.

Awareness Videoreihe (Englisch)

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Beispiel für ein Awareness-Poster (Meldewege)

TL;DR

  1. Gute Mitarbeitersensibilisierung ist entscheidend um die Sicherheit der technischen Verteidigungsmechanismen zu ergänzen.
  2. Um Ressourcen und Aufwände für Awarenessmaßnahmen planen zu können, sollte ein Schulungsprogramm erstellt werden, aus dem ersichtlich wird welche Schulungsmaßnahmen für die nächsten 2-3 Jahre vorgesehen sind.
  3. Inhalte der Leitlinie und relevanter Richtlinien sollten im Rahmen der Mitarbeitertrainings regelmäßig aufgefrischt werden.
  4. Der Einsatz von webbasierten Sicherheitstrainings kann gerade in Zeiten von Homeoffice eine sinnvolle Alternative sein. Überzeuge dich aber vorab von der Qualität und der Darstellung der Lerninhalte.
weiter zu Lektion 6