Clean-Desk- und Clear-Screen-Richtlinie

Die Clean-Desk- und Clear-Screen-Richtlinie (P10) etabliert strenge Kontrollen, um sicherzustellen, dass sensible Informationen in jeder physischen oder hybriden Arbeitsplatzumgebung vor unbefugtem Zugriff, Offenlegung, Verlust oder Diebstahl geschützt sind. Sie unterstützt weltweit anerkannte regulatorische Verpflichtungen wie ISO/IEC 27001:2022 (insbesondere Klauseln zu physischer und verhaltensbezogener Sicherheit), GDPR-Artikel zu Datenschutz und Vertraulichkeit sowie weitere Rahmenwerke einschließlich NIST SP 800-53, EU NIS2, EU DORA und COBIT 2019. Diese Richtlinie hat einen breiten Geltungsbereich und gilt universell für unbefristete und befristete Mitarbeiter, Auftragnehmer, Drittdienstleister und auch Besucher, die Zugang zu vertraulichen Arbeitsbereichen haben können. Sie regelt das Verhalten strikt in Einzelbüros, offenen Bereichen, Besprechungsräumen sowie in Remote- oder hybriden Arbeitsumgebungen wie Hot-Desking. Ziel ist es, sicheres Verhalten zu standardisieren, sodass sämtliches Personal – unabhängig von Rolle oder Arbeitsort – dieselben Regeln zum Schutz von Informationen einhält. Es werden klare Anforderungen sowohl für physische Sicherheitsmaßnahmen als auch für technische Maßnahmen festgelegt. Benutzer müssen Schreibtische frei von offenliegenden sensiblen Dokumenten halten, Bildschirme vor dem Weggehen sperren, vertrauliche Materialien sicher aufbewahren oder entsorgen und weder Zugangsdaten noch Geräte unbeaufsichtigt lassen. Der IT-Betrieb ist verpflichtet, Systeme mit Bildschirmsperr-Timern von maximal 5 Minuten zu konfigurieren, Sichtschutzfilter in stark frequentierten Bereichen bereitzustellen und technische Durchsetzung für alle Endpunkte umzusetzen. Facility- und physische Sicherheit-Teams stellen abschließbare Aufbewahrung, Aktenvernichter und klare Beschilderung bereit, führen regelmäßige Compliance-Begehungen durch und bearbeiten Verstöße. Die Verantwortlichkeiten für Durchsetzung und Aufsicht sind auf die Geschäftsleitung, den Chief Information Security Officer (CISO)/ISMS-Manager, Facilities, IT und direkte Linienvorgesetzte verteilt und stellen so einen mehrschichtigen Ansatz der Rechenschaftspflicht sicher. Die Richtlinie schreibt ein robustes Schulungsprogramm, Onboarding und regelmäßige Auffrischungsschulungen vor, um sämtliches Personal über die Risiken unbeaufsichtigter sensibler Informationen zu informieren. Regelmäßige Audits, die Nachverfolgung von Wirksamkeitskennzahlen (z. B. beobachtete Verstöße und Schulungsnachweise) sowie strenge Eskalationskanäle bei Nichteinhaltung – einschließlich HR-Disziplinarmaßnahmen – belegen das Engagement für operative Disziplin und rechtliche Auditbereitschaft. Ausnahmebehandlung und Restrisiko-Prozesse sind ebenfalls vorgesehen und erfordern fortgeschrittene Genehmigung, Dokumentation und zusätzliche Kontrollen für jede Abweichung. Insgesamt vereint diese Richtlinie Benutzerverhalten, Arbeitsplatzgestaltung, technische Durchsetzung und Auditprozesse in einem wiederholbaren Rahmenwerk, das für organisatorische Resilienz und regulatorische Compliance wesentlich ist. Alle Aktualisierungen unterliegen Überprüfungs- und Aktualisierungsanforderungen, werden über offizielle Kanäle kommuniziert und erfordern eine erneute Richtlinienbestätigung. Abgestimmte Richtlinien zu Informationssicherheit, Risikomanagement, Asset-Klassifizierung, Datenklassifizierung, Datenaufbewahrungsrichtlinie, Entsorgungsverfahren und Überwachung stärken das gesamte Governance-System zusätzlich.