M 3.48 Auswahl von Trainern oder Schulungsanbietern
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter Personal
Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Personalabteilung
Für die Durchführung von Sensibilisierungsprogrammen und Schulungen zur Informationssicherheit muss zunächst geklärt werden, ob die Sensibilisierung und Ausbildung zu Sicherheitsfragen durch eigene Mitarbeiter oder Externe durchgeführt werden und in welcher Form die Ausbildung erfolgen soll.
Wenn eigene Mitarbeiter Schulungen durchführen sollen, müssen diese das benötigte Fachwissen sowie die Fähigkeit, dieses Wissen zu vermitteln, besitzen. Zur Vermittlung von Informationssicherheitswissen reichen technische Kenntnisse alleine nicht aus, darüber hinaus müssen die Trainer über didaktische, pädagogische und kommunikative Fähigkeiten verfügen. Wichtig ist unter anderem, dass Trainer auch die Sprache ihres jeweiligen Zielpublikums beherrschen, also die zu schulenden Informationssicherheitsaspekte in die jeweiligen Arbeits- und Projektzusammenhänge stellen können. Außerdem müssen interne Trainer auch die erforderliche Zeit bekommen, um sich auf die Schulungen vorbereiten und diese durchführen zu können.
In vielen Fällen kann es kosteneffizienter sein, die Schulung durch externe Fachkräfte durchführen zu lassen. Dann ist zu klären, welche finanziellen Ressourcen dafür zu Verfügung stehen. Die externen Trainer sollten sorgfältig ausgewählt werden.
Auch bei externer Durchführung von Schulungen müssen interne Ressourcen dafür eingeplant werden:
- Es muss ein Verantwortlicher benannt werden, der qualifizierte Externe auswählt, die Lehrinhalte und Lehrmethoden vorgibt und die Schnittstelle zwischen den Externen und den eigenen Mitarbeitern bildet.
- Die Mitarbeiter sind für die Dauer der Veranstaltungen abwesend.
- Außerdem sollten die Mitarbeiter die durchgeführten Schulungen bewerten und diese Erfahrungen regelmäßig intern ausgewertet werden.
Erfahrungsgemäß gibt es für viele Bereiche Schulungsanbieter, die geeignete Kurse in der gewünschten Form anbieten. Hier sollte nachgefragt werden, ob die Kursinhalte die gewünschten Kenntnisse vermitteln können.
Es sollte regelmäßig hinterfragt werden, ob Ausbilder, Trainer und Betreuer einen aktuellen Wissensstand besitzen und diesen vermitteln.
Ergänzende Kontrollfragen:
- Wurden für die Schulungen zur Informationssicherheit geeignete Trainer ausgewählt?
- Sind die Angebote verschiedener Schulungsanbieter verglichen worden, welche inhaltlich, qualitativ und preislich am besten geeignet sind?
- Verfügen Trainer über einen aktuellen Wissensstand?
- Werden die durchgeführten Schulungen von den Teilnehmern bewertet und diese Erfahrungen regelmäßig intern ausgewertet?