Die Einführung eines Informationssicherheitsmanagementsystems (ISMS) geht mehrfach mit Veränderungen für die Organisation einher. Durch neue Richtlinien verändern sich oftmals gewohnte Arbeitsweisen. Diese werden an der einen oder anderen Stelle eingeschränkt. Darüber hinaus misst der CISO die Wirksamkeit eines ISMS anhand von KPIs.
Selbst wenn der Betriebsrat ein Grundverständnis für die Notwendigkeit eines ISMS zum Schutz der organisatorischen Informationswerte hat, sieht er die Gefahr einer möglichen Mitarbeiterüberwachung:
Wenn wir z.B. von Informationssicherheitsvorfällen sprechen, ist es dienlich, diese aufzuklären. Insbesondere, um in Zukunft Vorfälle zu minimieren, ist eine forensische Analyse bei einigen IT-Sicherheitsvorfällen vonnöten. Jedoch wird bei dieser Analyse häufig auch das Verhalten der Nutzer geprüft.
Man kann sich gut vorstellen, dass ein IT-Nutzer eine Phishing-E-Mail erhalten hat und diese als vertrauliche E-Mail eingestuft und in dieser einen Link aufruft. Dies sollte untersucht werden dürfen. Nun kann der CISO ableiten, dass der Spamfilter genauer arbeiten muss und dass die Mitarbeiter weiter geschult werden sollten.
Nach der Schulung der Mitarbeiter führt das Unternehmen Phishing Simulationen durch, um die Wirksamkeit der Schulung zu überprüfen.
Häufig werden die oben beschriebenen Situationen als Mitarbeiter Überwachung betrachtet und müssen mit dem Betriebsrat diskutiert werden. Aus diesem Grund ist es sinnvoll und notwendig den Betriebsrat bereits innerhalb des Einführungsprojektes einzubeziehen und entsprechende Regelungen zu treffen. Denn der Verlust oder die nicht mehr gegebene Verfügbarkeit von Informationswerten kann ein existenzielles Risiko für die Organisation und somit für den einzelnen Arbeitnehmer in sich bergen.