ORP.1                                                                            ORP: Organisation und Personal ORP.1: Organisation 1 Beschreibung 1.1 Einleitung Jede Institution benötigt eine hierfür zuständige Dienststelle, um den allgemeinen Betrieb zu steuern und zu regeln sowie um Verwaltungsdienstleistungen zu planen, zu organisieren und durchzuführen. Die meisten Institutionen haben hierfür eine Organisationseinheit, die dieses Zusammenspiel der verschiedenen Rollen und Einheiten mit den entsprechenden Geschäftsprozessen und Ressourcen steuert. Bereits auf dieser übergreifenden Ebene sind Aspekte der Informationssicherheit einzubringen und verbindlich festzulegen. 1.2 Zielsetzung Mit diesem Baustein werden allgemeine und übergreifende Anforderungen im Bereich Organisation aufgeführt, die dazu beitragen, das Niveau der Informationssicherheit zu erhöhen und zu erhalten. In diesem Zusammenhang sind Informationsflüsse, Prozesse, Rollenverteilungen sowie die Aufbau- und Ablauforganisation zu regeln. 1.3 Abgrenzung und Modellierung Der Baustein ORP.1 Organisation ist auf den Informationsverbund mindestens einmal anzuwenden. Wenn Teile des Informationsverbunds einer anderen Organisationseinheit zugeordnet sind und daher anderen Rahmenbedingun- gen unterliegen, sollte der Baustein auf jede Einheit separat angewandt werden. Der Baustein bildet die übergeordnete Basis, um Informationssicherheit in einer Institution umzusetzen. Er behan- delt keine spezifischen Aspekte zu Personal, Schulung von Mitarbeitern, Verwaltung von Identitäten und Berechti- gungen sowie Anforderungsmanagement. Diese Aspekte werden in den Bausteinen ORP.2 Personal, ORP.3 Sensibi- lisierung und Schulung zur Informationssicherheit, ORP.4 Identitäts- und Berechtigungsmanagement und ORP.5 Compliance Management (Anforderungsmanagement) behandelt. 2 Gefährdungslage Folgende spezifische Bedrohungen und Schwachstellen sind für den Baustein ORP.1 Organisation von besonderer Bedeutung: 2.1 Fehlende oder unzureichende Regelungen Fehlende Regelungen können zu massiven Sicherheitslücken führen, wenn beispielsweise Mitarbeiter nicht wissen, wie sie bei Vorfällen reagieren sollen. Probleme können auch dadurch entstehen, dass Regelungen veraltet, unprak- tikabel oder unverständlich formuliert sind. Die Bedeutung dieser übergreifenden organisatorischen Regelungen nimmt mit der Komplexität der Geschäftspro- zesse und dem Umfang der Informationsverarbeitung, aber auch mit dem Schutzbedarf der zu verarbeitenden In- formationen zu. 2.2 Nichtbeachtung von Regelungen Allen Mitarbeitern müssen die geltenden Regelungen bekannt gemacht werden und zum Nachlesen zur Verfügung stehen. Die Erfahrung zeigt, dass es nicht ausreicht, Sicherheitsregeln lediglich festzulegen. Ihre Kommunikation an die Mitarbeiter ist elementar wichtig, damit die Vorgaben auch von allen Betroffenen im Arbeitsalltag gelebt werden können. IT-Grundschutz-Kompendium: Stand Februar 2021                                                                     1

ORP: Organisation und Personal                                                                                ORP.1 Werden Regelungen von Mitarbeitern missachtet, können beispielsweise folgende Sicherheitslücken entstehen: • Vertrauliche Informationen werden in Hörweite fremder Personen diskutiert, beispielsweise in Pausengesprä- chen von Besprechungen oder über Mobiltelefonate in öffentlichen Umgebungen. • Dokumente werden auf einem Webserver veröffentlicht, ohne dass geprüft wurde, ob diese tatsächlich zur Ver- öffentlichung vorgesehen und freigegeben sind. • Aufgrund von fehlerhaft administrierten Zugriffsrechten kann ein Mitarbeiter Daten ändern, ohne die Brisanz dieser Integritätsverletzung einschätzen zu können. 2.3 Fehlende, ungeeignete oder inkompatible Betriebsmittel Wenn benötigte Betriebsmittel in zu geringer Menge vorhanden sind oder nicht termingerecht bereitgestellt wer- den, können in der Institution Störungen eintreten. Ebenso kann es vorkommen, dass ungeeignete oder sogar in- kompatible Betriebsmittel beschafft werden, die infolgedessen nicht eingesetzt werden können. Beispiel: Der Speicherplatz von Festplatten bei Clients und Servern sowie mobiler Datenträger steigt ständig. Dabei wird häufig vergessen, IT-Komponenten und Datenträger zu beschaffen, die für eine regelmäßige Datensicherung ausreichend Kapazität bieten. Ebenso muss die Funktionsfähigkeit der eingesetzten Betriebsmittel gewährleistet sein. Wenn Wartungsarbeiten nicht oder nur unzureichend durchgeführt werden, können daraus hohe Schäden entstehen. Beispiele: • Die Kapazität der Batterien einer unterbrechungsfreien Stromversorgung (USV-Anlage) wurde nicht rechtzeitig überprüft. Ist die Kapazität bzw. der Säuregehalt zu gering, kann die USV-Anlage einen Stromausfall nicht mehr ausreichend lange überbrücken. • Die Feuerlöscher wurden nicht rechtzeitig gewartet und verfügen deshalb nicht mehr über einen ausreichenden Druck. Ihre Löschleistung ist somit im Brandfall nicht mehr gewährleistet. 2.4 Gefährdung durch Institutionsfremde Bei Institutionsfremden kann grundsätzlich nicht vorausgesetzt werden, dass sie mit ihnen zugänglichen Informati- onen und der Informationstechnik entsprechend den Vorgaben der besuchten Institution umgehen. Besucher, Reinigungs- und Fremdpersonal können interne Informationen, Geschäftsprozesse und IT-Systeme auf verschiedene Arten gefährden, angefangen von der unsachgemäßen Behandlung der technischen Einrichtungen über den Versuch des „Spielens“ an IT-Systemen bis hin zum Diebstahl von Unterlagen oder IT-Komponenten. Beispiele: • Unbegleitete Besucher können auf Unterlagen und Datenträger zugreifen oder Zugang zu Geräten haben, diese beschädigen oder schützenswerte Informationen ausspähen. • Reinigungskräfte können versehentlich Steckverbindungen lösen, Wasser in Geräte laufen lassen, Unterlagen verlegen oder mit dem Abfall entsorgen. 3 Anforderungen Im Folgenden sind die spezifischen Anforderungen des Bausteins ORP.1 Organisation aufgeführt. Grundsätzlich ist die Zentrale Verwaltung für die Erfüllung der Anforderungen zuständig. Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür zuständig, dass alle An- forderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden. Zusätzlich kann es noch andere Rollen geben, die weitere Zuständigkeiten bei der Umsetzung von Anforderungen haben. Diese sind dann jeweils explizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt. Grundsätzlich zuständig             Zentrale Verwaltung Weitere Zuständigkeiten             Benutzer, Haustechnik, IT-Betrieb, Institutionsleitung, Mitarbeiter 2                                                                      IT-Grundschutz-Kompendium: Stand Februar 2021

ORP.1                                                                          ORP: Organisation und Personal 3.1 Basis-Anforderungen Die folgenden Anforderungen MÜSSEN für den Baustein ORP.1 Organisation vorrangig erfüllt werden: ORP.1.A1 Festlegung von Verantwortlichkeiten und Regelungen [Institutionsleitung] (B) Innerhalb einer Institution MÜSSEN alle relevanten Aufgaben und Funktionen klar definiert und voneinander abge- grenzt sein. Es MÜSSEN verbindliche Regelungen für die Informationssicherheit für die verschiedenen betrieblichen Aspekte übergreifend festgelegt werden. Die Organisationsstrukturen sowie verbindliche Regelungen MÜSSEN an- lassbezogen überarbeitet werden. Die Änderungen MÜSSEN allen Mitarbeitern bekannt gegeben werden. ORP.1.A2 Zuweisung der Zuständigkeiten [Institutionsleitung] (B) Für alle Geschäftsprozesse, Anwendungen, IT-Systeme, Räume und Gebäude sowie Kommunikationsverbindungen MUSS festgelegt werden, wer für diese und deren Sicherheit zuständig ist. Alle Mitarbeiter MÜSSEN darüber infor- miert sein, insbesondere wofür sie zuständig sind und welche damit verbundenen Aufgaben sie wahrnehmen. ORP.1.A3 Beaufsichtigung oder Begleitung von Fremdpersonen [Mitarbeiter] (B) Institutionsfremde Personen MÜSSEN von Mitarbeitern zu den Räumen begleitet werden. Die Mitarbeiter der Insti- tution MÜSSEN institutionsfremde Personen in sensiblen Bereichen beaufsichtigen. Die Mitarbeiter SOLLTEN dazu angehalten werden, institutionsfremde Personen in den Räumen der Institution nicht unbeaufsichtigt zu lassen. ORP.1.A4 Funktionstrennung zwischen unvereinbaren Aufgaben (B) Die Aufgaben und die hierfür erforderlichen Rollen und Funktionen MÜSSEN so strukturiert sein, dass unvereinbare Aufgaben wie operative und kontrollierende Funktionen auf verschiedene Personen verteilt werden. Für unverein- bare Funktionen MUSS eine Funktionstrennung festgelegt und dokumentiert sein. Auch Vertreter MÜSSEN der Funktionstrennung unterliegen. ORP.1.A5 ENTFALLEN (B) Diese Anforderung ist entfallen. ORP.1.A15 Ansprechpartner zu Informationssicherheitsfragen (B) In jeder Institution MUSS es Ansprechpartner für Sicherheitsfragen geben, die sowohl scheinbar einfache wie auch komplexe oder technische Fragen beantworten können. Die Ansprechpartner MÜSSEN allen Mitarbeitern der Insti- tution bekannt sein. Diesbezügliche Informationen MÜSSEN in der Institution für alle verfügbar und leicht zugäng- lich sein. 3.2 Standard-Anforderungen Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik für den Baustein ORP.1 Organisation. Sie SOLLTEN grundsätzlich erfüllt werden. ORP.1.A6 ENTFALLEN (S) Diese Anforderung ist entfallen. ORP.1.A7 ENTFALLEN (S) Diese Anforderung ist entfallen. ORP.1.A8 Betriebsmittel- und Geräteverwaltung [IT-Betrieb] (S) Alle Geräte und Betriebsmittel, die Einfluss auf die Informationssicherheit haben und die zur Aufgabenerfüllung und zur Einhaltung der Sicherheitsanforderungen erforderlich sind, SOLLTEN in ausreichender Menge vorhanden sein. Es SOLLTE geeignete Prüf- und Genehmigungsverfahren vor Einsatz der Geräte und Betriebsmittel geben. Ge- räte und Betriebsmittel SOLLTEN in geeigneten Bestandsverzeichnissen aufgelistet werden. Um den Missbrauch von Daten zu verhindern, SOLLTE die zuverlässige Löschung oder Vernichtung von Geräten und Betriebsmitteln gere- gelt sein (siehe hierzu CON.6 Löschen und Vernichten). IT-Grundschutz-Kompendium: Stand Februar 2021                                                                   3

ORP: Organisation und Personal                                                                                  ORP.1 ORP.1.A9 ENTFALLEN (S) Diese Anforderung ist entfallen. ORP.1.A10 ENTFALLEN (S) Diese Anforderung ist entfallen. ORP.1.A11 ENTFALLEN (S) Diese Anforderung ist entfallen. ORP.1.A12 ENTFALLEN (S) Diese Anforderung ist entfallen. ORP.1.A13 Sicherheit bei Umzügen [IT-Betrieb, Haustechnik] (S) Vor einem Umzug SOLLTEN frühzeitig Sicherheitsrichtlinien erarbeitet bzw. aktualisiert werden. Alle Mitarbeiter SOLLTEN über die vor, während und nach dem Umzug relevanten Sicherheitsmaßnahmen informiert werden. Nach dem Umzug SOLLTE überprüft werden, ob das transportierte Umzugsgut vollständig und unbeschädigt bzw. unver- ändert angekommen ist. ORP.1.A16 Richtlinie zur sicheren IT-Nutzung [Benutzer] (S) Es SOLLTE eine Richtlinie erstellt werden, in der für alle Mitarbeiter transparent beschrieben wird, welche Rahmen- bedingungen bei der IT-Nutzung eingehalten werden müssen und welche Sicherheitsmaßnahmen zu ergreifen sind. Die Richtlinie SOLLTE folgende Punkte abdecken: • Sicherheitsziele der Institution, • wichtige Begriffe, • Aufgaben und Rollen mit Bezug zur Informationssicherheit, • Ansprechpartner zu Fragen der Informationssicherheit sowie • von den Mitarbeitern umzusetzende und einzuhaltende Sicherheitsmaßnahmen. Die Richtlinie SOLLTE allen Benutzern zur Kenntnis gegeben werden. Jeder neue Benutzer SOLLTE die Kenntnis- nahme und Beachtung der Richtlinie schriftlich bestätigen, bevor er die Informationstechnik nutzen darf. Benutzer SOLLTEN die Richtlinie regelmäßig oder nach größeren Änderungen erneut bestätigen. Die Richtlinie sollte zum Nachlesen für alle Mitarbeiter frei zugänglich abgelegt werden, beispielsweise im Intranet. 3.3 Anforderungen bei erhöhtem Schutzbedarf Im Folgenden sind für den Baustein ORP.1 Organisation exemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBE- DARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. ORP.1.A14 ENTFALLEN (H) Diese Anforderung ist entfallen. 4 Weiterführende Informationen 4.1 Wissenswertes Für den Baustein ORP.1 Organisation sind keine weiterführenden Informationen vorhanden. 4                                                                        IT-Grundschutz-Kompendium: Stand Februar 2021

ORP.1                                                                            ORP: Organisation und Personal 5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen Die Kreuzreferenztabelle enthält die Zuordnung von elementaren Gefährdungen zu den Anforderungen. Anhand dieser Tabelle lässt sich ermitteln, welche elementaren Gefährdungen durch welche Anforderungen abgedeckt sind. Durch die Umsetzung der aus den Anforderungen abgeleiteten Sicherheitsmaßnahmen wird den entspre- chenden elementaren Gefährdungen entgegengewirkt. Die Buchstaben in der zweiten Spalte (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit) zeigen an, welche Grundwerte der Informationssicherheit durch die Anforderung vorrangig geschützt werden. Die folgenden elementaren Gefährdungen sind für den Baustein ORP.1 Organisation von Bedeutung. G 0.14       Ausspähen von Informationen (Spionage) G 0.16       Diebstahl von Geräten, Datenträgern oder Dokumenten G 0.18       Fehlplanung oder fehlende Anpassung G 0.19       Offenlegung schützenswerter Informationen G 0.22       Manipulation von Informationen G 0.25       Ausfall von Geräten oder Systemen G 0.26       Fehlfunktion von Geräten oder Systemen G 0.27       Ressourcenmangel G 0.29       Verstoß gegen Gesetze oder Regelungen G 0.38       Missbrauch personenbezogener Daten G 0.45       Datenverlust G 0.46       Integritätsverlust schützenswerter Informationen Elementare         CIA-   G 0.14  G 0.16 G 0.18  G 0.19 G 0.22 G 0.25 G 0.26 G 0.27 G 0.29 G 0.38 G 0.45 G 0.46 Gefährdungen       Werte Anforderungen ORP.1.A1                    X              X       X      X                           X      X             X ORP.1.A2                    X       X      X       X      X      X      X      X      X      X             X ORP.1.A3                    X       X              X      X ORP.1.A4                                           X      X                           X      X ORP.1.A5 ORP.1.A6 ORP.1.A7 ORP.1.A8                    X       X      X       X                           X ORP.1.A9 ORP.1.A10 ORP.1.A11 ORP.1.A12 ORP.1.A13                   X       X      X       X      X      X      X                    X             X ORP.1.A14 ORP.1.A15                   X                      X                                  X      X      X      X ORP.1.A16                   X              X       X                                  X      X      X      X IT-Grundschutz-Kompendium: Stand Februar 2021                                                                     5

ORP: Organisation und Personal                                        ORP.1 6                              IT-Grundschutz-Kompendium: Stand Februar 2021

ORP.2                                                                           ORP: Organisation und Personal ORP.2: Personal 1 Beschreibung 1.1 Einleitung Das Personal eines Unternehmens bzw. einer Behörde hat einen entscheidenden Anteil am Erfolg oder Misserfolg der Institution. Die Mitarbeiterinnen und Mitarbeiter haben dabei die wichtige Aufgabe, Informationssicherheit umzusetzen. Die aufwendigsten Sicherheitsvorkehrungen können ins Leere laufen, wenn sie im Arbeitsalltag nicht gelebt werden. Die elementare Bedeutung von Informationssicherheit für eine Institution und ihre Geschäftspro- zesse muss daher für das Personal transparent und nachvollziehbar aufbereitet sein. 1.2 Zielsetzung Ziel dieses Bausteins ist es aufzuzeigen, welche „personellen“ Sicherheitsmaßnahmen die Personalabteilung oder Vorgesetzten ergreifen müssen, damit die Mitarbeiterinnen und Mitarbeiter verantwortungsbewusst mit den Infor- mationen der Institution umgehen und sich so gemäß den Vorgaben verhalten. 1.3 Abgrenzung und Modellierung Der Baustein ORP.2 Personal ist für den Informationsverbund einmal anzuwenden. Der Baustein beschäftigt sich mit den Anforderungen, die durch die Personalabteilung oder die Vorgesetzten einer Institution zu beachten und zu erfüllen sind. Personelle Anforderungen, die an eine bestimmte Funktion gebunden sind, wie z. B. die Ernennung des Systemadministrators eines LAN, werden in den Bausteinen angeführt, die sich mit dem jeweiligen Themengebiet beschäftigen. Der Baustein ORP.2 Personal behandelt keine spezifischen Aspekte zu Schulung von Mitarbeitern oder Verwaltung von Identitäten und Berechtigungen. Diese Aspekte werden in den Bausteinen ORP.3 Sensibilisierung und Schulung zur Informationssicherheit und ORP.4 Identitäts- und Berechti- gungsmanagement behandelt. 2 Gefährdungslage Folgende spezifische Bedrohungen und Schwachstellen sind für den Baustein ORP.2 Personal von besonderer Be- deutung: 2.1 Personalausfall Der Ausfall von Personal kann dazu führen, dass bestimmte Aufgaben nicht mehr oder nicht zeitnah wahrgenom- men werden können. 2.2 Unzureichende Kenntnis über Regelungen Regelungen festzulegen allein garantiert noch nicht, dass diese auch beachtet werden und der Betrieb störungsfrei funktionieren kann. Allen Mitarbeitern müssen die geltenden Regelungen bekannt sein, vor allem den Funktions- trägern. Ein Schaden, der entsteht, weil bestehende Regelungen nicht bekannt sind, sollte sich nicht mit den Aus- sagen entschuldigen lassen: „Ich habe nicht gewusst, dass ich dafür zuständig bin.“ oder „Ich habe nicht gewusst, wie ich zu verfahren hatte.“ IT-Grundschutz-Kompendium: Stand Februar 2021                                                                   1

ORP: Organisation und Personal                                                                                   ORP.2 2.3 Sorglosigkeit im Umgang mit Informationen Häufig ist zu beobachten, dass es in Institutionen zwar viele organisatorische und technische Sicherheitsverfahren gibt, diese jedoch durch den sorglosen Umgang der Mitarbeiter wieder umgangen werden. Ein typisches Beispiel hierfür sind etwa Zettel am Monitor, auf denen Zugangspasswörter notiert sind. 2.4 Unzureichende Qualifikationen der Mitarbeiter Im täglichen IT-Betrieb einer Institution können viele Störungen und Fehler auftreten. Sind die verantwortlichen Mitarbeiter nicht ausreichend qualifiziert, sensibilisiert und geschult, haben sie z. B. einen veralteten Wissensstand für ihre Aufgabenerfüllung, könnten sie sicherheitsrelevante Ereignisse nicht als solche identifizieren und so An- griffe unerkannt bleiben. Auch wenn die Mitarbeiter ausreichend für die Belange der Informationssicherheit qualifi- ziert, sensibilisiert bzw. geschult sind, kann trotzdem nicht ausgeschlossen werden, dass sie Sicherheitsvorfälle nicht erkennen. In manchen Situationen, wie bei Personalmangel oder Kündigungen, kann es passieren, dass Mit- arbeiter die Aufgaben andere Mitarbeiter vorübergehend übernehmen müssen. Hierbei können Fehler entstehen, wenn Mitarbeiter nicht die notwendigen Qualifikationen haben oder unzureichend geschult sind, um die Aufgabe zu übernehmen. 3 Anforderungen Im Folgenden sind die spezifischen Anforderungen des Bausteins ORP.2 Personal aufgeführt. Grundsätzlich ist die Personalabteilung für die Erfüllung der Anforderungen zuständig. Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür zuständig, dass alle Anforderun- gen gemäß dem festlegten Sicherheitskonzept erfüllt und überprüft werden. Zusätzlich kann es noch andere Rollen geben, die weitere Zuständigkeiten bei der Umsetzung von Anforderungen haben. Diese sind dann jeweils explizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt. Grundsätzlich zuständig               Personalabteilung Weitere Zuständigkeiten               IT-Betrieb, Vorgesetzte 3.1 Basis-Anforderungen Die folgenden Anforderungen MÜSSEN für den Baustein ORP.2 Personal vorrangig erfüllt werden: ORP.2.A1 Geregelte Einarbeitung neuer Mitarbeiter [Vorgesetzte] (B) Die Personalabteilung sowie die Vorgesetzten MÜSSEN dafür sorgen, dass Mitarbeiter zu Beginn ihrer Beschäfti- gung in ihre neuen Aufgaben eingearbeitet werden. Die Mitarbeiter MÜSSEN über bestehende Regelungen, Hand- lungsanweisungen und Verfahrensweisen informiert werden. Eine Checkliste und ein direkter Ansprechpartner („Pate“) kann hierbei hilfreich sein und SOLLTE etabliert werden. ORP.2.A2 Geregelte Verfahrensweise beim Weggang von Mitarbeitern [Vorgesetzte, IT-Betrieb] (B) Verlässt ein Mitarbeiter die Institution, MUSS der Nachfolger rechtzeitig eingewiesen werden. Dies SOLLTE idealer- weise durch den ausscheidenden Mitarbeiter erfolgen. Ist eine direkte Übergabe nicht möglich, MUSS vom aus- scheidenden Mitarbeiter eine ausführliche Dokumentation angefertigt werden. Außerdem MÜSSEN von ausscheidenden Mitarbeitern alle im Rahmen ihrer Tätigkeit erhaltenen Unterlagen, Schlüssel und Geräte sowie Ausweise und Zutrittsberechtigungen eingezogen werden. Vor der Verabschiedung MUSS noch einmal auf Verschwiegenheitsverpflichtungen hingewiesen werden. Es SOLLTE besonders darauf geachtet werden, dass keine Interessenkonflikte auftreten. Um nach einem Stellenwechsel Inte- ressenkonflikte zu vermeiden, SOLLTEN Konkurrenzverbote und Karenzzeiten vereinbart werden. Weiterhin MÜSSEN Notfall- und andere Ablaufpläne aktualisiert werden. Alle betroffenen Stellen innerhalb der Ins- titution, wie z. B. das Sicherheitspersonal oder die IT-Abteilung, MÜSSEN über das Ausscheiden des Mitarbeiters informiert werden. Damit alle verbundenen Aufgaben, die beim Ausscheiden des Mitarbeiters anfallen, erledigt werden, SOLLTE hier ebenfalls eine Checkliste angelegt werden . Zudem SOLLTE es einen festen Ansprechpartner der Personalabteilung geben, der den Weggang von Mitarbeitern begleitet. 2                                                                        IT-Grundschutz-Kompendium: Stand Februar 2021

ORP.2                                                                             ORP: Organisation und Personal ORP.2.A3 Festlegung von Vertretungsregelungen [Vorgesetzte] (B) Die Vorgesetzten MÜSSEN dafür sorgen, dass im laufenden Betrieb Vertretungsregelungen umgesetzt werden. Da- für MUSS sichergestellt werden, dass es für alle wesentlichen Geschäftsprozesse und Aufgaben praktikable Vertre- tungsregelungen gibt. Bei diesen Regelungen MUSS der Aufgabenumfang der Vertretung im Vorfeld klar definiert werden. Es MUSS sichergestellt werden, dass die Vertretung über das dafür nötige Wissen verfügt. Ist dies nicht der Fall, MUSS überprüft werden, wie der Vertreter zu schulen ist oder ob es ausreicht, den aktuellen Verfahrens- oder Projektstand ausreichend zu dokumentieren. Ist es im Ausnahmefall nicht möglich, für einzelne Mitarbeiter einen kompetenten Vertreter zu benennen oder zu schulen, MUSS frühzeitig entschieden werden, ob externes Per- sonal dafür hinzugezogen werden kann. ORP.2.A4 Festlegung von Regelungen für den Einsatz von Fremdpersonal (B) Wird externes Personal beschäftigt, MUSS dieses wie alle eigenen Mitarbeiter dazu verpflichtet werden, geltende Gesetze, Vorschriften und interne Regelungen einzuhalten. Fremdpersonal, das kurzfristig oder einmalig eingesetzt wird, MUSS in sicherheitsrelevanten Bereichen beaufsichtigt werden. Bei längerfristig beschäftigtem Fremdperso- nal MUSS dieses wie die eigenen Mitarbeiter in seine Aufgaben eingewiesen werden. Auch für diese Mitarbeiter MUSS eine Vertretungsregelung eingeführt werden. Verlässt das Fremdpersonal die Institution, MÜSSEN Arbeitser- gebnisse wie bei eigenem Personal geregelt übergeben und eventuell ausgehändigte Zugangsberechtigungen zu- rückgegeben werden. ORP.2.A5 Vertraulichkeitsvereinbarungen für den Einsatz von Fremdpersonal (B) Bevor externe Personen Zugang und Zugriff zu vertraulichen Informationen erhalten, MÜSSEN mit ihnen Vertrau- lichkeitsvereinbarungen in schriftlicher Form geschlossen werden. In diesen Vertraulichkeitsvereinbarungen MÜS- SEN alle wichtigen Aspekte zum Schutz von institutionsinternen Informationen berücksichtigt werden. ORP.2.A14 Aufgaben und Zuständigkeiten von Mitarbeitern [Vorgesetzte] (B) Alle Mitarbeiter MÜSSEN dazu verpflichtet werden, geltende Gesetze, Vorschriften und interne Regelungen einzu- halten. Den Mitarbeitern MUSS der rechtliche Rahmen ihre Tätigkeit bekannt sein. Die Aufgaben und Zuständigkei- ten von Mitarbeitern MÜSSEN in geeigneter Weise dokumentiert sein. Außerdem MÜSSEN alle Mitarbeiter darauf hingewiesen werden, dass alle während der Arbeit erhaltenen Informationen ausschließlich zum internen Ge- brauch bestimmt sind. Den Mitarbeitern MUSS bewusstgemacht werden, die Informationssicherheit der Institution auch außerhalb der Arbeitszeit und außerhalb des Betriebsgeländes zu schützen. ORP.2.A15 Qualifikation des Personals [Vorgesetzte] (B) Mitarbeiter MÜSSEN regelmäßig geschult bzw. weitergebildet werden. In allen Bereichen MUSS sichergestellt wer- den, dass kein Mitarbeiter mit veralteten Wissensstand arbeitet. Weiterhin SOLLTE den Mitarbeitern während ihrer Beschäftigung die Möglichkeit gegeben werden, sich im Rahmen ihres Tätigkeitsfeldes weiterzubilden. Werden Stellen besetzt, MÜSSEN die erforderlichen Qualifikationen und Fähigkeiten genau formuliert sein. An- schließend SOLLTE geprüft werden, ob diese bei den Bewerbern für die Stelle tatsächlich vorhanden sind. Es MUSS sichergestellt sein, dass Stellen nur von Mitarbeitern besetzt werden, für die sie qualifiziert sind. 3.2 Standard-Anforderungen Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik für den Baustein ORP.2 Personal. Sie SOLLTEN grundsätzlich erfüllt werden. ORP.2.A6 ENTFALLEN (S) Diese Anforderung ist entfallen. ORP.2.A7 Überprüfung der Vertrauenswürdigkeit von Mitarbeitern (S) Neue Mitarbeiter SOLLTEN auf ihre Vertrauenswürdigkeit hin überprüft werden, bevor sie eingestellt werden. So- weit möglich, SOLLTEN alle an der Personalauswahl Beteiligten kontrollieren, ob die Angaben der Bewerberinnen und Bewerber, die relevant für die Einschätzung ihrer Vertrauenswürdigkeit sind, glaubhaft sind. Insbesondere SOLLTE sorgfältig geprüft werden, ob der vorgelegte Lebenslauf korrekt, plausibel und vollständig ist. Dabei SOLL- TEN auffällig erscheinende Angaben überprüft werden.. IT-Grundschutz-Kompendium: Stand Februar 2021                                                                    3