M 3.46 Ansprechpartner zu Sicherheitsfragen
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter
Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter
In jeder Institution sollten Ansprechpartner zu Sicherheitsfragen vorhanden sein, sowohl für scheinbar einfache wie auch für technische Fragen. Dies können die IT-Administratoren, die IT-Anwendungsverantwortlichen oder IT-Sicherheitsbeauftragte sein (siehe z. B. M 2.12 Betreuung und Beratung von IT-Benutzern, M 6.60 Festlegung von Meldewegen für Sicherheitsvorfälle).
Leider ist die Hemmschwelle, konkrete Sicherheitsprobleme weiterzumelden, immer noch sehr hoch. Wenn der IT-Sicherheitsbeauftragte den Mitarbeitern auch als Ansprechpartner zu allgemeinen Fragen der Informationssicherheit bekannt ist, senkt dies die Hemmschwelle, konkrete Sicherheitsprobleme zu melden. Da viele Sicherheitsfragen bei der privaten Nutzung von IT-Systemen auftreten, sollten IT-Sicherheitsbeauftragte auch zu vermeintlich nicht dienstlichen Belangen Informationen weitergeben, z. B. zur Problematik von Computer-Viren und Trojanischen Pferden bei der Internet-Nutzung oder zum Schutz von persönlichen Daten beim E-Commerce. Dies fördert die Offenheit für Sicherheitsmaßnahmen und steigert die Akzeptanz der IT-Sicherheitsbeauftragten. Zudem können viele vermeintlich private Probleme auch im Büro-Umfeld auftreten.
Allen Mitarbeitern sollten die Ansprechpartner zu Sicherheitsfragen ebenso wie die Meldewege für Sicherheitsvorfälle bekannt sein. Hierzu könnte z. B. im internen Telefonverzeichnis oder im Intranet eine Liste mit Namen, Telefonnummern und E-Mail-Adressen der jeweiligen Ansprechpartner enthalten sein.
Ergänzende Kontrollfragen:
- Gibt es Ansprechpartner zu Sicherheitsfragen innerhalb der Behörde oder des Unternehmens?
- Sind die Ansprechpartner zu Sicherheitsfragen allen Mitarbeitern bekannt?