M 3.51 Geeignetes Konzept für Personaleinsatz und -qualifizierung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Personal

Verantwortlich für Umsetzung: Personalabteilung, Vorgesetzte

Für jeden Mitarbeiter sollten die wahrzunehmenden Aufgaben beschrieben sein. "Jeder sollte wissen, was er zu tun hat". Die Aufgaben sollten so zugeschnitten sein, dass keine Überschneidungen entstehen, damit es keine Probleme mit Zuständigkeiten gibt. Mitarbeiter sollten alle Ansprechpartner kennen, die mit ihrem Aufgabengebiet Schnittstellen haben. Dazu gehören insbesondere alle, die ähnliche Aufgaben erledigen oder dabei unterstützen. Beispielsweise sollten Mitarbeiter wissen, wer für den IT-Support zuständig ist, damit einerseits Probleme unmittelbar nach dem Auftreten abgestellt werden können und andererseits kein Mitarbeiter auf falsche Support-Mitarbeiter hereinfällt (siehe G 5.42 Social Engineering ).

Die Rollen, die ein Mitarbeiter wahrnehmen soll, müssen klar definiert sein. Darauf aufbauend sind alle erforderlichen Berechtigungen zu vergeben (siehe M 3.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter und M 3.2 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen ).

Alle Mitarbeiter sollten sowohl für ihre Aufgaben als auch für die Nutzung der dafür eingesetzten IT-Systeme geschult sein. Außerdem müssen die Mitarbeiter natürlich in alle zu beachtenden Sicherheitsvorgaben eingewiesen werden. Dafür empfiehlt es sich, ein Schulungskonzept zu erstellen (siehe Baustein B 1.13 Sensibilisierung und Schulung zur Informationssicherheit ).

Prüffragen: