Marc Borgers
25. Nov. 20191 Min.
Die ISO 27001 fordert im Annex unter A.7.2.3 einen Maßregelungsprozess und viele Unternehmen tun sich damit schwer diesen zu formalisieren und zu dokumentieren. Häufig wird dieser Prozess mit dem Begriff Abmahnung gleichgesetzt und man befürchtet negative Auswirkungen auf den Betriebsfrieden, wenn man sich diesem Thema widmet.
Es gibt mehr als nur die Instrumente Abmahnung und Kündigung.
Anstatt den Betriebsfrieden zu gefährden, hat mir die Erfahrung als Informationssicherheitsbeauftragter (ISB) gezeigt, wie wichtig die Transparenz an dieser Stelle für die erfolgreiche Einführung und den Betrieb eines Informationssicherheitsmanagementsystems (ISMS) ist. Den Mitarbeitern ist bewusst, dass Verstöße gegen Vorgaben Konsequenzen nach sich ziehen können. Aversionen treten jedoch oft erst auf, wenn es unkalkulierbare Konsequenzen sind. Aus diesem Grund sollten diese im Vorwege definiert und kommuniziert werden:
Natürlich ist es nicht das Ziel des Maßregelungsprozesses die Mitarbeiter zum Schweigen zu bringen. Konstruktive Kritik aus der Belegschaft kann und sollte zur Verbesserung genutzt werden. Maßnahmen müssen immer angemessen sein und die Unternehmensziele sowie Informationssicherheitsziele adäquat unterstützen und schützen. Falls die in den informellen Gesprächen gewonnen Erkenntnisse nahelegen, dass dies nicht der Fall ist, bietet sich eine zeitnahe Korrektur über den kontinuierlichen Verbesserungsprozess an.