ISO 27001 Annex A 6.1. Warum Personal-Screening keine Option mehr ist.

ISO 27001 verlangt Klarheit. Besonders beim Faktor Mensch.

Mit Annex A 6.1 verpflichtet die Norm Organisationen dazu, Mitarbeitende vor der Einstellung angemessen zu überprüfen. Nicht optional. Nicht implizit. Sondern explizit. Trotzdem zeigen ISO-Audits immer wieder dasselbe Bild:

  1. Technische Kontrollen sind sauber dokumentiert. Firewalls. Zugriffskonzepte. Logs.
  2. Beim Personal bleibt es oft bei Lebenslauf, Interview und Referenzen.

Das reicht nicht mehr!

Was Annex A 6.1 konkret fordert

Annex A 6.1 adressiert das Risiko durch Personen mit Zugriff auf Informationen, Systeme und Prozesse.

Die Norm verlangt, dass Organisationen vor der Einstellung prüfen, ob eine Person für die vorgesehene Rolle geeignet ist und kein erkennbares Sicherheitsrisiko darstellt.

Entscheidend ist nicht nur die Durchführung. Entscheidend ist die Nachweisbarkeit im Audit.

Wie Validato Annex A 6.1 operativ abdeckt

Validato übersetzt die Normforderung in einen klaren, dokumentierten Prozess:


Pre-Employment Background Checks

Strukturierte Prüfungen vor Vertragsabschluss. Rollen- und risikobasiert.


Identitätsprüfung

Verifikation von Ausweisdokumenten. Plausibilitätsprüfung der Angaben. Abgleich von Identität und Dokumenten.


Prüfung von Werdegang und Qualifikationen

Verifikation früherer Arbeitgeber, Tätigkeiten und Abschlüsse. Reduktion von CV-Risiken und Falschangaben.


Integritäts- und Compliance-Checks

Abgleich gegen Strafregister (wo rechtlich zulässig), Sanktionslisten, PEP-Listen und internationale Watchlists.


Auditfähige Dokumentation

Klare Reports. Zeitstempel. Nachvollziehbare Ergebnisse.

Geeignet für ISO-Audits, interne Revisionen und Compliance-Nachweise.

Der entscheidende Mehrwert für ISO-zertifizierte Organisationen

Mit strukturiertem Personenscreening wird Annex A 6.1 direkt und überprüfbar erfüllt.

  1. Kein Interpretationsspielraum im Audit.
  2. Keine Diskussion über „angemessen“.

Keine implizite Vertrauensannahme.

Stattdessen: Ein dokumentierter Kontrollmechanismus für den Faktor Mensch.


Fazit

ISO 27001 betrachtet Menschen als Teil der Sicherheitsarchitektur. Annex A 6.1 macht das unmissverständlich klar.

Organisationen, die Personenscreening systematisch umsetzen, schließen eine der häufigsten Lücken im ISMS.

Validato liefert dafür die operative Umsetzung. Heute noch einen Termin mit uns vereinbaren!