M 3.14 Einweisung des Personals in den geregelten Ablauf eines Datenträgeraustausches
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Mangelnde Information und Einweisung der Mitarbeiter führt in vielen Fällen dazu, dass Restriktionen der Informationsweitergabe nicht oder nur unzulänglich eingehalten werden. Die Festlegungen, welchen Kommunikationspartnern wann welche Daten übermittelt werden dürfen (M 2.42 Festlegung der möglichen Kommunikationspartner), ist den an einem Datenträgeraustausch Beteiligten daher zwingend bekannt zu geben. Außerdem sind die prinzipiellen Schritte für den Ablauf eines Datenträgeraustausches zu fixieren (eventuell als Dienstanweisung) und die Mitarbeiter zur Einhaltung zu verpflichten.
Zusätzlich ist eine Sensibilisierung der am Datenträgeraustausch beteiligten Mitarbeiter hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen vor, während und nach dem Transport der Datenträger notwendig.
Werden bestimmte IT-gestützte Verfahren zum Schutz der Daten während des Austausches eingesetzt (wie etwa Verschlüsselung oder Checksummen-Verfahren), so sind diese Mitarbeiter in die Handhabung dieser Verfahren ausreichend einzuarbeiten.
Ergänzende Kontrollfragen:
- Sind allen für die Kommunikation zugelassenen Mitarbeitern die diesbezüglichen Regelungen bekannt?
- Sind die Mitarbeiter mit den eventuell einzusetzenden Verschlüsselungs- oder Checksummen-Verfahren vertraut?
- Sind die für den Datenträgeraustausch Verantwortlichen hinsichtlich möglicher Gefährdungen ausreichend sensibilisiert?