Die ISO 27001 fordert im Annex unter A.7.2.3 einen Maßregelungsprozess und viele Unternehmen tun sich damit schwer diesen zu formalisieren und zu dokumentieren. Häufig wird dieser Prozess mit dem Begriff Abmahnung gleichgesetzt und man befürchtet negative Auswirkungen auf den Betriebsfrieden, wenn man sich diesem Thema widmet.
Es gibt mehr als nur die Instrumente Abmahnung und Kündigung.
Anstatt den Betriebsfrieden zu gefährden, hat mir die Erfahrung als Informationssicherheitsbeauftragter (ISB) gezeigt, wie wichtig die Transparenz an dieser Stelle für die erfolgreiche Einführung und den Betrieb eines Informationssicherheitsmanagementsystems (ISMS) ist. Den Mitarbeitern ist bewusst, dass Verstöße gegen Vorgaben Konsequenzen nach sich ziehen können. Aversionen treten jedoch oft erst auf, wenn es unkalkulierbare Konsequenzen sind. Aus diesem Grund sollten diese im Vorwege definiert und kommuniziert werden:
Beispiel | Maßnahme | Ebene |
Ein Mitarbeiter äußert Unverständnis bezüglich der Maßnahme zur Informationssicherheit. | Informelles Gespräch | ISB |
Auch nach dem informellen Gespräch stellt der Mitarbeiter weiterhin die Maßnahme in Frage. | Formelles Gespräch | ISB |
Die Maßnahme wird vom Mitarbeiter ignoriert und er zeigt keine Einsicht. | Klärendes Gespräch mit Protokoll | ISB |
Der Mitarbeiter erzählt Kollegen, wie man die Maßnahme umgehen kann. | Formelles Gespräch | ISB & zuständiger Vorgesetzter |
Der Mitarbeiter droht damit, wichtige Maßnahmen zu umgehen. | Klärendes Gespräch mit Protokoll | ISB & zuständiger Vorgesetzter |
Der Mitarbeiter motiviert Kollegen dazu Möglichkeiten zu suchen, um Maßnahmen zu umgehen. | Klärendes Gespräch mit Protokoll | ISB & zuständiger Bereichsleiter |
Der Mitarbeiter provoziert einen geringfügigen Vorfall. | Klärendes Gespräch mit Protokoll und Abmahnung | ISB & Geschäftsführung |
Der Mitarbeiter begeht Informationsdiebstahl oder Sabotage, führt einen Angriff durch, veröffentlicht geheime Informationen, etc. | Kündigung | Geschäftsführung |
Natürlich ist es nicht das Ziel des Maßregelungsprozesses die Mitarbeiter zum Schweigen zu bringen. Konstruktive Kritik aus der Belegschaft kann und sollte zur Verbesserung genutzt werden. Maßnahmen müssen immer angemessen sein und die Unternehmensziele sowie Informationssicherheitsziele adäquat unterstützen und schützen. Falls die in den informellen Gesprächen gewonnen Erkenntnisse nahelegen, dass dies nicht der Fall ist, bietet sich eine zeitnahe Korrektur über den kontinuierlichen Verbesserungsprozess an.
