CompliantDesk

A.6 Personenbezogene Maßnahmen

A.6.5

Verantwortlichkeiten bei Beendigung oder Wechsel

ISO 27001TISAXBSI

Informationssicherheitspflichten, die nach Beendigung oder Wechsel des Beschäftigungsverhältnisses fortbestehen, müssen definiert, kommuniziert und durchgesetzt werden.

Was fordert dieses Control?

Informationssicherheitspflichten, die nach Beendigung oder Wechsel des Beschäftigungsverhältnisses fortbestehen, müssen definiert, kommuniziert und durchgesetzt werden.

Warum ist das wichtig?

Austritte sind ein kritischer Moment: Zugänge, Werte und Wissen müssen kontrolliert übergeben werden. Versäumnisse führen zu verwaisten Konten und Datenabfluss.

Cross-Standard-Mapping

StandardControl-IDRelevanz
TISAX1.3.4Direkt
BSIORP.2.A2Direkt

Was der Auditor erwartet

  1. 1Offboarding-Prozess mit Rückgabe und Entzug von Zugängen
  2. 2Definierte, fortbestehende Pflichten (z.B. Geheimhaltung)
  3. 3Nachweis der zeitnahen Durchführung bei Austritten

Audit-Checkliste

Dokumente

  • Offboarding-Checkliste

    Schritte für Zugangsentzug, Rückgabe und Wissensübergabe

Nachweise

  • Durchgeführte Offboardings

    Zeitpunkt von Account-Deaktivierung und Asset-Rückgabe

Interviews

  • HR und IT

    Zusammenspiel bei Austritt und Eskalation bei Verzögerung

Technisch

  • Account-Status ehemaliger Mitarbeiter

    Stichprobe zeigt deaktivierte oder gelöschte Konten

Praxis-Tipps zur Umsetzung

1

HR und IT koppeln

Eine Austrittsmeldung sollte automatisch den IT-Entzugsprozess auslösen.

2

Fristen setzen

Zugänge spätestens am letzten Arbeitstag deaktivieren, bei Freistellung sofort.

3

Wissen sichern

Kritisches Wissen und Zugangsdaten vor Austritt geordnet übergeben.

Häufige Fehler

Verwaiste Konten

Accounts bleiben nach Austritt aktiv und werden zum Sicherheitsrisiko.

Keine Asset-Rückgabe

Notebooks, Token oder Schlüssel werden nicht systematisch zurückgefordert.

Häufig gestellte Fragen

Wann müssen Zugänge entzogen werden?

Spätestens zum Ende des Arbeitsverhältnisses, bei Freistellung oder Risiko sofort.

Was passiert mit den Daten des Mitarbeiters?

Geschäftsrelevante Daten werden übergeben, personenbezogene Daten nach Fristen DSGVO-konform gelöscht.

Gilt das auch bei internem Wechsel?

Ja, alte Berechtigungen müssen entzogen werden, sonst sammeln sich Rechte an (Privilege Creep).

So hilft CompliantDesk bei A.6.5

Offboarding-Workflows verknüpfen Mitarbeiteraustritte mit Asset-Rückgabe und Berechtigungsentzug und dokumentieren jeden Schritt prüfsicher.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.11

Rückgabe von Werten

A.5.18

Zugangsrechte

A.6.2

Arbeitsvertragliche Vereinbarungen