Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Personenbezogene Kontrolle

A.6.2 — Beschäftigungsbedingungen

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.6.2 ISO 27001ISO 27002BSI ORP.2

Jeder Arbeitsvertrag regelt Gehalt, Arbeitszeit und Urlaubstage. Ob der neue Mitarbeiter vertrauliche Kundendaten schützen muss, was bei einem Sicherheitsvorfall zu tun ist und welche Konsequenzen ein Richtlinienverstoß hat — das steht in den wenigsten Verträgen. A.6.2 schließt diese Lücke: Informationssicherheitspflichten gehören in den Vertrag.

Die Kontrolle stellt sicher, dass alle Beschäftigten ihre Sicherheitsverantwortlichkeiten kennen und vertraglich akzeptiert haben, bevor sie Zugang zu Informationswerten erhalten.

Was verlangt die Norm?

  • Vertragliche Verankerung. Arbeitsverträge und Dienstleistungsvereinbarungen müssen die IS-Verantwortlichkeiten der jeweiligen Person enthalten — Vertraulichkeit, Sorgfaltspflichten, Meldepflichten.
  • Vor Arbeitsbeginn. Die vertraglichen Pflichten werden vor dem ersten Zugang zu Informationswerten unterzeichnet.
  • Rollenspezifisch. Die Pflichten richten sich nach der Rolle: Ein Entwickler mit Quellcode-Zugang hat andere Verantwortlichkeiten als ein Sachbearbeiter im Vertrieb.
  • Konsequenzen benennen. Der Vertrag stellt klar, welche Folgen ein Verstoß gegen Sicherheitsrichtlinien hat.
  • Aktualisierung bei Änderungen. Ändern sich Gesetze, Richtlinien oder die Rolle der Person, werden die vertraglichen Pflichten angepasst.

In der Praxis

Basis-IS-Anhang entwickeln. Der Anhang enthält mindestens: Vertraulichkeitspflicht, Pflicht zur Einhaltung der IS-Richtlinien, Meldepflicht bei Sicherheitsvorfällen, Umgang mit Informationswerten nach Vertragsende und Hinweis auf das Disziplinarverfahren. Dieser Anhang wird von der Rechtsabteilung geprüft und als Standarddokument in den Onboarding-Prozess integriert.

Bestehende Verträge nachziehen. Bei bereits beschäftigten Personen fehlt die IS-Klausel häufig. Ein pragmatischer Weg: Eine ergänzende Vereinbarung (Nachtrag) bei der nächsten Vertragsänderung oder im Rahmen einer unternehmensweiten Richtlinienaktualisierung unterschreiben lassen. Wichtig: Den Nachholbedarf dokumentieren und mit einem Zeitplan versehen.

Vertragsvorlagen zentral pflegen. HR verwaltet eine zentrale Vorlage, die bei jeder Änderung der IS-Richtlinien aktualisiert wird. So stellst du sicher, dass neue Verträge immer den aktuellen Stand abbilden. Versionierung und Änderungshistorie gehören dazu.

Externe Dienstleister einbeziehen. Für Freelancer, Berater und Zeitarbeitskräfte gelten dieselben Anforderungen. Die IS-Klauseln werden im Dienstleistungsvertrag oder in einer separaten Vereinbarung verankert. Der Einkauf sollte dafür eine Standardvorlage haben.

Typische Audit-Nachweise

Auditoren erwarten bei A.6.2 typischerweise diese Nachweise:

  • Personalsicherheitsrichtlinie — Regelwerk, das die vertraglichen Anforderungen definiert (→ Personalsicherheitsrichtlinie im Starter Kit)
  • Mustervertrag oder IS-Anhang — Standardvorlage mit IS-Klauseln
  • Unterschriebene Verträge — Stichprobe aktueller Verträge mit IS-Klauseln
  • Nachholplan — Dokumentation, wie Bestandsverträge ohne IS-Klauseln nachgezogen werden
  • Vertragsvorlagen für Externe — Dienstleistungsverträge mit IS-Klauseln

KPI

% der Arbeitsverträge mit aktuellen IS-Verantwortlichkeitsklauseln

Gemessen als Prozentsatz: Wie viele der aktiven Arbeitsverträge und Dienstleistungsvereinbarungen enthalten IS-Verantwortlichkeitsklauseln, die dem aktuellen Richtlinienstand entsprechen? Ziel: 100%. In der Praxis liegt die Quote bei Organisationen, die ihr ISMS erst aufbauen, bei 20–40%, weil Altverträge nachgezogen werden müssen.

Ergänzende KPIs:

  • Anteil der neu abgeschlossenen Verträge mit IS-Klauseln (sollte sofort bei 100% liegen)
  • Anzahl der Bestandsverträge, die noch nachgezogen werden müssen
  • Durchschnittliche Dauer zwischen Richtlinienänderung und Vertragsanpassung

BSI IT-Grundschutz

A.6.2 mappt auf mehrere Anforderungen im BSI-Baustein ORP.2 (Personal):

  • ORP.2.A1 (Geregelte Einarbeitung neuer Mitarbeitender) — fordert, dass neue Beschäftigte über ihre Sicherheitsverantwortlichkeiten informiert werden, bevor sie ihre Arbeit aufnehmen.
  • ORP.2.A4 (Regelungen für den Einsatz von Fremdpersonal) — spezifische Anforderungen an vertragliche Regelungen für externe Dienstleister und Zeitarbeitskräfte.
  • ORP.2.A5 (Vertraulichkeitsvereinbarungen) — fordert den Abschluss von Vertraulichkeitsvereinbarungen als Teil des Beschäftigungsverhältnisses.
  • ORP.2.A14 (Aufgaben und Zuständigkeiten) — verlangt die klare Zuweisung von Sicherheitsaufgaben zu Rollen und deren vertragliche Verankerung.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Brauche ich für jede Rolle einen eigenen Vertragszusatz?

Ein einheitlicher IS-Anhang für alle Arbeitsverträge deckt die Grundanforderungen ab. Für Rollen mit erhöhtem Zugang (Admin-Rechte, Zugang zu Kundendaten) empfiehlt sich ein ergänzender Zusatz, der die spezifischen Pflichten benennt. Zwei bis drei Vorlagen reichen in der Praxis für die meisten Organisationen.

Was muss nach Vertragsende weitergelten?

Vertraulichkeitspflichten enden typischerweise nicht mit dem Arbeitsverhältnis. Der Vertrag sollte eine Nachbindungsfrist definieren — üblich sind ein bis drei Jahre. Bei besonders sensiblen Rollen können längere Fristen oder unbefristete Vertraulichkeitspflichten sinnvoll sein.

Gelten die Anforderungen auch für Werkverträge und Freelancer?

Ja. A.6.2 fordert vertragliche IS-Klauseln für alle Personen, die Zugang zu Informationswerten erhalten. Bei Freelancern und Werkvertragnehmern geschieht das über den Dienstvertrag oder eine separate Vereinbarung. Entscheidend ist, dass die Pflichten dokumentiert und unterschrieben sind.