Muss ich wirklich jeden Bewerber überprüfen?

Ja. ISO 27001, A 6.1 verlangt eine Hintergrundüberprüfung für alle Bewerber — auch Teilzeitkräfte und Befristete. Die Tiefe der Prüfung ist allerdings verhältnismäßig: Ein Führungszeugnis für jeden Praktikanten verlangt niemand. Referenzen, Lebenslaufprüfung und Identitätsverifikation sind das Minimum. Erweiterte Prüfungen (Bonität, Sicherheitsüberprüfung) gelten für Rollen mit Zugang zu hochsensiblen Daten.

Was ist der Buddy im Onboarding-Prozess?

Unsere Vorlage sieht einen Onboarding-Mentor („Buddy“) als erste Anlaufstelle für neue Beschäftigte vor. Der Buddy beantwortet Alltagsfragen, erklärt interne Abläufe und sorgt dafür, dass Sicherheitsthemen nicht in der Informationsflut des ersten Arbeitstags untergehen. ISO schreibt den Buddy nicht vor — aber er ist in der Praxis eine der wirksamsten Maßnahmen gegen Onboarding-Lücken.

Reicht eine jährliche Schulung?

Mindestens. A 6.3 verlangt initiale Schulung beim Eintritt und periodische Auffrischung. Einmal im Jahr ist das Minimum, aber die Vorlage empfiehlt zusätzlich anlassbezogene Schulungen (nach Vorfällen, bei neuen Bedrohungen) und Wissensüberprüfungen am Ende jeder Schulung. Ein Quiz oder Test am Schluss ist die beste Möglichkeit, die Wirksamkeit nachzuweisen — und Auditor:innen fragen danach.

Was steht im Disziplinarverfahren?

Die Vorlage definiert sieben Eskalationsstufen: von der mündlichen Abmahnung über temporäre Zugriffssperrung und verpflichtende Nachschulung bis zur Kündigung und rechtlichen Schritten. Entscheidend ist, dass vor jeder Maßnahme vier Kriterien bewertet werden: Art und Schwere des Verstoßes, Vorsatz, Wiederholung und Schulungsstatus. Ohne diese Bewertung wird jede Disziplinarmaßnahme angreifbar.

Brauche ich die Richtlinie auch für Externe?

Ja. Die Vorlage gilt explizit für Auftragnehmer, Berater und Leiharbeitskräfte. Bei externem Personal, das über Dienstleister gestellt wird, müssen gleichwertige Informationssicherheits-Verpflichtungen im Lieferantenvertrag stehen. Das wird in Audits geprüft — besonders bei IT-Dienstleistern mit Systemzugriff.

Was passiert, wenn jemand geht?

Die Vorlage enthält eine Offboarding-Checkliste mit sechs Schritten: Asset-Rückgabe, Entzug logischer Zugriffsrechte, Entzug physischer Zugangsrechte, Wissenstransfer, Erinnerung an fortbestehende Vertraulichkeitspflichten und Aktualisierung von Notfallplänen. Außerdem wird jeder Rollenwechsel intern wie eine Beendigung plus Neuinitiierung behandelt — damit keine Rechte liegen bleiben.

Richtlinie zur Personalsicherheit

Die Personalsicherheitsrichtlinie begleitet jeden Menschen in deiner Organisation durch den gesamten Beschäftigungslebenszyklus — vom ersten Bewerbungsgespräch bis zum letzten Arbeitstag und darüber hinaus. Sie ist das Dokument, das sicherstellt, dass Sicherheit kein IT-Thema bleibt, sondern bei jeder Einstellung, jeder Schulung und jedem Austritt mitgedacht wird.

Sechs Annex-A-Controls (A 6.1 bis A 6.6) decken das gesamte Spektrum ab: Screening, Vertragsgestaltung, Awareness-Programm, Disziplinarverfahren, Offboarding und Vertraulichkeitsvereinbarungen. BSI IT-Grundschutz widmet dem Thema die Bausteine ORP.2 (Personal) und ORP.3 (Sensibilisierung und Schulung). Weiter unten findest du die vollständige Vorlage.

Was regelt diese Richtlinie?

Stell dir vor, eine neue Mitarbeiterin fängt an. Sie erhält am ersten Tag einen Laptop, VPN-Zugang und Zugriff auf drei interne Systeme. Drei Monate später hat sie den Sicherheits-Awareness-Kurs verpasst. Ein Jahr später wechselt sie die Abteilung, behält aber alle alten Zugriffe. Zwei Jahre später verlässt sie das Unternehmen — der VPN-Zugang bleibt aktiv, weil HR und IT nicht kommunizieren.

Die Personalsicherheitsrichtlinie verhindert genau dieses Szenario. Sie definiert, was vor der Einstellung geprüft wird, was am ersten Tag passiert, wie laufende Schulungen organisiert sind, was bei Verstößen geschieht, und wie der Austritt ablaufen muss.

Warum ist sie wichtig?

Der größte Risikofaktor in der Informationssicherheit ist der Mensch. Phishing-Angriffe, Social Engineering, versehentliche Datenweitergabe, verlorene Laptops — hinter jedem dieser Vorfälle steht eine Person, die entweder nicht geschult war, nicht überprüft wurde oder deren Zugriffsrechte nach dem Austritt nicht entzogen wurden.

ISO 27001 hat dem Thema deshalb eine eigene Control-Kategorie gewidmet: die „People Controls“ (A 6.1–6.6). Das ist kein Zufall. Technische Maßnahmen schützen Systeme, aber nur Personalsicherheitsmaßnahmen schützen die Menschen, die diese Systeme bedienen.

Außerdem hat die Richtlinie einen praktischen Nebeneffekt: Sie schützt deine Organisation arbeitsrechtlich. Ohne dokumentiertes Screening, ohne bestätigte Sicherheitsverpflichtungen und ohne ein formales Disziplinarverfahren wird es schwierig, bei Verstößen Konsequenzen durchzusetzen.

Was steht in der Vorlage?

Die Vorlage deckt zehn Abschnitte ab. Hier die wichtigsten Inhalte:

Vorabüberprüfung (A 6.1) — Fünf Verifikationsmaßnahmen (Referenzen, Lebenslauf, Qualifikationen, Identität, erweiterte Prüfung für sensible Rollen), Kompetenz- und Vertrauenswürdigkeitsbewertung, Vorgehen bei unvollständiger Überprüfung (Onboarding verzögern, Zugriff einschränken), periodische Nachprüfung
Beschäftigungsbedingungen (A 6.2) — Sechs vertragliche Sicherheitsverpflichtungen (Vertraulichkeit, Rechte, Asset-Verantwortung, Drittinformationen, Konsequenzen, Verhaltenskodex), strukturierter Onboarding-Prozess mit Buddy-System und Checkliste
Sensibilisierung und Schulung (A 6.3) — Inhalte (Leadership-Commitment, Regeln, persönliche Verantwortlichkeit, Basics, Kontaktpunkte, Lessons Learned), Wissensüberprüfung nach jeder Schulung, vier Schulungsformen (Vorträge, Mentoring, Jobrotation, Fachrekrutierung), Schulungsplan mit Zielgruppenanalyse
Disziplinarverfahren (A 6.4) — Vier Bewertungskriterien (Art/Schwere, Vorsatz, Wiederholung, Schulungsstatus), sieben Eskalationsstufen, positive Verstärkung für vorbildliches Verhalten
Pflichten nach Austritt (A 6.5) — Rollenwechsel = Beendigung + Neuinitiierung, Offboarding-Checkliste mit sechs Schritten, Kommunikationsprozess an alle relevanten Parteien
Vertraulichkeitsvereinbarungen (A 6.6) — Zehn inhaltliche Elemente, vier Personengruppen (Beschäftigte, Externe, Dienstleister, Besucher), elektronische Signatur nach eIDAS, Register aktiver NDAs

So führst du die Richtlinie ein

01

Ist-Zustand erheben

Finde heraus, wie Screening, Onboarding und Offboarding heute tatsächlich laufen. In vielen Organisationen existiert ein informeller Prozess, der nirgends dokumentiert ist. Frag HR: Gibt es eine Onboarding-Checkliste? Werden Referenzen tatsächlich geprüft? Wird bei Austritt eine Offboarding-Checkliste abgearbeitet? Die Antworten zeigen dir, wie weit du von der Vorlage entfernt bist.
02

HR und IT an einen Tisch bringen

Die Richtlinie lebt an der Schnittstelle von HR und IT. HR verwaltet Verträge, Schulungen und den Personallebenszyklus. IT verwaltet Zugriffsrechte und Systeme. Ohne einen funktionierenden Prozess zwischen beiden — insbesondere bei Eintritt, Rollenwechsel und Austritt — bleiben Zugriffe aktiv, die längst hätten entzogen werden müssen.
03

Schulungsprogramm aufsetzen

Definiere Zielgruppen (alle Beschäftigten, technische Teams, Führungskräfte), Inhalte und Frequenz. Die Vorlage verlangt mindestens eine jährliche Auffrischung plus initiale Schulung beim Eintritt. Entscheidend: Jede Schulung endet mit einer Wissensüberprüfung (Quiz, Test, praktische Übung). Ohne diesen Nachweis bleibt die Wirksamkeit im Audit unbelegt.
04

Vorlage anpassen und genehmigen

Ersetze die Platzhalter, streiche Abschnitte, die nicht zutreffen (z.B. Sicherheitsüberprüfung nach SÜG, wenn ihr keine VS-Bereiche habt), und lasse die Richtlinie von der Geschäftsleitung genehmigen. In Deutschland: Prüfe, ob der Betriebsrat bei Überwachungsaspekten der Schulung (z.B. Tracking von Abschlussquoten) mitbestimmungspflichtig ist.
05

Offboarding-Prozess operationalisieren

Die Offboarding-Checkliste in der Vorlage enthält sechs Schritte: Asset-Rückgabe, logische Zugriffe entziehen, physische Zugriffe entziehen, Wissenstransfer, Erinnerung an Vertraulichkeitspflichten, Notfallpläne aktualisieren. Mach daraus einen verbindlichen Prozess mit klarer Verantwortlichkeit — HR initiiert, IT führt aus, Führungskraft bestätigt.

Wo es in der Praxis schiefgeht

Aus Audit-Erfahrung, nach Häufigkeit sortiert:

1. Kein Screening-Nachweis. Es wurde vielleicht geprüft, aber es gibt keine Dokumentation. Im Audit zählt nur, was nachweisbar ist. Ohne schriftliche Referenzprüfung und Identitätsverifikation gilt die Überprüfung als nicht durchgeführt.

2. Awareness-Schulung ohne Wissenstest. Die Schulung fand statt, es gibt eine Anwesenheitsliste — aber keinen Nachweis, dass die Inhalte verstanden wurden. Ein kurzer Test am Ende jeder Schulung ist der einfachste Weg, Wirksamkeit zu dokumentieren.

3. Offboarding-Lücken. Der Laptop kam zurück, aber der VPN-Zugang läuft noch. Oder: Die E-Mail-Adresse ist deaktiviert, aber der Cloud-Storage-Account bleibt aktiv. Offboarding scheitert fast immer an der Koordination zwischen HR und IT.

4. Externe ohne gleichwertige Verpflichtungen. Der IT-Dienstleister hat vollen Systemzugriff, aber im Vertrag stehen keine Informationssicherheits-Verpflichtungen. Auditor:innen prüfen das gezielt — besonders bei Dienstleistern mit privilegiertem Zugang.

5. Disziplinarverfahren nur auf dem Papier. Die Richtlinie beschreibt sieben Eskalationsstufen, aber niemand hat sie je angewendet. Das ist nicht zwingend ein Problem (idealerweise braucht man sie nie). Aber es muss einen benannten Prozess-Eigentümer geben, und die Führungskräfte müssen wissen, wie sie einen Vorfall eskalieren.

6. NDAs unterschrieben, aber nie überprüft. Die Vertraulichkeitsvereinbarung wurde beim Eintritt unterzeichnet und danach nie wieder angefasst. Die Vorlage verlangt ein Register aller aktiven NDAs und periodische Überprüfung — besonders relevant, wenn sich Rollen ändern oder neue Informationskategorien hinzukommen.

Vorlage: Richtlinie zur Personalsicherheit

Dokumentenkontrolle
Eigentümer: [RICHTLINIEN_EIGENTÜMER_ROLLE, z. B. Informationssicherheitsbeauftragte/r]
Genehmigt von: [GENEHMIGER_NAME_UND_ROLLE]
Version: [VERSION]
Gültig ab: [GÜLTIGKEITSDATUM]
Nächste Überprüfung: [NÄCHSTES_ÜBERPRÜFUNGSDATUM]

1. Rechtliche/Regulatorische Grundlage

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Anhang A — Personenbezogene Maßnahmen:

A 6.1 — Überprüfung (Screening)
A 6.2 — Beschäftigungsbedingungen
A 6.3 — Informationssicherheits-Sensibilisierung, -Ausbildung und -Schulung
A 6.4 — Disziplinarverfahren
A 6.5 — Verantwortlichkeiten nach Beendigung oder Änderung des Beschäftigungsverhältnisses
A 6.6 — Vertraulichkeits- oder Geheimhaltungsvereinbarungen

BSI IT-Grundschutz:

ORP.2.A7 (Überprüfung der Vertrauenswürdigkeit), ORP.2.A13 (Sicherheitsüberprüfung)
ORP.2.A1 (Onboarding), ORP.2.A4 (Externes Personal), ORP.2.A5 (Verschwiegenheitsvereinbarungen), ORP.2.A14 (Pflichten und Verantwortlichkeiten)
ORP.3 (Sensibilisierungs- und Schulungsprogramm)
ISMS.1.A8 (Behandlung von Sicherheitsvorfällen)
ORP.2.A2 (Offboarding-Verfahren)
CON.9.A9 (Vertraulichkeitsvereinbarungen)

Weitere jurisdiktionsspezifische Gesetze — insbesondere Arbeitsrecht, Datenschutzrecht (DSGVO), Sicherheitsüberprüfungsgesetz (SÜG) und Betriebsverfassungsgesetz — sind im Rechtsregister aufgeführt und werden durch Verweis einbezogen.

2. Zweck & Geltungsbereich

Diese Richtlinie legt die Anforderungen der Informationssicherheit an das Personalmanagement bei [IHR_ORGANISATIONSNAME] fest. Sie deckt alle Phasen des Beschäftigungslebenszyklus ab — von der Vorabüberprüfung über das Onboarding und die laufende Sensibilisierung und Schulung bis zur Beendigung oder Änderung der Verantwortlichkeiten.

Diese Richtlinie gilt für:

Alle Beschäftigten (unbefristet, befristet, Teilzeit)
Externes Personal (Auftragnehmer, Berater, Leiharbeitskräfte)
Drittanbieter mit Zugang zu organisatorischen Informationen oder Systemen

Ziel ist es, sicherzustellen, dass alle Personen ihre Verantwortung für die Informationssicherheit verstehen und für die von ihnen ausgeübten Rollen geeignet sind, um so das Risiko menschenbezogener Sicherheitsvorfälle zu reduzieren.

3. Vorabüberprüfung vor Einstellung (A 6.1)

Hintergrundüberprüfungen aller Bewerber werden vor Aufnahme der Beschäftigung bei [IHR_ORGANISATIONSNAME] durchgeführt. Der Überprüfungsprozess wird für alle Personen einschließlich Vollzeit-, Teilzeit- und befristet Beschäftigter durchgeführt. Wenn Personen über Dienstleister beauftragt werden, werden Überprüfungsanforderungen in die vertraglichen Vereinbarungen zwischen der Organisation und den Lieferanten aufgenommen. Die Tiefe der Überprüfung ist der Sensibilität der Rolle, der Klassifizierung der zugänglichen Informationen und den geltenden rechtlichen Anforderungen angemessen.

Informationen über alle Bewerber werden unter Berücksichtigung geltender Datenschutzgesetzgebung erhoben und behandelt. Wo gesetzlich erforderlich, werden Bewerber vorab über die Überprüfungsmaßnahmen informiert.

3.1 Überprüfungsmaßnahmen

Referenzen: Die Verfügbarkeit zufriedenstellender persönlicher und beruflicher Referenzen wird geprüft (z. B. eine berufliche, eine persönliche Referenz).
Lebenslauf: Der Lebenslauf des Bewerbers wird auf Vollständigkeit, Plausibilität und Richtigkeit geprüft. Lücken oder Widersprüche werden geklärt.
Qualifikationen: Angegebene akademische und berufliche Qualifikationen werden durch Originalzeugnisse, Zeugnisabschriften oder direkte Verifizierung bei den ausstellenden Institutionen bestätigt.
Identitätsprüfung: Eine unabhängige Identitätsprüfung erfolgt anhand eines amtlichen Lichtbildausweises (Personalausweis, Reisepass).
Erweiterte Überprüfung: Für Rollen mit Zugang zu hochsensiblen oder als Verschlusssache klassifizierten Informationen — auch bei Beförderung — werden zusätzliche Prüfungen durchgeführt (z. B. Bonitätsprüfung, Führungszeugnis, Sicherheitsüberprüfung gemäß geltendem Sicherheitsüberprüfungsgesetz, sofern anwendbar).

3.2 Kompetenz & Vertrauenswürdigkeit

Kompetenzbewertung: Bewerber weisen nach, dass sie die notwendige Kompetenz zur Erfüllung der sicherheitsrelevanten Verantwortlichkeiten der Rolle besitzen, insbesondere für Positionen mit erhöhten Zugriffsrechten.
Bewertung der Vertrauenswürdigkeit: Die allgemeine Vertrauenswürdigkeit des Bewerbers wird bewertet, insbesondere für kritische oder sensible Rollen. Dies umfasst die Bewertung der Plausibilität und Konsistenz aller eingereichten Unterlagen.

3.3 Maßnahmen bei unvollständiger Überprüfung

Verzögertes Onboarding: Kann die Hintergrundüberprüfung nicht vor dem geplanten Eintrittsdatum abgeschlossen werden, wird das Onboarding bis zum Vorliegen der Ergebnisse verschoben.
Eingeschränkte Asset-Bereitstellung: Die Bereitstellung von Firmen-Assets (Laptops, Zugangsausweise, Schlüssel) wird bis zum Abschluss der Überprüfung verzögert.
Eingeschränkter Zugriff: Der neue Beschäftigte wird mit eingeschränkten Zugriffsrechten onboardet, bis die Überprüfungsergebnisse zufriedenstellend sind.
Beendigung: Sind die Überprüfungsergebnisse nicht zufriedenstellend, behält sich [IHR_ORGANISATIONSNAME] das Recht vor, das Beschäftigungsverhältnis gemäß geltendem Recht zu beenden.

3.4 Periodische Nachüberprüfung

Überprüfungen werden periodisch wiederholt, um die fortwährende Eignung des Personals zu bestätigen, abhängig von der Kritikalität der jeweiligen Rolle.

4. Beschäftigungsbedingungen (A 6.2)

Arbeits- und Dienstleistungsverträge für alle Beschäftigten bei [IHR_ORGANISATIONSNAME] benennen klar die Verantwortlichkeiten der Einzelperson und der Organisation für die Informationssicherheit. Diese Verpflichtungen werden kommuniziert und bestätigt, bevor Zugriff auf Informationen oder Systeme gewährt wird. Rollen und Verantwortlichkeiten der Informationssicherheit werden Bewerbern im Vorbeschäftigungsprozess kommuniziert.

4.1 Vertragliche Sicherheitsverpflichtungen

Vertraulichkeit & Geheimhaltung: Alle Beschäftigten unterzeichnen eine Vertraulichkeits- oder Geheimhaltungsvereinbarung, bevor sie Zugriff auf Informationswerte von [IHR_ORGANISATIONSNAME] erhalten. Diese Vereinbarung bleibt während und nach dem Beschäftigungsverhältnis in Kraft (siehe Abschnitt 8 zu Vertraulichkeitsvereinbarungen).
Rechtliche Verantwortlichkeiten: Beschäftigte werden über ihre rechtlichen Verantwortlichkeiten und Rechte bezüglich Urheberrecht, Datenschutzgesetzgebung und anderer geltender Vorschriften informiert.
Asset- & Klassifizierungs-Verantwortlichkeiten: Die Beschäftigungsbedingungen spezifizieren die individuellen Verantwortlichkeiten für den Umgang mit Informationen gemäß dem Klassifizierungsschema der Organisation und für die ordnungsgemäße Verwaltung zugewiesener Assets.
Drittinformationen: Verantwortlichkeiten für den Umgang mit Informationen, die von oder im Auftrag interessierter Parteien (Kunden, Partner, Regulierungsbehörden) empfangen werden, sind im Arbeitsvertrag dokumentiert.
Konsequenzen bei Nichteinhaltung: Die Bedingungen benennen klar die Maßnahmen, die bei Missachtung der Sicherheitsanforderungen der Organisation zu ergreifen sind, einschließlich eines Verweises auf das Disziplinarverfahren.
Verhaltenskodex: Ein Verhaltenskodex, der Verantwortlichkeiten für Informationssicherheit und Datenschutz abdeckt, wird allen Beschäftigten bereitgestellt. Die Bestätigung des Kodex wird dokumentiert.

4.2 Onboarding-Prozess

Beim Eintritt durchlaufen alle neuen Beschäftigten und externen Personen ein strukturiertes Onboarding, das Folgendes umfasst:

Vorstellung der anwendbaren Richtlinien, Leitlinien und Verfahren
Zuweisung eines Onboarding-Mentors („Buddy"), der als erste Anlaufstelle dient
Abschluss einer verpflichtenden Onboarding-Checkliste, die Sicherheitsthemen abdeckt
Initiales Informationssicherheits-Sensibilisierungsbriefing

4.3 Kontinuität & Überprüfung

Wo angemessen, gelten die in den Beschäftigungsbedingungen enthaltenen Verantwortlichkeiten für einen definierten Zeitraum nach Beendigung des Beschäftigungsverhältnisses fort (siehe Abschnitt 7 zur Beendigung). Die Beschäftigungsbedingungen zur Informationssicherheit werden überprüft, wenn sich Gesetze, Vorschriften, die Informationssicherheitsrichtlinie oder themenspezifische Richtlinien ändern.

Wenn Personal über eine externe Partei (z. B. einen Lieferanten) gestellt wird, ist die externe Partei verpflichtet, im Auftrag der beauftragten Einzelperson vertragliche Vereinbarungen einzugehen, die gleichwertige Informationssicherheits-Verpflichtungen enthalten.

5. Informationssicherheits-Sensibilisierung, -Ausbildung und -Schulung (A 6.3)

Alle Personen von [IHR_ORGANISATIONSNAME] erhalten eine angemessene Sensibilisierung, Ausbildung und Schulung zur Informationssicherheit und werden über relevante Aktualisierungen der Richtlinien und Verfahren der Organisation auf dem Laufenden gehalten. Das Sensibilisierungs-, Ausbildungs- und Schulungsprogramm wird im Einklang mit der Informationssicherheitsrichtlinie und den relevanten themenspezifischen Richtlinien etabliert, unter Berücksichtigung der zu schützenden Informationen und der implementierten Maßnahmen.

Die initiale Sensibilisierung, Ausbildung und Schulung gilt für neue Beschäftigte und für solche, die in neue Positionen oder Rollen mit wesentlich anderen Informationssicherheits-Anforderungen wechseln. Das Programm findet danach periodisch statt.

5.1 Inhalte des Sensibilisierungsprogramms

Das Sensibilisierungsprogramm deckt allgemeine Aspekte ab, einschließlich:

Engagement der Geschäftsleitung: Das Sensibilisierungsprogramm vermittelt das Engagement der Geschäftsleitung für Informationssicherheit. Die Führungsebene unterstützt Sicherheitsinitiativen aktiv und sichtbar.
Regeln & Verpflichtungen: Beschäftigte werden mit allen geltenden Informationssicherheitsregeln, Richtlinien und ihren persönlichen Einhaltungsverpflichtungen vertraut gemacht.
Persönliche Verantwortlichkeit: Das Programm betont die persönliche Verantwortung für eigenes Handeln und Unterlassen sowie die Pflicht, organisatorische Informationen zu schützen.
Grundlegende Sicherheitsverfahren: Grundlegende Sicherheitsverfahren (Passwortmanagement, Clean Desk, Bildschirmsperre, Phishing-Bewusstsein, Social Engineering) und für die jeweilige Rolle relevante Basismaßnahmen werden behandelt.
Kontaktpunkte: Kontaktpunkte und Ressourcen für zusätzliche Informationen, Beratung und Meldung (z. B. Informationssicherheitsbeauftragte/r, IT-Helpdesk, Vorfallmeldewege) werden kommuniziert.
Lessons Learned: Relevante Erkenntnisse aus vergangenen Informationssicherheitsvorfällen (anonymisiert) werden in das Sensibilisierungsprogramm aufgenommen, um reale Risiken und Konsequenzen zu veranschaulichen.
Wissensüberprüfung: Am Ende von Sensibilisierungs- oder Schulungsaktivitäten wird eine Wissensüberprüfung (Quiz, Test oder praktische Übung) durchgeführt, um die Wirksamkeit der Schulung zu verifizieren.

Das Programm umfasst Sensibilisierungsaktivitäten über geeignete Kanäle wie Kampagnen, Broschüren, Poster, Newsletter, Websites, Informationsveranstaltungen, Briefings, E-Learning-Module und E-Mails. Das Programm konzentriert sich nicht nur auf das „Was" und „Wie", sondern auch auf das „Warum" — es ist wichtig, dass Beschäftigte das Ziel der Informationssicherheit und die potenziellen Auswirkungen ihres eigenen Verhaltens auf die Organisation verstehen.

Das Schulungsprogramm bezieht anonymisierte Vorfallbeispiele ein, um reale Szenarien zu veranschaulichen. Schulungen decken Vorfallmeldeverfahren, Schwachstellenerkennung und Bedrohungsbewusstsein ab, um Personen zu befähigen, potenzielle Sicherheitsereignisse wirksam zu identifizieren und zu eskalieren.

5.2 Ausbildungs- & Schulungsmethoden

Die Organisation identifiziert, bereitet vor und setzt einen angemessenen Schulungsplan für technische Teams um, deren Rollen spezifische Fähigkeiten und Fachkenntnisse erfordern. Das Ausbildungs- und Schulungsprogramm besteht aus folgenden Formen:

Vorträge & Selbststudium: Strukturierte Schulungen (in Präsenz oder online) und Selbstlernmaterialien werden bereitgestellt. E-Learning-Module sind akzeptabel, wenn sie interaktive Elemente und Bewertungen enthalten.
Mentoring & On-the-Job-Training: Fachpersonal oder externe Berater bieten Mentoring und praktische Schulung für Personen in spezialisierten Sicherheitsrollen.
Jobrotation: Wo machbar, werden Beschäftigte durch verschiedene Aktivitäten rotiert, um ihr Verständnis der Informationssicherheit in der gesamten Organisation zu erweitern.
Rekrutierung von Fachkräften: Für hochspezialisierte Sicherheitsfunktionen rekrutiert die Organisation qualifizierte Fachkräfte oder beauftragt externe Berater mit der erforderlichen Expertise.

Schulung und Ausbildung können verschiedene Lieferformen nutzen, einschließlich klassenzimmerbasierter, Fernlern-, webbasierter, selbstgesteuerter und anderer Formate. Informationssicherheits-Sensibilisierung, -Ausbildung und -Schulung können Teil anderer Aktivitäten sein oder in Zusammenarbeit mit ihnen durchgeführt werden (z. B. allgemeines Informationsmanagement, IKT, Sicherheits-Training).

5.3 Kontinuierliche berufliche Weiterbildung

Informationsquellen: Die Organisation abonniert relevante Sicherheits-Newsletter, Bulletins und Fachpublikationen, um über aufkommende Bedrohungen und Best Practices informiert zu bleiben.
Konferenzen & Veranstaltungen: Schlüsselpersonen (ISBs, IT-Sicherheitspersonal) nehmen an relevanten Konferenzen, Workshops und Fachveranstaltungen teil, um ihre Kompetenzen zu erhalten und zu verbessern.

5.4 Schulungsplan & Aufzeichnungen

Die Organisation pflegt einen Schulungsplan, der Folgendes definiert:

Zielgruppen und ihre spezifischen Schulungsbedarfe (basierend auf einer Zielgruppenanalyse)
Schulungshäufigkeit (initiale Onboarding-Schulung plus periodische Auffrischung, mindestens jährlich)
Schulungsinhalt und Liefermethode pro Zielgruppe
Verantwortung für Schulungsdurchführung und -koordination

Aufzeichnungen aller Schulungsaktivitäten (Anwesenheit, Abschluss, Bewertungsergebnisse) werden als Nachweis für Auditzwecke geführt. Die Lernergebnisse werden gemessen und (quantitativ und qualitativ) bewertet, um festzustellen, ob die Programmziele erreicht wurden. Die Ergebnisse fließen in die Verbesserung des Sensibilisierungs- und Schulungsangebots ein.

6. Disziplinarverfahren (A 6.4)

Ein formales Disziplinarverfahren ist etabliert und allen Personen von [IHR_ORGANISATIONSNAME] kommuniziert. Dieses Verfahren wird nicht ohne vorherige Verifizierung eingeleitet, dass ein Verstoß gegen die Informationssicherheitsrichtlinie stattgefunden hat. Das Disziplinarverfahren dient auch als Abschreckung, um Beschäftigte davon abzuhalten, gegen die Informationssicherheitsrichtlinie und zugehörige Verfahren zu verstoßen.

6.1 Bewertungskriterien

Vor Einleitung disziplinarischer Maßnahmen werden folgende Faktoren bewertet:

Art & Schwere: Art und Schwere des Verstoßes sowie seine Auswirkungen auf die Organisation werden bewertet, einschließlich potenzieller geschäftlicher, rechtlicher und reputationsbezogener Konsequenzen.
Vorsatz: Ob der Verstoß vorsätzlich (böswillig oder bewusste Missachtung) oder unbeabsichtigt (fahrlässig, versehentlich, aufgrund unzureichender Schulung) war.
Wiederholung: Ob es sich um einen Erstverstoß oder einen wiederholten Verstoß derselben Person handelt.
Schulungsstatus: Ob die Person angemessene Schulungen erhalten hat und zum Zeitpunkt des Verstoßes die relevanten Richtlinien und ihre Verpflichtungen kannte.

6.2 Eskalationsstufen

Abhängig von Schwere und Umständen umfassen disziplinarische Maßnahmen (in aufsteigender Reihenfolge):

Mündliche Abmahnung und dokumentiertes Gespräch
Schriftliche Abmahnung mit dokumentierten Korrekturmaßnahmen
Temporäre Aussetzung von Zugriffsrechten
Verpflichtende Nachschulung
Formale Disziplinaranhörung
Beendigung des Beschäftigungsverhältnisses oder Vertrags (im Einklang mit dem Arbeitsrecht)
Rechtliche Schritte (bei strafrechtlich relevanten Handlungen)

Vorsätzliche Verstöße gegen die Informationssicherheitsrichtlinie erfordern sofortige Maßnahmen. Das Disziplinarverfahren entspricht geltendem nationalen Arbeitsrecht sowie gesetzlichen, regulatorischen und vertraglichen Anforderungen. Rechtsberatung und/oder HR werden bei allen formellen Disziplinarmaßnahmen einbezogen.

6.3 Zusätzliche Bestimmungen

Identitätsschutz: Wo möglich, wird die Identität von Personen, gegen die disziplinarische Maßnahmen ergriffen werden, im Einklang mit geltenden Datenschutzanforderungen geschützt.
Positive Verstärkung: Wenn Personen vorbildliches Verhalten in Bezug auf die Informationssicherheit zeigen, können sie belohnt werden, um das Informationssicherheits-Bewusstsein zu fördern und gutes Verhalten zu ermutigen.

7. Verantwortlichkeiten nach Beendigung oder Änderung des Beschäftigungsverhältnisses (A 6.5)

Der Prozess zur Verwaltung der Beendigung oder Änderung des Beschäftigungsverhältnisses bei [IHR_ORGANISATIONSNAME] definiert, welche Informationssicherheitsverantwortlichkeiten und -pflichten nach Beendigung oder Änderung weiterhin gelten. Dies umfasst die Vertraulichkeit von Informationen, geistigem Eigentum und anderem erworbenen Wissen sowie Verantwortlichkeiten aus anderen Vertraulichkeitsvereinbarungen. Nach Beendigung des Beschäftigungsverhältnisses oder Vertrags weiterhin gültige Verantwortlichkeiten sind in den Beschäftigungsbedingungen der Einzelperson enthalten.

Änderung als Beendigung + Neuinitiierung: Änderungen der Verantwortung oder des Beschäftigungsverhältnisses innerhalb der Organisation werden als Kombination aus Beendigung der alten Zuweisung und Initiierung der neuen behandelt. Dies stellt sicher, dass Zugriffsrechte, Asset-Zuweisungen und Sicherheitsverantwortlichkeiten ordnungsgemäß aktualisiert werden.
Rollenübertragung: Wenn eine Person eine Position verlässt, werden alle dieser Person zugewiesenen Informationssicherheitsrollen und -verantwortlichkeiten identifiziert und auf einen benannten Nachfolger übertragen. Die Organisation pflegt aktuelle Notfall- und Kontinuitätspläne, die den aktuellen Personalstand widerspiegeln.
Kommunikation von Änderungen: Ein Kommunikationsprozess ist etabliert, um alle relevanten Parteien (HR, IT, Gebäudeverwaltung, Management, externe Partner) über Personaländerungen und ihre Zugriffsrechte zu benachrichtigen.
Externes Personal: Der Beendigungs- oder Änderungsprozess gilt auch für externes Personal (Auftragnehmer, Berater, Lieferantenpersonal). Bei Personen, die über eine externe Partei gestellt werden, wird der Beendigungsprozess von der externen Partei gemäß dem Vertrag zwischen der Organisation und der externen Partei durchgeführt.

Die Personalabteilung ist für den Gesamtprozess der Beendigung verantwortlich und arbeitet mit der/dem vorgesetzten Führungskraft zusammen, um die informationssicherheitsrelevanten Aspekte der relevanten Verfahren zu steuern.

7.1 Offboarding-Checkliste

Bei Austritt werden folgende Schritte durchgeführt:

Rückgabe aller Firmen-Assets (Laptop, mobile Geräte, Zugangsausweise, Schlüssel, Parkausweise)
Widerruf aller logischen Zugriffsrechte (Benutzerkonten, VPN, E-Mail, Cloud-Dienste)
Widerruf physischer Zugangsrechte (Gebäudezugang, Sicherheitsbereiche)
Wissenstransfer und Übergabedokumentation
Erinnerung an fortbestehende Verpflichtungen (Vertraulichkeitsvereinbarungen, Wettbewerbsverbote)
Aktualisierung von Notfallplänen, Verteilerlisten und Organigrammen

8. Vertraulichkeits- & Geheimhaltungsvereinbarungen (A 6.6)

Vertraulichkeits- oder Geheimhaltungsvereinbarungen (NDAs), die die Anforderungen von [IHR_ORGANISATIONSNAME] an den Schutz von Informationen widerspiegeln, werden identifiziert, dokumentiert, regelmäßig überprüft und von allen relevanten Personen und externen Parteien unterzeichnet, bevor ihnen Zugriff auf vertrauliche Informationen gewährt wird. Die Vereinbarungen adressieren die Anforderung, vertrauliche Informationen mit rechtlich durchsetzbaren Bedingungen zu schützen. Basierend auf den Informationssicherheits-Anforderungen der Organisation werden die Bedingungen der Vereinbarungen unter Berücksichtigung der Art der verarbeiteten Informationen, ihrer Klassifizierungsstufe, ihrer Nutzung und des zulässigen Zugriffs durch die andere Partei bestimmt.

8.1 Inhalt der Vereinbarung

Jede Vertraulichkeitsvereinbarung adressiert die folgenden Elemente, soweit zutreffend:

Umfang der geschützten Informationen: Eine klare Definition der zu schützenden Informationen, einschließlich Kategorien, Klassifizierungsstufen und Beispielen.
Dauer: Die erwartete Dauer der Vereinbarung, einschließlich ob sie unbefristet oder zeitlich begrenzt ist, und der Zeitraum der Verpflichtungen nach dem Ende des Beschäftigungs- oder Vertragsverhältnisses.
Maßnahmen bei Beendigung: Erforderliche Maßnahmen bei Beendigung der Vereinbarung, einschließlich sicherer Rückgabe oder Vernichtung vertraulicher Materialien.
Verhinderung der Offenlegung: Verantwortlichkeiten und Maßnahmen der unterzeichnenden Person zur Verhinderung unbefugter Offenlegung von Informationen (z. B. Need-to-know-Prinzip, sichere Speicherung, Verschlüsselungsanforderungen).
Geistiges Eigentum: Eigentum an Informationen, Geschäftsgeheimnissen und geistigem Eigentum und wie sich diese zum Schutz vertraulicher Informationen verhalten.
Zulässige Nutzung: Die zulässige Nutzung vertraulicher Informationen und die Rechte der unterzeichnenden Person zur Nutzung von Informationen innerhalb der Grenzen der Vereinbarung.
Audit- & Überwachungsrechte: Das Recht der Organisation, Aktivitäten im Zusammenhang mit vertraulichen Informationen zu auditieren und zu überwachen.
Benachrichtigung bei Verstößen: Der Prozess für die Benachrichtigung und Meldung unbefugter Offenlegung oder vermuteter Vertraulichkeitsverstöße.
Rückgabe & Vernichtung: Bedingungen für die Rückgabe oder zertifizierte Vernichtung von Informationen bei Beendigung der Vereinbarung, einschließlich digitaler und physischer Kopien.
Konsequenzen bei Nichteinhaltung: Erwartete Maßnahmen bei Nichteinhaltung der Vereinbarung, einschließlich möglicher rechtlicher Rechtsmittel und Haftung.

8.2 Anwendbarkeit

Vertraulichkeitsvereinbarungen sind erforderlich für:

Alle Beschäftigten zum Zeitpunkt der Einstellung (als Teil des Arbeitsvertrags oder als separate Vereinbarung)
Externes Personal (Auftragnehmer, Berater, befristet Beschäftigte), bevor sie Zugriff auf organisatorische Informationen erhalten
Drittanbieter und Geschäftspartner als Teil vertraglicher Vereinbarungen
Besucher, die Zugang zu sensiblen Bereichen oder Informationen benötigen (projektspezifische NDAs)

8.3 Unterzeichnungsprozess

[IHR_ORGANISATIONSNAME] nutzt ein fortgeschrittenes elektronisches Signaturverfahren (z. B. gemäß eIDAS Artikel 26), um rechtsverbindliche Unterschriften auf Vertraulichkeitsvereinbarungen einzuholen. Der Prozess umfasst Identitätsprüfung, kryptographischen Dokumentenintegritätsschutz und einen manipulationssicheren Audit-Trail, der alle Signaturereignisse einschließlich Zeitstempel und Geräteinformationen erfasst. Signierte Vereinbarungen werden automatisch als Compliance-Aufzeichnungen im Dokumentenmanagementsystem archiviert.

8.4 Compliance & Überprüfung

Die Organisation berücksichtigt die Einhaltung von Vertraulichkeits- und Geheimhaltungsvereinbarungen für die Jurisdiktion(en), für die sie gelten. Anforderungen an Vertraulichkeits- und Geheimhaltungsvereinbarungen werden periodisch und bei Änderungen, die diese Anforderungen beeinflussen, überprüft. Ein Register aller aktiven Vertraulichkeitsvereinbarungen wird geführt, um sicherzustellen, dass Vereinbarungen aktuell und angemessen bleiben.

9. Rollen & Verantwortlichkeiten

Geschäftsleitung: Stellt Ressourcen bereit, gibt den Ton vor und stellt sicher, dass diese Richtlinie in der gesamten Organisation durchgesetzt wird.
Personalabteilung (HR): Setzt Überprüfungen um, verwaltet Arbeitsverträge, koordiniert Onboarding/Offboarding, pflegt Schulungsnachweise.
Informationssicherheitsbeauftragte/r (ISB): Definiert Sicherheitsanforderungen für Personal, gestaltet das Sensibilisierungsprogramm, überwacht die Einhaltung, eskaliert Verstöße.
Führungskräfte: Stellen sicher, dass ihre Teammitglieder diese Richtlinie einhalten, unterstützen die Schulungsteilnahme, leiten bei Bedarf das Disziplinarverfahren ein.
IT-Abteilung: Verwaltet die Bereitstellung und den Entzug logischer Zugriffe in Abstimmung mit HR.
Alle Beschäftigten: Halten diese Richtlinie ein, nehmen an Schulungen teil, melden Sicherheitsvorfälle und schützen organisatorische Informationen.

10. Überprüfung & Pflege

Diese Richtlinie wird überprüft:

Mindestens jährlich im Rahmen des ISMS-Managementbewertungszyklus.
Nach wesentlichen organisatorischen Änderungen (Umstrukturierung, Fusionen, Änderungen im geltenden Recht).
Nach wesentlichen Sicherheitsvorfällen mit Personalbezug.
Wenn Änderungen der Bedrohungslandschaft aktualisierte Personalsicherheits-Maßnahmen erfordern.

Document control
Owner: [POLICY_OWNER_ROLE, e.g. Information Security Officer]
Approved by: [APPROVER_NAME_AND_ROLE]
Version: [VERSION]
Effective date: [EFFECTIVE_DATE]
Next review: [NEXT_REVIEW_DATE]

1. Legal/Regulatory Basis

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Annex A — People Controls:

A 6.1 — Screening
A 6.2 — Terms and Conditions of Employment
A 6.3 — Information Security Awareness, Education and Training
A 6.4 — Disciplinary Process
A 6.5 — Responsibilities After Termination or Change of Employment
A 6.6 — Confidentiality or Non-Disclosure Agreements

BSI IT-Grundschutz:

ORP.2.A7 (Verification of Trustworthiness), ORP.2.A13 (Security Vetting)
ORP.2.A1 (Onboarding), ORP.2.A4 (External Personnel), ORP.2.A5 (NDAs), ORP.2.A14 (Duties & Responsibilities)
ORP.3 (Awareness & Training Programme)
ISMS.1.A8 (Handling of Security Incidents)
ORP.2.A2 (Offboarding Procedures)
CON.9.A9 (Confidentiality Agreements)

Additional jurisdiction-specific laws — in particular labour law, data protection law (GDPR), security vetting legislation and works council co-determination rules — are listed in the Legal Register and incorporated by reference.

2. Purpose & Scope

This policy establishes the information security requirements for personnel management at [YOUR_ORGANISATION_NAME]. It covers all phases of the employment lifecycle — from pre-employment screening through onboarding, ongoing awareness and training, to termination or change of responsibilities.

This policy applies to:

All employees (permanent, temporary, part-time)
External personnel (contractors, consultants, temporary staff)
Third-party service providers with access to organisational information or systems

The objective is to ensure that all personnel understand their information security responsibilities and are suitable for the roles they perform, thereby reducing the risk of human-related security incidents.

3. Pre-Employment Screening (A 6.1)

Background verification checks on all candidates for employment are carried out prior to joining [YOUR_ORGANISATION_NAME]. The screening process is performed for all personnel including full-time, part-time and temporary staff. Where individuals are contracted through suppliers of services, screening requirements are included in the contractual agreements between the organisation and the suppliers. The depth of screening is proportionate to the sensitivity of the role, the classification of information to be accessed and applicable legal requirements.

Information on all candidates is collected and handled taking into consideration applicable privacy and data protection legislation. Where required by law, candidates are informed beforehand about the screening activities.

3.1 Verification Measures

References: Availability of satisfactory character and professional references is verified (e.g. one professional, one personal reference).
Curriculum Vitae: The applicant's CV is reviewed for completeness, plausibility and correctness. Gaps or inconsistencies are clarified.
Qualifications: Claimed academic and professional qualifications are confirmed through original certificates, transcripts or direct verification with issuing institutions.
Identity Verification: Independent identity verification is carried out using a government-issued photo ID (passport, national ID card).
Enhanced Verification: For roles involving access to highly sensitive or classified information — including on promotion — additional checks are conducted (e.g. credit checks, criminal record checks, security clearance as per the applicable Security Clearance Act where relevant).

3.2 Competence & Trustworthiness

Competence Assessment: Candidates demonstrate that they possess the necessary competence to fulfil the security responsibilities of the role, particularly for positions with elevated access privileges.
Trustworthiness Assessment: The overall trustworthiness of the candidate is evaluated, especially for critical or sensitive roles. This includes assessing the plausibility and consistency of all submitted documentation.

3.3 Mitigation When Verification Is Incomplete

Delayed Onboarding: If background verification cannot be completed before the intended start date, onboarding is postponed until results are available.
Restricted Asset Deployment: Deployment of corporate assets (laptops, access badges, keys) is delayed until verification is complete.
Reduced Access: The new employee is onboarded with restricted access rights until verification results are satisfactory.
Termination: If verification results are unsatisfactory, [YOUR_ORGANISATION_NAME] reserves the right to terminate the employment relationship in accordance with applicable law.

3.4 Periodic Re-Verification

Verification checks are repeated periodically to confirm ongoing suitability of personnel, depending on the criticality of a person's role.

4. Terms & Conditions of Employment (A 6.2)

Employment contracts and agreements for all personnel at [YOUR_ORGANISATION_NAME] clearly state the individual's and the organisation's responsibilities for information security. These obligations are communicated and acknowledged before access to information or systems is granted. Information security roles and responsibilities are communicated to candidates during the pre-employment process.

4.1 Contractual Security Obligations

Confidentiality & Non-Disclosure: All personnel sign a confidentiality or non-disclosure agreement before being granted access to [YOUR_ORGANISATION_NAME]'s information assets. This agreement remains in effect during and after employment (see Section 8 on Confidentiality Agreements).
Legal Responsibilities: Personnel are informed of their legal responsibilities and rights regarding copyright, data protection legislation and other applicable regulations.
Asset & Classification Responsibilities: The employment terms specify the individual's responsibilities for handling information according to the organisation's classification scheme and for proper management of assigned assets.
Third-Party Information: Responsibilities for handling information received from or on behalf of interested parties (customers, partners, regulators) are documented in the employment agreement.
Consequences of Non-Compliance: The terms clearly state the actions to be taken if personnel disregard the organisation's security requirements, including reference to the disciplinary process.
Code of Conduct: A code of conduct covering information security and privacy responsibilities is provided to all personnel. Acknowledgement of the code is documented.

4.2 Onboarding Process

Upon joining, all new employees and external personnel receive a structured onboarding that includes:

Presentation of applicable policies, guidelines and procedures
Assignment of an onboarding mentor ("buddy") who serves as initial point of contact
Completion of a mandatory onboarding checklist covering security topics
Initial information security awareness briefing

4.3 Continuity & Review

Where appropriate, responsibilities contained within the terms and conditions of employment continue for a defined period after the end of the employment (see Section 7 on Termination below). The terms and conditions concerning information security are reviewed when laws, regulations, the information security policy or topic-specific policies change.

Where personnel are provided through an external party (e.g. through a supplier), the external party is required to enter into contractual agreements on behalf of the contracted individual that include equivalent information security obligations.

5. Information Security Awareness, Education & Training (A 6.3)

All personnel of [YOUR_ORGANISATION_NAME] receive appropriate information security awareness, education and training, and are kept informed of relevant updates to the organisation's policies and procedures. The awareness, education and training programme is established in line with the organisation's information security policy and relevant topic-specific policies, taking into consideration the information to be protected and the controls that have been implemented.

Initial awareness, education and training applies to new personnel and to those who transfer to new positions or roles with substantially different information security requirements. The programme takes place periodically thereafter.

5.1 Awareness Programme Content

The awareness programme covers general aspects including:

Management Commitment: The awareness programme communicates management's commitment to information security. Leadership actively supports and visibly champions security initiatives.
Rules & Obligations: Personnel are made familiar with all applicable information security rules, policies and their personal obligations for compliance.
Personal Accountability: The programme emphasises personal accountability for one's own actions and inactions and the responsibility to protect organisational information.
Basic Security Procedures: Basic security procedures (password management, clean desk, screen locking, phishing awareness, social engineering) and baseline controls relevant to the individual's role are covered.
Contact Points: Contact points and resources for additional information, advice and reporting (e.g. Information Security Officer, IT Helpdesk, incident reporting channels) are communicated.
Lessons Learned: Relevant lessons learned from past information security incidents (anonymised) are incorporated into the awareness programme to illustrate real-world risks and consequences.
Knowledge Assessment: At the end of awareness or training activities, a knowledge assessment (quiz, test or practical exercise) is conducted to verify the effectiveness of the training.

The programme includes awareness-raising activities via appropriate channels such as campaigns, booklets, posters, newsletters, websites, information sessions, briefings, e-learning modules and emails. The programme focuses not only on the "what" and "how", but also the "why" — it is important that personnel understand the aim of information security and the potential effect of their own behaviour on the organisation.

The training programme incorporates anonymised incident examples to illustrate real-world scenarios. Training covers incident reporting procedures, vulnerability recognition and threat awareness to enable personnel to identify and escalate potential security events effectively.

5.2 Education & Training Methods

The organisation identifies, prepares and implements an appropriate training plan for technical teams whose roles require specific skill sets and expertise. The education and training programme consists of the following forms:

Lectures & Self-Study: Structured training sessions (in-person or online) and self-study materials are provided. E-learning modules are acceptable where they include interactive elements and assessments.
Mentoring & On-the-Job Training: Expert staff or external consultants provide mentoring and on-the-job training for personnel in specialised security roles.
Job Rotation: Where feasible, staff are rotated through different activities to broaden their understanding of information security across the organisation.
Specialist Recruitment: For highly specialised security functions, the organisation recruits skilled professionals or engages external consultants with the required expertise.

Training and education can use different means of delivery including classroom-based, distance learning, web-based, self-paced and other formats. Information security awareness, education and training can be part of, or conducted in collaboration with, other activities (e.g. general information management, ICT, safety training).

5.3 Continuous Professional Development

Information Sources: The organisation subscribes to relevant security newsletters, bulletins and professional publications to stay informed about emerging threats and best practices.
Conferences & Events: Key personnel (ISOs, IT security staff) attend relevant conferences, workshops and professional events to maintain and improve their competencies.

5.4 Training Schedule & Records

The organisation maintains a training schedule that defines:

Target groups and their specific training needs (based on a target group analysis)
Training frequency (initial onboarding training plus periodic refresher, at least annually)
Training content and delivery method per target group
Responsibility for training delivery and coordination

Records of all training activities (attendance, completion, assessment results) are maintained as evidence for audit purposes. The learning outcomes are measured and evaluated (quantitatively and qualitatively) to determine whether the programme's objectives have been achieved. The results feed into the improvement of the awareness and training offering.

6. Disciplinary Process (A 6.4)

A formal disciplinary process is established and communicated to all personnel of [YOUR_ORGANISATION_NAME]. This process is not initiated without prior verification that an information security policy violation has occurred. The disciplinary process also serves as a deterrent to prevent personnel from violating the information security policy and related procedures.

6.1 Assessment Criteria

Before initiating disciplinary action, the following factors are assessed:

Nature & Gravity: The nature and gravity of the breach and its impact on the organisation are evaluated, including potential business, legal and reputational consequences.
Intent: Whether the offence was intentional (malicious or deliberate disregard) or unintentional (negligent, accidental, due to insufficient training).
Recurrence: Whether this is a first offence or a repeated violation by the same individual.
Training Status: Whether the individual had received adequate training and was aware of the relevant policies and their obligations at the time of the breach.

6.2 Escalation Levels

Depending on the severity and circumstances, disciplinary measures include (in order of escalation):

Verbal warning and documented discussion
Written warning with documented corrective actions
Temporary suspension of access rights
Mandatory additional training
Formal disciplinary hearing
Termination of employment or contract (in accordance with labour law)
Legal proceedings (in cases of criminal activity)

Deliberate information security policy violations require immediate action. The disciplinary process complies with applicable national labour law, statutory, regulatory and contractual requirements. Legal counsel and/or HR are involved in all formal disciplinary actions.

6.3 Additional Provisions

Identity Protection: Where possible, the identity of individuals subject to disciplinary action is protected in line with applicable data protection requirements.
Positive Reinforcement: When individuals demonstrate excellent behaviour with regard to information security, they can be rewarded to promote information security awareness and encourage good behaviour.

7. Responsibilities After Termination or Change of Employment (A 6.5)

The process for managing termination or change of employment at [YOUR_ORGANISATION_NAME] defines which information security responsibilities and duties remain valid after termination or change. This includes confidentiality of information, intellectual property and other knowledge obtained, as well as responsibilities contained within any other confidentiality agreement. Responsibilities still valid after termination of employment or contract are contained in the individual's terms and conditions of employment.

Change as Termination + Re-Initiation: Changes of responsibility or employment within the organisation are managed as a combination of a termination of the old assignment and initiation of the new one. This ensures that access rights, asset assignments and security responsibilities are properly updated.
Role Transfer: When a person leaves a position, all information security roles and responsibilities assigned to that individual are identified and transferred to a designated successor. The organisation maintains up-to-date emergency and continuity plans reflecting current personnel assignments.
Communication of Changes: A communication process is established to notify all relevant parties (HR, IT, facilities, management, external partners) of changes to personnel and their access rights.
External Personnel: The termination or change process also applies to external personnel (contractors, consultants, supplier staff). In the case of personnel provided through an external party, the termination process is undertaken by the external party in accordance with the contract between the organisation and the external party.

The human resources function is responsible for the overall termination process and works together with the supervising manager to manage the information security aspects of the relevant procedures.

7.1 Offboarding Checklist

Upon departure, the following steps are completed:

Return of all corporate assets (laptop, mobile devices, access badges, keys, parking permits)
Revocation of all logical access rights (user accounts, VPN, email, cloud services)
Revocation of physical access rights (building access, secure areas)
Knowledge transfer and handover documentation
Reminder of continuing obligations (confidentiality agreements, non-compete clauses)
Update of emergency plans, distribution lists and organisational charts

8. Confidentiality & Non-Disclosure Agreements (A 6.6)

Confidentiality or non-disclosure agreements (NDAs) reflecting [YOUR_ORGANISATION_NAME]'s requirements for the protection of information are identified, documented, regularly reviewed and signed by all relevant personnel and external parties before they are granted access to confidential information. The agreements address the requirement to protect confidential information using legally enforceable terms. Based on the organisation's information security requirements, the terms in the agreements are determined by taking into consideration the type of information handled, its classification level, its use and the permissible access by the other party.

8.1 Agreement Content

Each confidentiality agreement addresses the following elements, as applicable:

Scope of Protected Information: A clear definition of the information to be protected, including categories, classification levels and examples.
Duration: The expected duration of the agreement, including whether it is indefinite or time-limited, and the period of obligations after the end of the employment or contractual relationship.
Termination Actions: Required actions when the agreement is terminated, including secure return or destruction of confidential materials.
Disclosure Prevention: Responsibilities and actions of the signatory to prevent unauthorised disclosure of information (e.g. need-to-know principle, secure storage, encryption requirements).
Intellectual Property: Ownership of information, trade secrets and intellectual property and how these relate to the protection of confidential information.
Permitted Use: The permitted use of confidential information and the rights of the signatory to use information within the boundaries of the agreement.
Audit & Monitoring Rights: The right of the organisation to audit and monitor activities that involve confidential information.
Breach Notification: The process for notification and reporting of unauthorised disclosure or suspected breaches of confidentiality.
Return & Destruction: Terms for the return or certified destruction of information at agreement cessation, including digital and physical copies.
Non-Compliance Consequences: Expected actions in case of non-compliance with the agreement, including potential legal remedies and liability.

8.2 Applicability

Confidentiality agreements are required for:

All employees at the time of hiring (as part of the employment contract or as a separate agreement)
External personnel (contractors, consultants, temporary workers) before they access organisational information
Third-party service providers and business partners as part of contractual arrangements
Visitors who require access to sensitive areas or information (project-specific NDAs)

8.3 Signing Process

[YOUR_ORGANISATION_NAME] uses an advanced electronic signature process (e.g. in accordance with eIDAS Article 26) to obtain legally binding signatures on confidentiality agreements. The process includes identity verification, cryptographic document integrity protection and a tamper-evident audit trail capturing all signing events including timestamps and device information. Signed agreements are automatically archived as compliance records within the document management system.

8.4 Compliance & Review

The organisation takes into consideration the compliance with confidentiality and non-disclosure agreements for the jurisdiction(s) to which they apply. Requirements for confidentiality and non-disclosure agreements are reviewed periodically and when changes occur that influence these requirements. A register of all active confidentiality agreements is maintained to ensure agreements remain current and adequate.

9. Roles & Responsibilities

Top Management: Provides resources, sets the tone, and ensures this policy is enforced across the organisation.
Human Resources (HR): Implements screening, manages employment contracts, coordinates onboarding/offboarding, maintains training records.
Information Security Officer (ISO): Defines security requirements for personnel, designs awareness programme, monitors compliance, escalates breaches.
Line Managers: Ensure their team members comply with this policy, support training participation, initiate disciplinary process when needed.
IT Department: Manages logical access provisioning and revocation in coordination with HR.
All Personnel: Comply with this policy, participate in training, report security incidents and protect organisational information.

10. Review & Maintenance

This policy is reviewed:

At least annually as part of the ISMS management review cycle.
After significant organisational changes (restructuring, mergers, changes in applicable law).
After significant security incidents involving personnel.
When changes in the threat landscape require updated personnel security measures.

Quellen

ISO/IEC 27002:2022 Abschnitte 6.1–6.6 — die People Controls
BSI IT-Grundschutz ORP.2 — Personal
BSI IT-Grundschutz ORP.3 — Sensibilisierung und Schulung
NIS2-Richtlinie (EU 2022/2555) — Art. 21 Risikomanagementmaßnahmen