M 3.44 Sensibilisierung des Managements für Informationssicherheit

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Eine nachdrückliche und aktive Unterstützung durch die Behörden- bzw. Unternehmensleitung ist essentiell, damit Sicherheitskampagnen für die Mitarbeiter erfolgreich sein können. Daher ist es unabdingbar, dass vor dem Beginn von Sensibilisierungsmaßnahmen zur Informationssicherheit für Mitarbeiter das Management für Sicherheitsfragen sensibilisiert wird.

Die wichtigsten Informationen, die dem Management dabei geliefert werden müssen sind:

Ein geeigneter Einstieg für die Sensibilisierung der Leitungsebene ist ein kurzer Bericht, gefolgt von einer Präsentation, die mit aktuellen Beispielen (extern und intern) das Thema Informationssicherheit erläutert. Hierbei sollte beispielsweise aufgezeigt werden, dass technische Maßnahmen ohne gleichzeitige personelle und organisatorische Maßnahmen sinnlos sind. Um die Unterstützung des Managements zu bekommen, ist es hilfreich, den Nutzen solcher Maßnahmen aufzuzeigen.

Durch die Präsentation von Sicherheitsrisiken und Lösungsalternativen kann das Management für die Notwendigkeit der Umsetzung von Sicherheitsmaßnahmen überzeugt werden.

Informationssicherheit wird erfahrungsgemäß in einer Institution nur dann erfolgreich umgesetzt, wenn alle Vorgesetzten hier mit gutem Beispiel vorangehen. Sinnvoll ist es daher, alle Führungskräfte explizit darauf zu verpflichten, ihre Mitarbeiter auf die Einhaltung der Sicherheitsvorgaben hinzuweisen und zu sensibilisieren.

Prüffragen: