Im Rahmen der ISO/IEC 27001 und der zugehörigen Leitlinie ISO/IEC 27002 werden Überprüfungen des Personals im Kontext der Informationssicherheit insbesondere im Abschnitt „A.7 – Personalsicherheit“ thematisiert. **Konkret fordert ISO/IEC 27001:2013 im Anhang A, Kontrollziel A.7.1:** > „Sicherstellen, dass Mitarbeiter und Auftragnehmer das Bewusstsein für ihre Verantwortlichkeiten im Bereich der Informationssicherheit haben und dass sie für ihre Handlungen zur Verantwortung gezogen werden können.“ **Die zugehörige Maßnahme A.7.1.1 (Screening) besagt:** > „Hintergrundüberprüfungen aller Kandidaten für eine Anstellung sollten im Einklang mit den relevanten Gesetzen, Vorschriften und ethischen Grundsätzen durchgeführt werden und sollten dem Geschäftsrisiko angemessen sein.“ **Das bedeutet:** - Bereits **vor der Einstellung** (Pre-Employment) sollen Überprüfungen wie z.B. Referenzprüfungen, Überprüfung von Qualifikationen oder ggf. polizeiliche Führungszeugnisse durchgeführt werden, sofern dies rechtlich zulässig und angemessen ist. - Die **Tiefe und Art der Überprüfung** hängt vom jeweiligen Risiko der Position ab (z.B. besonders kritisch bei Zugang zu sensiblen Daten). - Auch **während des Beschäftigungsverhältnisses** kann es, abhängig von der Rolle und dem Risiko, zu weiteren Überprüfungen kommen (z.B. bei Beförderungen in sicherheitskritische Positionen). **ISO/IEC 27002:2022** konkretisiert dies in Abschnitt 6.1 (Screening) und gibt Empfehlungen, wie diese Überprüfungen gestaltet werden sollten. **Zusammengefasst:** ISO 27001/27002 fordert Überprüfungen des Personals insbesondere vor der Einstellung und – je nach Risiko – auch während des Beschäftigungsverhältnisses, um sicherzustellen, dass nur vertrauenswürdige Personen Zugang zu sensiblen Informationen erhalten. Weitere Informationen findest du direkt bei [ISO](https://www.iso.org/standard/54534.html) oder in der [deutschen Normfassung beim Beuth Verlag](https://www.beuth.de/de/norm/din-en-iso-iec-27001/289430848).