• Marc Borgers

Ein freundlicher und transparenter Maßregelungsprozess


Informationssicherheitsmanagementsystem, ISMS, ISO 27001, PDCA, Konsequenzen, ISO 27002, Annex, A.7.2.3, Maßregelungsprozess, Disziplinarprozess, Informationssicherheitsbeauftragter, ISB, Abmahnung, Kündigung, Einführung, Betrieb, Unternehmensziele, Informationssicherheitsziele, Verbesserungsprozess

Die ISO 27001 fordert im Annex unter A.7.2.3 einen Maßregelungsprozess und viele Unternehmen tun sich damit schwer diesen zu formalisieren und zu dokumentieren. Häufig wird dieser Prozess mit dem Begriff Abmahnung gleichgesetzt und man befürchtet negative Auswirkungen auf den Betriebsfrieden, wenn man sich diesem Thema widmet.

Es gibt mehr als nur die Instrumente Abmahnung und Kündigung.

Anstatt den Betriebsfrieden zu gefährden, hat mir die Erfahrung als Informationssicherheitsbeauftragter (ISB) gezeigt, wie wichtig die Transparenz an dieser Stelle für die erfolgreiche Einführung und den Betrieb eines Informationssicherheitsmanagementsystems (ISMS) ist. Den Mitarbeitern ist bewusst, dass Verstöße gegen Vorgaben Konsequenzen nach sich ziehen können. Aversionen treten jedoch oft erst auf, wenn es unkalkulierbare Konsequenzen sind. Aus diesem Grund sollten diese im Vorwege definiert und kommuniziert werden:

Beispiel

Maßnahme

Ebene

Ein Mitarbeiter äußert Unverständnis bezüglich der Maßnahme zur Informationssicherheit.

Informelles Gespräch

ISB

Auch nach dem informellen Gespräch stellt der Mitarbeiter weiterhin die Maßnahme in Frage.

Formelles Gespräch

ISB

Die Maßnahme wird vom Mitarbeiter ignoriert und er zeigt keine Einsicht.

Klärendes Gespräch mit Protokoll

ISB

Der Mitarbeiter erzählt Kollegen, wie man die Maßnahme umgehen kann.

​​Formelles Gespräch

ISB & zuständiger Vorgesetzter

Der Mitarbeiter droht damit, wichtige Maßnahmen zu umgehen.

Klärendes Gespräch mit Protokoll

ISB & zuständiger Vorgesetzter

Der Mitarbeiter motiviert Kollegen dazu Möglichkeiten zu suchen, um Maßnahmen zu umgehen.

Klärendes Gespräch mit Protokoll

ISB & zuständiger Bereichsleiter

Der Mitarbeiter provoziert einen geringfügigen Vorfall.

​Klärendes Gespräch mit Protokoll und Abmahnung

​ISB & Geschäftsführung

Der Mitarbeiter begeht Informationsdiebstahl oder Sabotage, führt einen Angriff durch, veröffentlicht geheime Informationen, etc.

Kündigung

Geschäftsführung

Natürlich ist es nicht das Ziel des Maßregelungsprozesses die Mitarbeiter zum Schweigen zu bringen. Konstruktive Kritik aus der Belegschaft kann und sollte zur Verbesserung genutzt werden. Maßnahmen müssen immer angemessen sein und die Unternehmensziele sowie Informationssicherheitsziele adäquat unterstützen und schützen. Falls die in den informellen Gesprächen gewonnen Erkenntnisse nahelegen, dass dies nicht der Fall ist, bietet sich eine zeitnahe Korrektur über den kontinuierlichen Verbesserungsprozess an.

164 Ansichten

Dienstleistungen

Flexibilität

Um Ihnen ein Maximum an Flexibilität bei der Terminauswahl und Durchführung der Termine bieten zu können, wurden sämtliche Kalender online gestellt. So können Sie selbst aus den verfügbaren Tagen wählen und bei Bedarf Ihre Reservierungen auch ohne Rücksprache verschieben.

Transparenz

Wir bieten Ihnen eine Kostentransparenz von Anfang an:
 

Tagessatz (8-Std.-Arbeitstag)
ab 1.500,00 € netto