M 6.60 Festlegung von Meldewegen für Sicherheitsvorfälle

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Neben der Festlegung der Rollen, Verantwortlichkeiten und Verhaltensregeln bei Sicherheitsvorfällen sind auch entsprechende Meldewege zu definieren. Hier bietet sich folgendes Muster an:

Wichtig ist hier insbesondere, dass allen Mitarbeitern die Ansprechpartner und die Meldewege für alle Arten von Sicherheitsvorfällen bekannt sind. Hierzu könnte z. B. im internen Telefonverzeichnis oder im Intranet eine Liste mit Namen, Telefonnummern und E-Mailadressen der jeweiligen Ansprechpartner enthalten sein. Es darf jedoch weder schwierig noch zeitaufwendig sein, Verdachtsfälle weiterzumelden. Dafür müssen schnelle und sichere Kommunikationsverbindungen bereitstehen. Die Authentizität des Kommunikationspartners und die Vertraulichkeit der über den Verdachtsfall gemeldeten Informationen sind sicherzustellen.

Es sollten alle Mitarbeiter darüber informiert sein, dass Auskünfte über einen Sicherheitsvorfall gegenüber Dritten nur über das Sicherheitsmanagement erfolgen dürfen (siehe auch M 6.65 Benachrichtigung betroffener Stellen bei Sicherheitsvorfällen).

Im Vorfeld sollten mit den Mitarbeitern der Presse- und Öffentlichkeitsarbeit Sprachregelungen vereinbart werden, die sicher stellen, dass keine Informationen unbefugt und keine falschen Informationen an die Öffentlichkeit gehen (siehe auch M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen).

Durch Übungen sollte sporadisch überprüft werden, ob die Verhaltensregeln für Sicherheitsvorfälle angemessen und durchführbar sind und ob sie allen Mitarbeitern bekannt sind (siehe auch M 6.68 Effizienzprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen).

Besonders bei Sicherheitsvorfällen zeigt es sich immer wieder, wie wichtig ein gutes Betriebsklima und eine gesunde Kommunikationskultur sind, damit Sicherheitsvorfälle auch umgehend weitergemeldet und offen angegangen werden (siehe auch M 3.8 Vermeidung von Störungen des Betriebsklimas

Prüffragen: