Do I really need to screen every applicant?

Yes. ISO 27001, A 6.1 requires background verification for all candidates — including part-time and temporary staff. The depth of screening is proportionate to the role: references, CV verification and identity checks are the minimum. Enhanced checks (credit history, criminal record, security clearance) apply to roles with access to highly sensitive data.

What is the buddy in the onboarding process?

Our template provides for an onboarding mentor (“buddy”) as the first point of contact for new hires. The buddy answers everyday questions, explains internal processes and makes sure security topics do not get lost in the information overload of the first working day. ISO does not mandate a buddy — but in practice it is one of the most effective measures against onboarding gaps.

Is one annual training session enough?

That is the minimum. A 6.3 requires initial training on joining and periodic refreshers. Annual is the floor, but the template also recommends event-driven training (after incidents, when new threats emerge) and knowledge assessments at the end of every session. A quiz or test is the simplest way to demonstrate effectiveness — and auditors ask for it.

What does the disciplinary process contain?

The template defines seven escalation levels: from a verbal warning through temporary access suspension and mandatory retraining to termination and legal proceedings. Before any measure, four criteria are assessed: nature and gravity of the breach, intent, recurrence and training status. Without this assessment, any disciplinary action becomes legally vulnerable.

Do I need the policy for external contractors too?

Yes. The template explicitly covers contractors, consultants and temporary workers. For external personnel provided through service providers, equivalent information security obligations must be included in the supplier contract. Auditors check this specifically — especially for IT service providers with system access.

What happens when someone leaves?

The template contains an offboarding checklist with six steps: return assets, revoke logical access, revoke physical access, knowledge transfer, remind of continuing confidentiality obligations, update emergency plans. Additionally, every internal role change is treated as a termination of the old assignment plus initiation of the new one — so no rights are left behind.

HR Security Policy · Cenedril Wiki

The HR Security Policy accompanies every person in your organisation through the entire employment lifecycle — from the first interview to the last working day and beyond. It is the document that ensures security does not remain an IT topic but is considered at every hiring, every training session and every departure.

Six Annex A controls (A 6.1 through A 6.6) cover the full spectrum: screening, employment terms, the awareness programme, disciplinary process, offboarding and confidentiality agreements. BSI IT-Grundschutz dedicates two modules to the topic: ORP.2 (Personnel) and ORP.3 (Awareness and Training). Further down you will find the complete template.

What does this policy cover?

Imagine a new employee starts on Monday. She receives a laptop, VPN access and credentials for three internal systems on day one. Three months later, she has missed the security awareness course. A year later, she changes department but keeps all her old access. Two years later, she leaves the company — the VPN access stays active because HR and IT did not communicate.

The HR security policy prevents exactly this scenario. It defines what is checked before hiring, what happens on the first day, how ongoing training is organised, what happens when rules are broken, and how the departure process works.

Why does it matter?

The biggest risk factor in information security is people. Phishing attacks, social engineering, accidental data disclosure, lost laptops — behind each of these incidents is a person who was either not trained, not screened, or whose access rights were not revoked after departure.

ISO 27001 has given the topic its own control category for exactly this reason: the “People Controls” (A 6.1–6.6). Technical measures protect systems, but only personnel security measures protect the people who operate those systems.

The policy also has a practical side effect: it protects your organisation under employment law. Without documented screening, without confirmed security obligations and without a formal disciplinary process, enforcing consequences for violations becomes difficult.

What is in the template?

The template covers ten sections. Here are the key contents:

Pre-employment screening (A 6.1) — Five verification measures (references, CV, qualifications, identity, enhanced checks for sensitive roles), competence and trustworthiness assessment, mitigation when verification is incomplete (delay onboarding, restrict access), periodic re-verification
Employment terms (A 6.2) — Six contractual security obligations (confidentiality, legal responsibilities, asset handling, third-party information, consequences, code of conduct), structured onboarding with buddy system and checklist
Awareness and training (A 6.3) — Programme content (leadership commitment, rules, personal accountability, basic procedures, contact points, lessons learned), knowledge assessment after every session, four training methods (lectures, mentoring, job rotation, specialist recruitment), training schedule with target group analysis
Disciplinary process (A 6.4) — Four assessment criteria (nature/gravity, intent, recurrence, training status), seven escalation levels, positive reinforcement for exemplary behaviour
Post-termination obligations (A 6.5) — Role change = termination + re-initiation, offboarding checklist with six steps, communication process to all relevant parties
Confidentiality agreements (A 6.6) — Ten content elements, four personnel categories (employees, contractors, service providers, visitors), electronic signatures under eIDAS, register of active NDAs

How to roll it out

01

Assess the current state

Find out how screening, onboarding and offboarding actually work today. In many organisations there is an informal process that is documented nowhere. Ask HR: Is there an onboarding checklist? Are references actually checked? Is an offboarding checklist used for departures? The answers show you how far you are from the template.
02

Get HR and IT to the same table

The policy lives at the interface between HR and IT. HR manages contracts, training and the personnel lifecycle. IT manages access rights and systems. Without a working process between the two — especially for joining, role changes and departures — access rights stay active long after they should have been revoked.
03

Set up the training programme

Define target groups (all personnel, technical teams, leadership), content and frequency. The template requires at least annual refreshers plus initial training on joining. The key: every session ends with a knowledge assessment (quiz, test, practical exercise). Without this evidence, effectiveness remains unproven in an audit.
04

Adapt the template and get approval

Replace placeholders, remove sections that do not apply (e.g. security clearance under the German SÜG if you have no classified areas), and get the policy approved by top management. In Germany: check whether the works council has co-determination rights over monitoring aspects of training (e.g. tracking completion rates).
05

Operationalise the offboarding process

The template’s offboarding checklist contains six steps: return assets, revoke logical access, revoke physical access, knowledge transfer, remind of confidentiality obligations, update emergency plans. Turn this into a binding process with clear ownership — HR initiates, IT executes, line manager confirms.

Where it goes wrong in practice

From audit experience, sorted by frequency:

1. No screening records. Screening may have happened, but there is no documentation. In an audit, only what is provable counts. Without written reference checks and identity verification, the screening is considered not performed.

2. Awareness training without knowledge test. The training happened, there is an attendance list — but no evidence that the content was understood. A short test at the end of every session is the simplest way to document effectiveness.

3. Offboarding gaps. The laptop came back, but the VPN is still active. Or: the email address is deactivated, but the cloud storage account is still live. Offboarding fails almost always because of poor coordination between HR and IT.

4. External contractors without equivalent obligations. The IT service provider has full system access, but the contract contains no information security obligations. Auditors check this specifically — especially for providers with privileged access.

5. Disciplinary process exists only on paper. The policy describes seven escalation levels, but nobody has ever used them. That is not necessarily a problem (ideally you never need them). But there must be a named process owner, and line managers must know how to escalate an incident.

6. NDAs signed but never reviewed. The confidentiality agreement was signed on joining and never touched again. The template requires a register of all active NDAs and periodic review — especially relevant when roles change or new information categories are introduced.

Template: HR Security Policy

Dokumentenkontrolle
Eigentümer: [RICHTLINIEN_EIGENTÜMER_ROLLE, z. B. Informationssicherheitsbeauftragte/r]
Genehmigt von: [GENEHMIGER_NAME_UND_ROLLE]
Version: [VERSION]
Gültig ab: [GÜLTIGKEITSDATUM]
Nächste Überprüfung: [NÄCHSTES_ÜBERPRÜFUNGSDATUM]

1. Rechtliche/Regulatorische Grundlage

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Anhang A — Personenbezogene Maßnahmen:

A 6.1 — Überprüfung (Screening)
A 6.2 — Beschäftigungsbedingungen
A 6.3 — Informationssicherheits-Sensibilisierung, -Ausbildung und -Schulung
A 6.4 — Disziplinarverfahren
A 6.5 — Verantwortlichkeiten nach Beendigung oder Änderung des Beschäftigungsverhältnisses
A 6.6 — Vertraulichkeits- oder Geheimhaltungsvereinbarungen

BSI IT-Grundschutz:

ORP.2.A7 (Überprüfung der Vertrauenswürdigkeit), ORP.2.A13 (Sicherheitsüberprüfung)
ORP.2.A1 (Onboarding), ORP.2.A4 (Externes Personal), ORP.2.A5 (Verschwiegenheitsvereinbarungen), ORP.2.A14 (Pflichten und Verantwortlichkeiten)
ORP.3 (Sensibilisierungs- und Schulungsprogramm)
ISMS.1.A8 (Behandlung von Sicherheitsvorfällen)
ORP.2.A2 (Offboarding-Verfahren)
CON.9.A9 (Vertraulichkeitsvereinbarungen)

Weitere jurisdiktionsspezifische Gesetze — insbesondere Arbeitsrecht, Datenschutzrecht (DSGVO), Sicherheitsüberprüfungsgesetz (SÜG) und Betriebsverfassungsgesetz — sind im Rechtsregister aufgeführt und werden durch Verweis einbezogen.

2. Zweck & Geltungsbereich

Diese Richtlinie legt die Anforderungen der Informationssicherheit an das Personalmanagement bei [IHR_ORGANISATIONSNAME] fest. Sie deckt alle Phasen des Beschäftigungslebenszyklus ab — von der Vorabüberprüfung über das Onboarding und die laufende Sensibilisierung und Schulung bis zur Beendigung oder Änderung der Verantwortlichkeiten.

Diese Richtlinie gilt für:

Alle Beschäftigten (unbefristet, befristet, Teilzeit)
Externes Personal (Auftragnehmer, Berater, Leiharbeitskräfte)
Drittanbieter mit Zugang zu organisatorischen Informationen oder Systemen

Ziel ist es, sicherzustellen, dass alle Personen ihre Verantwortung für die Informationssicherheit verstehen und für die von ihnen ausgeübten Rollen geeignet sind, um so das Risiko menschenbezogener Sicherheitsvorfälle zu reduzieren.

3. Vorabüberprüfung vor Einstellung (A 6.1)

Hintergrundüberprüfungen aller Bewerber werden vor Aufnahme der Beschäftigung bei [IHR_ORGANISATIONSNAME] durchgeführt. Der Überprüfungsprozess wird für alle Personen einschließlich Vollzeit-, Teilzeit- und befristet Beschäftigter durchgeführt. Wenn Personen über Dienstleister beauftragt werden, werden Überprüfungsanforderungen in die vertraglichen Vereinbarungen zwischen der Organisation und den Lieferanten aufgenommen. Die Tiefe der Überprüfung ist der Sensibilität der Rolle, der Klassifizierung der zugänglichen Informationen und den geltenden rechtlichen Anforderungen angemessen.

Informationen über alle Bewerber werden unter Berücksichtigung geltender Datenschutzgesetzgebung erhoben und behandelt. Wo gesetzlich erforderlich, werden Bewerber vorab über die Überprüfungsmaßnahmen informiert.

3.1 Überprüfungsmaßnahmen

Referenzen: Die Verfügbarkeit zufriedenstellender persönlicher und beruflicher Referenzen wird geprüft (z. B. eine berufliche, eine persönliche Referenz).
Lebenslauf: Der Lebenslauf des Bewerbers wird auf Vollständigkeit, Plausibilität und Richtigkeit geprüft. Lücken oder Widersprüche werden geklärt.
Qualifikationen: Angegebene akademische und berufliche Qualifikationen werden durch Originalzeugnisse, Zeugnisabschriften oder direkte Verifizierung bei den ausstellenden Institutionen bestätigt.
Identitätsprüfung: Eine unabhängige Identitätsprüfung erfolgt anhand eines amtlichen Lichtbildausweises (Personalausweis, Reisepass).
Erweiterte Überprüfung: Für Rollen mit Zugang zu hochsensiblen oder als Verschlusssache klassifizierten Informationen — auch bei Beförderung — werden zusätzliche Prüfungen durchgeführt (z. B. Bonitätsprüfung, Führungszeugnis, Sicherheitsüberprüfung gemäß geltendem Sicherheitsüberprüfungsgesetz, sofern anwendbar).

3.2 Kompetenz & Vertrauenswürdigkeit

Kompetenzbewertung: Bewerber weisen nach, dass sie die notwendige Kompetenz zur Erfüllung der sicherheitsrelevanten Verantwortlichkeiten der Rolle besitzen, insbesondere für Positionen mit erhöhten Zugriffsrechten.
Bewertung der Vertrauenswürdigkeit: Die allgemeine Vertrauenswürdigkeit des Bewerbers wird bewertet, insbesondere für kritische oder sensible Rollen. Dies umfasst die Bewertung der Plausibilität und Konsistenz aller eingereichten Unterlagen.

3.3 Maßnahmen bei unvollständiger Überprüfung

Verzögertes Onboarding: Kann die Hintergrundüberprüfung nicht vor dem geplanten Eintrittsdatum abgeschlossen werden, wird das Onboarding bis zum Vorliegen der Ergebnisse verschoben.
Eingeschränkte Asset-Bereitstellung: Die Bereitstellung von Firmen-Assets (Laptops, Zugangsausweise, Schlüssel) wird bis zum Abschluss der Überprüfung verzögert.
Eingeschränkter Zugriff: Der neue Beschäftigte wird mit eingeschränkten Zugriffsrechten onboardet, bis die Überprüfungsergebnisse zufriedenstellend sind.
Beendigung: Sind die Überprüfungsergebnisse nicht zufriedenstellend, behält sich [IHR_ORGANISATIONSNAME] das Recht vor, das Beschäftigungsverhältnis gemäß geltendem Recht zu beenden.

3.4 Periodische Nachüberprüfung

Überprüfungen werden periodisch wiederholt, um die fortwährende Eignung des Personals zu bestätigen, abhängig von der Kritikalität der jeweiligen Rolle.

4. Beschäftigungsbedingungen (A 6.2)

Arbeits- und Dienstleistungsverträge für alle Beschäftigten bei [IHR_ORGANISATIONSNAME] benennen klar die Verantwortlichkeiten der Einzelperson und der Organisation für die Informationssicherheit. Diese Verpflichtungen werden kommuniziert und bestätigt, bevor Zugriff auf Informationen oder Systeme gewährt wird. Rollen und Verantwortlichkeiten der Informationssicherheit werden Bewerbern im Vorbeschäftigungsprozess kommuniziert.

4.1 Vertragliche Sicherheitsverpflichtungen

Vertraulichkeit & Geheimhaltung: Alle Beschäftigten unterzeichnen eine Vertraulichkeits- oder Geheimhaltungsvereinbarung, bevor sie Zugriff auf Informationswerte von [IHR_ORGANISATIONSNAME] erhalten. Diese Vereinbarung bleibt während und nach dem Beschäftigungsverhältnis in Kraft (siehe Abschnitt 8 zu Vertraulichkeitsvereinbarungen).
Rechtliche Verantwortlichkeiten: Beschäftigte werden über ihre rechtlichen Verantwortlichkeiten und Rechte bezüglich Urheberrecht, Datenschutzgesetzgebung und anderer geltender Vorschriften informiert.
Asset- & Klassifizierungs-Verantwortlichkeiten: Die Beschäftigungsbedingungen spezifizieren die individuellen Verantwortlichkeiten für den Umgang mit Informationen gemäß dem Klassifizierungsschema der Organisation und für die ordnungsgemäße Verwaltung zugewiesener Assets.
Drittinformationen: Verantwortlichkeiten für den Umgang mit Informationen, die von oder im Auftrag interessierter Parteien (Kunden, Partner, Regulierungsbehörden) empfangen werden, sind im Arbeitsvertrag dokumentiert.
Konsequenzen bei Nichteinhaltung: Die Bedingungen benennen klar die Maßnahmen, die bei Missachtung der Sicherheitsanforderungen der Organisation zu ergreifen sind, einschließlich eines Verweises auf das Disziplinarverfahren.
Verhaltenskodex: Ein Verhaltenskodex, der Verantwortlichkeiten für Informationssicherheit und Datenschutz abdeckt, wird allen Beschäftigten bereitgestellt. Die Bestätigung des Kodex wird dokumentiert.

4.2 Onboarding-Prozess

Beim Eintritt durchlaufen alle neuen Beschäftigten und externen Personen ein strukturiertes Onboarding, das Folgendes umfasst:

Vorstellung der anwendbaren Richtlinien, Leitlinien und Verfahren
Zuweisung eines Onboarding-Mentors („Buddy"), der als erste Anlaufstelle dient
Abschluss einer verpflichtenden Onboarding-Checkliste, die Sicherheitsthemen abdeckt
Initiales Informationssicherheits-Sensibilisierungsbriefing

4.3 Kontinuität & Überprüfung

Wo angemessen, gelten die in den Beschäftigungsbedingungen enthaltenen Verantwortlichkeiten für einen definierten Zeitraum nach Beendigung des Beschäftigungsverhältnisses fort (siehe Abschnitt 7 zur Beendigung). Die Beschäftigungsbedingungen zur Informationssicherheit werden überprüft, wenn sich Gesetze, Vorschriften, die Informationssicherheitsrichtlinie oder themenspezifische Richtlinien ändern.

Wenn Personal über eine externe Partei (z. B. einen Lieferanten) gestellt wird, ist die externe Partei verpflichtet, im Auftrag der beauftragten Einzelperson vertragliche Vereinbarungen einzugehen, die gleichwertige Informationssicherheits-Verpflichtungen enthalten.

5. Informationssicherheits-Sensibilisierung, -Ausbildung und -Schulung (A 6.3)

Alle Personen von [IHR_ORGANISATIONSNAME] erhalten eine angemessene Sensibilisierung, Ausbildung und Schulung zur Informationssicherheit und werden über relevante Aktualisierungen der Richtlinien und Verfahren der Organisation auf dem Laufenden gehalten. Das Sensibilisierungs-, Ausbildungs- und Schulungsprogramm wird im Einklang mit der Informationssicherheitsrichtlinie und den relevanten themenspezifischen Richtlinien etabliert, unter Berücksichtigung der zu schützenden Informationen und der implementierten Maßnahmen.

Die initiale Sensibilisierung, Ausbildung und Schulung gilt für neue Beschäftigte und für solche, die in neue Positionen oder Rollen mit wesentlich anderen Informationssicherheits-Anforderungen wechseln. Das Programm findet danach periodisch statt.

5.1 Inhalte des Sensibilisierungsprogramms

Das Sensibilisierungsprogramm deckt allgemeine Aspekte ab, einschließlich:

Engagement der Geschäftsleitung: Das Sensibilisierungsprogramm vermittelt das Engagement der Geschäftsleitung für Informationssicherheit. Die Führungsebene unterstützt Sicherheitsinitiativen aktiv und sichtbar.
Regeln & Verpflichtungen: Beschäftigte werden mit allen geltenden Informationssicherheitsregeln, Richtlinien und ihren persönlichen Einhaltungsverpflichtungen vertraut gemacht.
Persönliche Verantwortlichkeit: Das Programm betont die persönliche Verantwortung für eigenes Handeln und Unterlassen sowie die Pflicht, organisatorische Informationen zu schützen.
Grundlegende Sicherheitsverfahren: Grundlegende Sicherheitsverfahren (Passwortmanagement, Clean Desk, Bildschirmsperre, Phishing-Bewusstsein, Social Engineering) und für die jeweilige Rolle relevante Basismaßnahmen werden behandelt.
Kontaktpunkte: Kontaktpunkte und Ressourcen für zusätzliche Informationen, Beratung und Meldung (z. B. Informationssicherheitsbeauftragte/r, IT-Helpdesk, Vorfallmeldewege) werden kommuniziert.
Lessons Learned: Relevante Erkenntnisse aus vergangenen Informationssicherheitsvorfällen (anonymisiert) werden in das Sensibilisierungsprogramm aufgenommen, um reale Risiken und Konsequenzen zu veranschaulichen.
Wissensüberprüfung: Am Ende von Sensibilisierungs- oder Schulungsaktivitäten wird eine Wissensüberprüfung (Quiz, Test oder praktische Übung) durchgeführt, um die Wirksamkeit der Schulung zu verifizieren.

Das Programm umfasst Sensibilisierungsaktivitäten über geeignete Kanäle wie Kampagnen, Broschüren, Poster, Newsletter, Websites, Informationsveranstaltungen, Briefings, E-Learning-Module und E-Mails. Das Programm konzentriert sich nicht nur auf das „Was" und „Wie", sondern auch auf das „Warum" — es ist wichtig, dass Beschäftigte das Ziel der Informationssicherheit und die potenziellen Auswirkungen ihres eigenen Verhaltens auf die Organisation verstehen.

Das Schulungsprogramm bezieht anonymisierte Vorfallbeispiele ein, um reale Szenarien zu veranschaulichen. Schulungen decken Vorfallmeldeverfahren, Schwachstellenerkennung und Bedrohungsbewusstsein ab, um Personen zu befähigen, potenzielle Sicherheitsereignisse wirksam zu identifizieren und zu eskalieren.

5.2 Ausbildungs- & Schulungsmethoden

Die Organisation identifiziert, bereitet vor und setzt einen angemessenen Schulungsplan für technische Teams um, deren Rollen spezifische Fähigkeiten und Fachkenntnisse erfordern. Das Ausbildungs- und Schulungsprogramm besteht aus folgenden Formen:

Vorträge & Selbststudium: Strukturierte Schulungen (in Präsenz oder online) und Selbstlernmaterialien werden bereitgestellt. E-Learning-Module sind akzeptabel, wenn sie interaktive Elemente und Bewertungen enthalten.
Mentoring & On-the-Job-Training: Fachpersonal oder externe Berater bieten Mentoring und praktische Schulung für Personen in spezialisierten Sicherheitsrollen.
Jobrotation: Wo machbar, werden Beschäftigte durch verschiedene Aktivitäten rotiert, um ihr Verständnis der Informationssicherheit in der gesamten Organisation zu erweitern.
Rekrutierung von Fachkräften: Für hochspezialisierte Sicherheitsfunktionen rekrutiert die Organisation qualifizierte Fachkräfte oder beauftragt externe Berater mit der erforderlichen Expertise.

Schulung und Ausbildung können verschiedene Lieferformen nutzen, einschließlich klassenzimmerbasierter, Fernlern-, webbasierter, selbstgesteuerter und anderer Formate. Informationssicherheits-Sensibilisierung, -Ausbildung und -Schulung können Teil anderer Aktivitäten sein oder in Zusammenarbeit mit ihnen durchgeführt werden (z. B. allgemeines Informationsmanagement, IKT, Sicherheits-Training).

5.3 Kontinuierliche berufliche Weiterbildung

Informationsquellen: Die Organisation abonniert relevante Sicherheits-Newsletter, Bulletins und Fachpublikationen, um über aufkommende Bedrohungen und Best Practices informiert zu bleiben.
Konferenzen & Veranstaltungen: Schlüsselpersonen (ISBs, IT-Sicherheitspersonal) nehmen an relevanten Konferenzen, Workshops und Fachveranstaltungen teil, um ihre Kompetenzen zu erhalten und zu verbessern.

5.4 Schulungsplan & Aufzeichnungen

Die Organisation pflegt einen Schulungsplan, der Folgendes definiert:

Zielgruppen und ihre spezifischen Schulungsbedarfe (basierend auf einer Zielgruppenanalyse)
Schulungshäufigkeit (initiale Onboarding-Schulung plus periodische Auffrischung, mindestens jährlich)
Schulungsinhalt und Liefermethode pro Zielgruppe
Verantwortung für Schulungsdurchführung und -koordination

Aufzeichnungen aller Schulungsaktivitäten (Anwesenheit, Abschluss, Bewertungsergebnisse) werden als Nachweis für Auditzwecke geführt. Die Lernergebnisse werden gemessen und (quantitativ und qualitativ) bewertet, um festzustellen, ob die Programmziele erreicht wurden. Die Ergebnisse fließen in die Verbesserung des Sensibilisierungs- und Schulungsangebots ein.

6. Disziplinarverfahren (A 6.4)

Ein formales Disziplinarverfahren ist etabliert und allen Personen von [IHR_ORGANISATIONSNAME] kommuniziert. Dieses Verfahren wird nicht ohne vorherige Verifizierung eingeleitet, dass ein Verstoß gegen die Informationssicherheitsrichtlinie stattgefunden hat. Das Disziplinarverfahren dient auch als Abschreckung, um Beschäftigte davon abzuhalten, gegen die Informationssicherheitsrichtlinie und zugehörige Verfahren zu verstoßen.

6.1 Bewertungskriterien

Vor Einleitung disziplinarischer Maßnahmen werden folgende Faktoren bewertet:

Art & Schwere: Art und Schwere des Verstoßes sowie seine Auswirkungen auf die Organisation werden bewertet, einschließlich potenzieller geschäftlicher, rechtlicher und reputationsbezogener Konsequenzen.
Vorsatz: Ob der Verstoß vorsätzlich (böswillig oder bewusste Missachtung) oder unbeabsichtigt (fahrlässig, versehentlich, aufgrund unzureichender Schulung) war.
Wiederholung: Ob es sich um einen Erstverstoß oder einen wiederholten Verstoß derselben Person handelt.
Schulungsstatus: Ob die Person angemessene Schulungen erhalten hat und zum Zeitpunkt des Verstoßes die relevanten Richtlinien und ihre Verpflichtungen kannte.

6.2 Eskalationsstufen

Abhängig von Schwere und Umständen umfassen disziplinarische Maßnahmen (in aufsteigender Reihenfolge):

Mündliche Abmahnung und dokumentiertes Gespräch
Schriftliche Abmahnung mit dokumentierten Korrekturmaßnahmen
Temporäre Aussetzung von Zugriffsrechten
Verpflichtende Nachschulung
Formale Disziplinaranhörung
Beendigung des Beschäftigungsverhältnisses oder Vertrags (im Einklang mit dem Arbeitsrecht)
Rechtliche Schritte (bei strafrechtlich relevanten Handlungen)

Vorsätzliche Verstöße gegen die Informationssicherheitsrichtlinie erfordern sofortige Maßnahmen. Das Disziplinarverfahren entspricht geltendem nationalen Arbeitsrecht sowie gesetzlichen, regulatorischen und vertraglichen Anforderungen. Rechtsberatung und/oder HR werden bei allen formellen Disziplinarmaßnahmen einbezogen.

6.3 Zusätzliche Bestimmungen

Identitätsschutz: Wo möglich, wird die Identität von Personen, gegen die disziplinarische Maßnahmen ergriffen werden, im Einklang mit geltenden Datenschutzanforderungen geschützt.
Positive Verstärkung: Wenn Personen vorbildliches Verhalten in Bezug auf die Informationssicherheit zeigen, können sie belohnt werden, um das Informationssicherheits-Bewusstsein zu fördern und gutes Verhalten zu ermutigen.

7. Verantwortlichkeiten nach Beendigung oder Änderung des Beschäftigungsverhältnisses (A 6.5)

Der Prozess zur Verwaltung der Beendigung oder Änderung des Beschäftigungsverhältnisses bei [IHR_ORGANISATIONSNAME] definiert, welche Informationssicherheitsverantwortlichkeiten und -pflichten nach Beendigung oder Änderung weiterhin gelten. Dies umfasst die Vertraulichkeit von Informationen, geistigem Eigentum und anderem erworbenen Wissen sowie Verantwortlichkeiten aus anderen Vertraulichkeitsvereinbarungen. Nach Beendigung des Beschäftigungsverhältnisses oder Vertrags weiterhin gültige Verantwortlichkeiten sind in den Beschäftigungsbedingungen der Einzelperson enthalten.

Änderung als Beendigung + Neuinitiierung: Änderungen der Verantwortung oder des Beschäftigungsverhältnisses innerhalb der Organisation werden als Kombination aus Beendigung der alten Zuweisung und Initiierung der neuen behandelt. Dies stellt sicher, dass Zugriffsrechte, Asset-Zuweisungen und Sicherheitsverantwortlichkeiten ordnungsgemäß aktualisiert werden.
Rollenübertragung: Wenn eine Person eine Position verlässt, werden alle dieser Person zugewiesenen Informationssicherheitsrollen und -verantwortlichkeiten identifiziert und auf einen benannten Nachfolger übertragen. Die Organisation pflegt aktuelle Notfall- und Kontinuitätspläne, die den aktuellen Personalstand widerspiegeln.
Kommunikation von Änderungen: Ein Kommunikationsprozess ist etabliert, um alle relevanten Parteien (HR, IT, Gebäudeverwaltung, Management, externe Partner) über Personaländerungen und ihre Zugriffsrechte zu benachrichtigen.
Externes Personal: Der Beendigungs- oder Änderungsprozess gilt auch für externes Personal (Auftragnehmer, Berater, Lieferantenpersonal). Bei Personen, die über eine externe Partei gestellt werden, wird der Beendigungsprozess von der externen Partei gemäß dem Vertrag zwischen der Organisation und der externen Partei durchgeführt.

Die Personalabteilung ist für den Gesamtprozess der Beendigung verantwortlich und arbeitet mit der/dem vorgesetzten Führungskraft zusammen, um die informationssicherheitsrelevanten Aspekte der relevanten Verfahren zu steuern.

7.1 Offboarding-Checkliste

Bei Austritt werden folgende Schritte durchgeführt:

Rückgabe aller Firmen-Assets (Laptop, mobile Geräte, Zugangsausweise, Schlüssel, Parkausweise)
Widerruf aller logischen Zugriffsrechte (Benutzerkonten, VPN, E-Mail, Cloud-Dienste)
Widerruf physischer Zugangsrechte (Gebäudezugang, Sicherheitsbereiche)
Wissenstransfer und Übergabedokumentation
Erinnerung an fortbestehende Verpflichtungen (Vertraulichkeitsvereinbarungen, Wettbewerbsverbote)
Aktualisierung von Notfallplänen, Verteilerlisten und Organigrammen

8. Vertraulichkeits- & Geheimhaltungsvereinbarungen (A 6.6)

Vertraulichkeits- oder Geheimhaltungsvereinbarungen (NDAs), die die Anforderungen von [IHR_ORGANISATIONSNAME] an den Schutz von Informationen widerspiegeln, werden identifiziert, dokumentiert, regelmäßig überprüft und von allen relevanten Personen und externen Parteien unterzeichnet, bevor ihnen Zugriff auf vertrauliche Informationen gewährt wird. Die Vereinbarungen adressieren die Anforderung, vertrauliche Informationen mit rechtlich durchsetzbaren Bedingungen zu schützen. Basierend auf den Informationssicherheits-Anforderungen der Organisation werden die Bedingungen der Vereinbarungen unter Berücksichtigung der Art der verarbeiteten Informationen, ihrer Klassifizierungsstufe, ihrer Nutzung und des zulässigen Zugriffs durch die andere Partei bestimmt.

8.1 Inhalt der Vereinbarung

Jede Vertraulichkeitsvereinbarung adressiert die folgenden Elemente, soweit zutreffend:

Umfang der geschützten Informationen: Eine klare Definition der zu schützenden Informationen, einschließlich Kategorien, Klassifizierungsstufen und Beispielen.
Dauer: Die erwartete Dauer der Vereinbarung, einschließlich ob sie unbefristet oder zeitlich begrenzt ist, und der Zeitraum der Verpflichtungen nach dem Ende des Beschäftigungs- oder Vertragsverhältnisses.
Maßnahmen bei Beendigung: Erforderliche Maßnahmen bei Beendigung der Vereinbarung, einschließlich sicherer Rückgabe oder Vernichtung vertraulicher Materialien.
Verhinderung der Offenlegung: Verantwortlichkeiten und Maßnahmen der unterzeichnenden Person zur Verhinderung unbefugter Offenlegung von Informationen (z. B. Need-to-know-Prinzip, sichere Speicherung, Verschlüsselungsanforderungen).
Geistiges Eigentum: Eigentum an Informationen, Geschäftsgeheimnissen und geistigem Eigentum und wie sich diese zum Schutz vertraulicher Informationen verhalten.
Zulässige Nutzung: Die zulässige Nutzung vertraulicher Informationen und die Rechte der unterzeichnenden Person zur Nutzung von Informationen innerhalb der Grenzen der Vereinbarung.
Audit- & Überwachungsrechte: Das Recht der Organisation, Aktivitäten im Zusammenhang mit vertraulichen Informationen zu auditieren und zu überwachen.
Benachrichtigung bei Verstößen: Der Prozess für die Benachrichtigung und Meldung unbefugter Offenlegung oder vermuteter Vertraulichkeitsverstöße.
Rückgabe & Vernichtung: Bedingungen für die Rückgabe oder zertifizierte Vernichtung von Informationen bei Beendigung der Vereinbarung, einschließlich digitaler und physischer Kopien.
Konsequenzen bei Nichteinhaltung: Erwartete Maßnahmen bei Nichteinhaltung der Vereinbarung, einschließlich möglicher rechtlicher Rechtsmittel und Haftung.

8.2 Anwendbarkeit

Vertraulichkeitsvereinbarungen sind erforderlich für:

Alle Beschäftigten zum Zeitpunkt der Einstellung (als Teil des Arbeitsvertrags oder als separate Vereinbarung)
Externes Personal (Auftragnehmer, Berater, befristet Beschäftigte), bevor sie Zugriff auf organisatorische Informationen erhalten
Drittanbieter und Geschäftspartner als Teil vertraglicher Vereinbarungen
Besucher, die Zugang zu sensiblen Bereichen oder Informationen benötigen (projektspezifische NDAs)

8.3 Unterzeichnungsprozess

[IHR_ORGANISATIONSNAME] nutzt ein fortgeschrittenes elektronisches Signaturverfahren (z. B. gemäß eIDAS Artikel 26), um rechtsverbindliche Unterschriften auf Vertraulichkeitsvereinbarungen einzuholen. Der Prozess umfasst Identitätsprüfung, kryptographischen Dokumentenintegritätsschutz und einen manipulationssicheren Audit-Trail, der alle Signaturereignisse einschließlich Zeitstempel und Geräteinformationen erfasst. Signierte Vereinbarungen werden automatisch als Compliance-Aufzeichnungen im Dokumentenmanagementsystem archiviert.

8.4 Compliance & Überprüfung

Die Organisation berücksichtigt die Einhaltung von Vertraulichkeits- und Geheimhaltungsvereinbarungen für die Jurisdiktion(en), für die sie gelten. Anforderungen an Vertraulichkeits- und Geheimhaltungsvereinbarungen werden periodisch und bei Änderungen, die diese Anforderungen beeinflussen, überprüft. Ein Register aller aktiven Vertraulichkeitsvereinbarungen wird geführt, um sicherzustellen, dass Vereinbarungen aktuell und angemessen bleiben.

9. Rollen & Verantwortlichkeiten

Geschäftsleitung: Stellt Ressourcen bereit, gibt den Ton vor und stellt sicher, dass diese Richtlinie in der gesamten Organisation durchgesetzt wird.
Personalabteilung (HR): Setzt Überprüfungen um, verwaltet Arbeitsverträge, koordiniert Onboarding/Offboarding, pflegt Schulungsnachweise.
Informationssicherheitsbeauftragte/r (ISB): Definiert Sicherheitsanforderungen für Personal, gestaltet das Sensibilisierungsprogramm, überwacht die Einhaltung, eskaliert Verstöße.
Führungskräfte: Stellen sicher, dass ihre Teammitglieder diese Richtlinie einhalten, unterstützen die Schulungsteilnahme, leiten bei Bedarf das Disziplinarverfahren ein.
IT-Abteilung: Verwaltet die Bereitstellung und den Entzug logischer Zugriffe in Abstimmung mit HR.
Alle Beschäftigten: Halten diese Richtlinie ein, nehmen an Schulungen teil, melden Sicherheitsvorfälle und schützen organisatorische Informationen.

10. Überprüfung & Pflege

Diese Richtlinie wird überprüft:

Mindestens jährlich im Rahmen des ISMS-Managementbewertungszyklus.
Nach wesentlichen organisatorischen Änderungen (Umstrukturierung, Fusionen, Änderungen im geltenden Recht).
Nach wesentlichen Sicherheitsvorfällen mit Personalbezug.
Wenn Änderungen der Bedrohungslandschaft aktualisierte Personalsicherheits-Maßnahmen erfordern.

Document control
Owner: [POLICY_OWNER_ROLE, e.g. Information Security Officer]
Approved by: [APPROVER_NAME_AND_ROLE]
Version: [VERSION]
Effective date: [EFFECTIVE_DATE]
Next review: [NEXT_REVIEW_DATE]

1. Legal/Regulatory Basis

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Annex A — People Controls:

A 6.1 — Screening
A 6.2 — Terms and Conditions of Employment
A 6.3 — Information Security Awareness, Education and Training
A 6.4 — Disciplinary Process
A 6.5 — Responsibilities After Termination or Change of Employment
A 6.6 — Confidentiality or Non-Disclosure Agreements

BSI IT-Grundschutz:

ORP.2.A7 (Verification of Trustworthiness), ORP.2.A13 (Security Vetting)
ORP.2.A1 (Onboarding), ORP.2.A4 (External Personnel), ORP.2.A5 (NDAs), ORP.2.A14 (Duties & Responsibilities)
ORP.3 (Awareness & Training Programme)
ISMS.1.A8 (Handling of Security Incidents)
ORP.2.A2 (Offboarding Procedures)
CON.9.A9 (Confidentiality Agreements)

Additional jurisdiction-specific laws — in particular labour law, data protection law (GDPR), security vetting legislation and works council co-determination rules — are listed in the Legal Register and incorporated by reference.

2. Purpose & Scope

This policy establishes the information security requirements for personnel management at [YOUR_ORGANISATION_NAME]. It covers all phases of the employment lifecycle — from pre-employment screening through onboarding, ongoing awareness and training, to termination or change of responsibilities.

This policy applies to:

All employees (permanent, temporary, part-time)
External personnel (contractors, consultants, temporary staff)
Third-party service providers with access to organisational information or systems

The objective is to ensure that all personnel understand their information security responsibilities and are suitable for the roles they perform, thereby reducing the risk of human-related security incidents.

3. Pre-Employment Screening (A 6.1)

Background verification checks on all candidates for employment are carried out prior to joining [YOUR_ORGANISATION_NAME]. The screening process is performed for all personnel including full-time, part-time and temporary staff. Where individuals are contracted through suppliers of services, screening requirements are included in the contractual agreements between the organisation and the suppliers. The depth of screening is proportionate to the sensitivity of the role, the classification of information to be accessed and applicable legal requirements.

Information on all candidates is collected and handled taking into consideration applicable privacy and data protection legislation. Where required by law, candidates are informed beforehand about the screening activities.

3.1 Verification Measures

References: Availability of satisfactory character and professional references is verified (e.g. one professional, one personal reference).
Curriculum Vitae: The applicant's CV is reviewed for completeness, plausibility and correctness. Gaps or inconsistencies are clarified.
Qualifications: Claimed academic and professional qualifications are confirmed through original certificates, transcripts or direct verification with issuing institutions.
Identity Verification: Independent identity verification is carried out using a government-issued photo ID (passport, national ID card).
Enhanced Verification: For roles involving access to highly sensitive or classified information — including on promotion — additional checks are conducted (e.g. credit checks, criminal record checks, security clearance as per the applicable Security Clearance Act where relevant).

3.2 Competence & Trustworthiness

Competence Assessment: Candidates demonstrate that they possess the necessary competence to fulfil the security responsibilities of the role, particularly for positions with elevated access privileges.
Trustworthiness Assessment: The overall trustworthiness of the candidate is evaluated, especially for critical or sensitive roles. This includes assessing the plausibility and consistency of all submitted documentation.

3.3 Mitigation When Verification Is Incomplete

Delayed Onboarding: If background verification cannot be completed before the intended start date, onboarding is postponed until results are available.
Restricted Asset Deployment: Deployment of corporate assets (laptops, access badges, keys) is delayed until verification is complete.
Reduced Access: The new employee is onboarded with restricted access rights until verification results are satisfactory.
Termination: If verification results are unsatisfactory, [YOUR_ORGANISATION_NAME] reserves the right to terminate the employment relationship in accordance with applicable law.

3.4 Periodic Re-Verification

Verification checks are repeated periodically to confirm ongoing suitability of personnel, depending on the criticality of a person's role.

4. Terms & Conditions of Employment (A 6.2)

Employment contracts and agreements for all personnel at [YOUR_ORGANISATION_NAME] clearly state the individual's and the organisation's responsibilities for information security. These obligations are communicated and acknowledged before access to information or systems is granted. Information security roles and responsibilities are communicated to candidates during the pre-employment process.

4.1 Contractual Security Obligations

Confidentiality & Non-Disclosure: All personnel sign a confidentiality or non-disclosure agreement before being granted access to [YOUR_ORGANISATION_NAME]'s information assets. This agreement remains in effect during and after employment (see Section 8 on Confidentiality Agreements).
Legal Responsibilities: Personnel are informed of their legal responsibilities and rights regarding copyright, data protection legislation and other applicable regulations.
Asset & Classification Responsibilities: The employment terms specify the individual's responsibilities for handling information according to the organisation's classification scheme and for proper management of assigned assets.
Third-Party Information: Responsibilities for handling information received from or on behalf of interested parties (customers, partners, regulators) are documented in the employment agreement.
Consequences of Non-Compliance: The terms clearly state the actions to be taken if personnel disregard the organisation's security requirements, including reference to the disciplinary process.
Code of Conduct: A code of conduct covering information security and privacy responsibilities is provided to all personnel. Acknowledgement of the code is documented.

4.2 Onboarding Process

Upon joining, all new employees and external personnel receive a structured onboarding that includes:

Presentation of applicable policies, guidelines and procedures
Assignment of an onboarding mentor ("buddy") who serves as initial point of contact
Completion of a mandatory onboarding checklist covering security topics
Initial information security awareness briefing

4.3 Continuity & Review

Where appropriate, responsibilities contained within the terms and conditions of employment continue for a defined period after the end of the employment (see Section 7 on Termination below). The terms and conditions concerning information security are reviewed when laws, regulations, the information security policy or topic-specific policies change.

Where personnel are provided through an external party (e.g. through a supplier), the external party is required to enter into contractual agreements on behalf of the contracted individual that include equivalent information security obligations.

5. Information Security Awareness, Education & Training (A 6.3)

All personnel of [YOUR_ORGANISATION_NAME] receive appropriate information security awareness, education and training, and are kept informed of relevant updates to the organisation's policies and procedures. The awareness, education and training programme is established in line with the organisation's information security policy and relevant topic-specific policies, taking into consideration the information to be protected and the controls that have been implemented.

Initial awareness, education and training applies to new personnel and to those who transfer to new positions or roles with substantially different information security requirements. The programme takes place periodically thereafter.

5.1 Awareness Programme Content

The awareness programme covers general aspects including:

Management Commitment: The awareness programme communicates management's commitment to information security. Leadership actively supports and visibly champions security initiatives.
Rules & Obligations: Personnel are made familiar with all applicable information security rules, policies and their personal obligations for compliance.
Personal Accountability: The programme emphasises personal accountability for one's own actions and inactions and the responsibility to protect organisational information.
Basic Security Procedures: Basic security procedures (password management, clean desk, screen locking, phishing awareness, social engineering) and baseline controls relevant to the individual's role are covered.
Contact Points: Contact points and resources for additional information, advice and reporting (e.g. Information Security Officer, IT Helpdesk, incident reporting channels) are communicated.
Lessons Learned: Relevant lessons learned from past information security incidents (anonymised) are incorporated into the awareness programme to illustrate real-world risks and consequences.
Knowledge Assessment: At the end of awareness or training activities, a knowledge assessment (quiz, test or practical exercise) is conducted to verify the effectiveness of the training.

The programme includes awareness-raising activities via appropriate channels such as campaigns, booklets, posters, newsletters, websites, information sessions, briefings, e-learning modules and emails. The programme focuses not only on the "what" and "how", but also the "why" — it is important that personnel understand the aim of information security and the potential effect of their own behaviour on the organisation.

The training programme incorporates anonymised incident examples to illustrate real-world scenarios. Training covers incident reporting procedures, vulnerability recognition and threat awareness to enable personnel to identify and escalate potential security events effectively.

5.2 Education & Training Methods

The organisation identifies, prepares and implements an appropriate training plan for technical teams whose roles require specific skill sets and expertise. The education and training programme consists of the following forms:

Lectures & Self-Study: Structured training sessions (in-person or online) and self-study materials are provided. E-learning modules are acceptable where they include interactive elements and assessments.
Mentoring & On-the-Job Training: Expert staff or external consultants provide mentoring and on-the-job training for personnel in specialised security roles.
Job Rotation: Where feasible, staff are rotated through different activities to broaden their understanding of information security across the organisation.
Specialist Recruitment: For highly specialised security functions, the organisation recruits skilled professionals or engages external consultants with the required expertise.

Training and education can use different means of delivery including classroom-based, distance learning, web-based, self-paced and other formats. Information security awareness, education and training can be part of, or conducted in collaboration with, other activities (e.g. general information management, ICT, safety training).

5.3 Continuous Professional Development

Information Sources: The organisation subscribes to relevant security newsletters, bulletins and professional publications to stay informed about emerging threats and best practices.
Conferences & Events: Key personnel (ISOs, IT security staff) attend relevant conferences, workshops and professional events to maintain and improve their competencies.

5.4 Training Schedule & Records

The organisation maintains a training schedule that defines:

Target groups and their specific training needs (based on a target group analysis)
Training frequency (initial onboarding training plus periodic refresher, at least annually)
Training content and delivery method per target group
Responsibility for training delivery and coordination

Records of all training activities (attendance, completion, assessment results) are maintained as evidence for audit purposes. The learning outcomes are measured and evaluated (quantitatively and qualitatively) to determine whether the programme's objectives have been achieved. The results feed into the improvement of the awareness and training offering.

6. Disciplinary Process (A 6.4)

A formal disciplinary process is established and communicated to all personnel of [YOUR_ORGANISATION_NAME]. This process is not initiated without prior verification that an information security policy violation has occurred. The disciplinary process also serves as a deterrent to prevent personnel from violating the information security policy and related procedures.

6.1 Assessment Criteria

Before initiating disciplinary action, the following factors are assessed:

Nature & Gravity: The nature and gravity of the breach and its impact on the organisation are evaluated, including potential business, legal and reputational consequences.
Intent: Whether the offence was intentional (malicious or deliberate disregard) or unintentional (negligent, accidental, due to insufficient training).
Recurrence: Whether this is a first offence or a repeated violation by the same individual.
Training Status: Whether the individual had received adequate training and was aware of the relevant policies and their obligations at the time of the breach.

6.2 Escalation Levels

Depending on the severity and circumstances, disciplinary measures include (in order of escalation):

Verbal warning and documented discussion
Written warning with documented corrective actions
Temporary suspension of access rights
Mandatory additional training
Formal disciplinary hearing
Termination of employment or contract (in accordance with labour law)
Legal proceedings (in cases of criminal activity)

Deliberate information security policy violations require immediate action. The disciplinary process complies with applicable national labour law, statutory, regulatory and contractual requirements. Legal counsel and/or HR are involved in all formal disciplinary actions.

6.3 Additional Provisions

Identity Protection: Where possible, the identity of individuals subject to disciplinary action is protected in line with applicable data protection requirements.
Positive Reinforcement: When individuals demonstrate excellent behaviour with regard to information security, they can be rewarded to promote information security awareness and encourage good behaviour.

7. Responsibilities After Termination or Change of Employment (A 6.5)

The process for managing termination or change of employment at [YOUR_ORGANISATION_NAME] defines which information security responsibilities and duties remain valid after termination or change. This includes confidentiality of information, intellectual property and other knowledge obtained, as well as responsibilities contained within any other confidentiality agreement. Responsibilities still valid after termination of employment or contract are contained in the individual's terms and conditions of employment.

Change as Termination + Re-Initiation: Changes of responsibility or employment within the organisation are managed as a combination of a termination of the old assignment and initiation of the new one. This ensures that access rights, asset assignments and security responsibilities are properly updated.
Role Transfer: When a person leaves a position, all information security roles and responsibilities assigned to that individual are identified and transferred to a designated successor. The organisation maintains up-to-date emergency and continuity plans reflecting current personnel assignments.
Communication of Changes: A communication process is established to notify all relevant parties (HR, IT, facilities, management, external partners) of changes to personnel and their access rights.
External Personnel: The termination or change process also applies to external personnel (contractors, consultants, supplier staff). In the case of personnel provided through an external party, the termination process is undertaken by the external party in accordance with the contract between the organisation and the external party.

The human resources function is responsible for the overall termination process and works together with the supervising manager to manage the information security aspects of the relevant procedures.

7.1 Offboarding Checklist

Upon departure, the following steps are completed:

Return of all corporate assets (laptop, mobile devices, access badges, keys, parking permits)
Revocation of all logical access rights (user accounts, VPN, email, cloud services)
Revocation of physical access rights (building access, secure areas)
Knowledge transfer and handover documentation
Reminder of continuing obligations (confidentiality agreements, non-compete clauses)
Update of emergency plans, distribution lists and organisational charts

8. Confidentiality & Non-Disclosure Agreements (A 6.6)

Confidentiality or non-disclosure agreements (NDAs) reflecting [YOUR_ORGANISATION_NAME]'s requirements for the protection of information are identified, documented, regularly reviewed and signed by all relevant personnel and external parties before they are granted access to confidential information. The agreements address the requirement to protect confidential information using legally enforceable terms. Based on the organisation's information security requirements, the terms in the agreements are determined by taking into consideration the type of information handled, its classification level, its use and the permissible access by the other party.

8.1 Agreement Content

Each confidentiality agreement addresses the following elements, as applicable:

Scope of Protected Information: A clear definition of the information to be protected, including categories, classification levels and examples.
Duration: The expected duration of the agreement, including whether it is indefinite or time-limited, and the period of obligations after the end of the employment or contractual relationship.
Termination Actions: Required actions when the agreement is terminated, including secure return or destruction of confidential materials.
Disclosure Prevention: Responsibilities and actions of the signatory to prevent unauthorised disclosure of information (e.g. need-to-know principle, secure storage, encryption requirements).
Intellectual Property: Ownership of information, trade secrets and intellectual property and how these relate to the protection of confidential information.
Permitted Use: The permitted use of confidential information and the rights of the signatory to use information within the boundaries of the agreement.
Audit & Monitoring Rights: The right of the organisation to audit and monitor activities that involve confidential information.
Breach Notification: The process for notification and reporting of unauthorised disclosure or suspected breaches of confidentiality.
Return & Destruction: Terms for the return or certified destruction of information at agreement cessation, including digital and physical copies.
Non-Compliance Consequences: Expected actions in case of non-compliance with the agreement, including potential legal remedies and liability.

8.2 Applicability

Confidentiality agreements are required for:

All employees at the time of hiring (as part of the employment contract or as a separate agreement)
External personnel (contractors, consultants, temporary workers) before they access organisational information
Third-party service providers and business partners as part of contractual arrangements
Visitors who require access to sensitive areas or information (project-specific NDAs)

8.3 Signing Process

[YOUR_ORGANISATION_NAME] uses an advanced electronic signature process (e.g. in accordance with eIDAS Article 26) to obtain legally binding signatures on confidentiality agreements. The process includes identity verification, cryptographic document integrity protection and a tamper-evident audit trail capturing all signing events including timestamps and device information. Signed agreements are automatically archived as compliance records within the document management system.

8.4 Compliance & Review

The organisation takes into consideration the compliance with confidentiality and non-disclosure agreements for the jurisdiction(s) to which they apply. Requirements for confidentiality and non-disclosure agreements are reviewed periodically and when changes occur that influence these requirements. A register of all active confidentiality agreements is maintained to ensure agreements remain current and adequate.

9. Roles & Responsibilities

Top Management: Provides resources, sets the tone, and ensures this policy is enforced across the organisation.
Human Resources (HR): Implements screening, manages employment contracts, coordinates onboarding/offboarding, maintains training records.
Information Security Officer (ISO): Defines security requirements for personnel, designs awareness programme, monitors compliance, escalates breaches.
Line Managers: Ensure their team members comply with this policy, support training participation, initiate disciplinary process when needed.
IT Department: Manages logical access provisioning and revocation in coordination with HR.
All Personnel: Comply with this policy, participate in training, report security incidents and protect organisational information.

10. Review & Maintenance

This policy is reviewed:

At least annually as part of the ISMS management review cycle.
After significant organisational changes (restructuring, mergers, changes in applicable law).
After significant security incidents involving personnel.
When changes in the threat landscape require updated personnel security measures.

Sources

ISO/IEC 27002:2022 clauses 6.1–6.6 — the People Controls
BSI IT-Grundschutz ORP.2 — Personnel
BSI IT-Grundschutz ORP.3 — Awareness and Training
NIS2 Directive (EU 2022/2555) — Art. 21 risk management measures