TOM INFORMATIONSSICHERHEIT

8.2 Informationsklassifizierung

8.2.1 Klassifizierung von Information

Information sollte anhand der gesetzlichen Anforderungen, ihres Wertes, ihrer Kritikalität und ihrer Empfindlichkeit gegenüber unbefugter Offenlegung oder Veränderung klassifiziert werden.

  1. Öffentlich zugängliche Informationen Dies sind Informationen, die öffentlich zugänglich sind und keine Vertraulichkeit erfordern. Hierzu können beispielsweise Marketingmaterialien, Informationen über das Unternehmen oder allgemein zugängliche Kundendaten gehören.

  2. Interne Informationen Diese Informationen sind ausschließlich für interne Zwecke bestimmt und sollten nur von autorisierten Mitarbeitern zugänglich gemacht werden. Hierzu können beispielsweise Geschäftsprozesse, Organisationsstrukturen oder interne Kommunikation gehören.

  3. Geschäftsgeheimnisse Diese Informationen sind besonders vertraulich und sollten nur von Personen mit der entsprechenden Genehmigung und einem berechtigten Grund zugänglich gemacht werden. Hierzu können beispielsweise geistiges Eigentum, finanzielle Daten oder Kundeninformationen gehören.

  4. Persönlich identifizierbare Informationen (PII) Diese Informationen sind personenbezogen und sollten besonders geschützt werden, um die Privatsphäre der betroffenen Personen zu gewährleisten. Hierzu können beispielsweise Namen, Adressen, Geburtsdaten oder Sozialversicherungsnummern gehören.

Diese Klassifizierungsrichtlinien werden regelmäßig überprüft, sowie aktualisiert und je nach spezifischen Geschäftsanforderungen und Risiken weiterentwickelt.
Die Überprüfung erfolgt durch interne Audits, und die Ergebnisse werden dokumentiert.

8.2.2 Kennzeichnung von Information

  1. Kennzeichnung von öffentlichen Informationen: Öffentliche Informationen können mit einem Hinweis versehen werden, dass sie für die Öffentlichkeit zugänglich sind und keine besonderen Sicherheitsvorkehrungen erfordern.

  2. Kennzeichnung von internen Informationen: Interne Informationen sollten mit einem Hinweis versehen werden, dass sie nur für den internen Gebrauch bestimmt sind und nicht an externe Parteien weitergegeben werden sollten.

  3. Kennzeichnung von vertraulichen Informationen: Vertrauliche Informationen sollten mit einem entsprechenden Hinweis gekennzeichnet werden, z.B. “vertraulich” oder “nur für den internen Gebrauch”. Es sollten spezielle Sicherheitsmaßnahmen ergriffen werden, um sicherzustellen, dass nur autorisierte Personen Zugang zu diesen Informationen haben.

  4. Kennzeichnung von geheimen Informationen: Geheime Informationen sollten mit einem Hinweis gekennzeichnet werden, z.B. “streng geheim” oder “vertraulich”. Es sollten zusätzliche Sicherheitsmaßnahmen ergriffen werden, um sicherzustellen, dass nur befugte Personen Zugang zu diesen Informationen haben und dass sie in einer sicheren Umgebung aufbewahrt werden.

Zusätzlich können weitere Verfahren wie Verschlüsselung, Zugriffskontrollen und Überwachung der Informationen eingesetzt werden, um sicherzustellen, dass sie angemessen geschützt sind.
Die Einhaltung der Kennzeichnungsrichtlinien wird regelmäßig überprüft, und Abweichungen werden dokumentiert und behoben.

Alle Mitarbeiter werden über diese Verfahren informiert und geschult, um sicherzustellen, dass die Informationen angemessen klassifiziert und geschützt werden.

8.2.3 Handhabung von Werten

Die Einführung eines Verfahrens für die Handhabung, Verarbeitung, Speicherung und Kommunikation von Informationen entsprechend ihrer Klassifizierung ist ein wichtiger Schritt, um sicherzustellen, dass unsere Informationen angemessen geschützt sind. Ein solches Verfahren wurde wie folgt eingeführt:

Identifizierung von Informationsklassen: Wir identifizieren zunächst, welche Informationsklassen es gibt, wie in der vorherigen Punkten beschrieben. Jede Klasse sollte entsprechend der Schutzstufe, die sie erfordert, bewertet werden.

Klassifizierung der vorhandenen Informationen: Alle vorhandenen Informationen werden anhand der identifizierten Informationsklassen klassifiziert. Dabei kann es hilfreich sein, eine Checkliste zu erstellen, um sicherzustellen, dass alle Informationen in die entsprechenden Klassen eingeteilt werden.

Einführung von Verfahren: Sollten neue Verfahren hinzukommen, müssen hierfür eindeutige Prozesse einführen, um sicherzustellen, dass jede Informationsklasse gemäß den Anforderungen ihrer Schutzstufe behandelt wird. Diese Verfahren sollten in der gesamten Organisation bekannt gemacht und regelmäßig überprüft und aktualisiert werden.

Schulung der Mitarbeiter: Alle Mitarbeiter werden über die Bedeutung der Informationsklassifizierung wie sie mit jeder Informationsklasse umgehen müssen in geeigneter Weise informiert werden.

Überwachung und Überprüfung: Die automIT AG führt regelmäßige Überprüfungen durch, um sicherzustellen, dass die Verfahren ordnungsgemäß umgesetzt werden und dass die Mitarbeitenden die Bedeutung der Informationsklassifizierung verstehen. Jeder Verstoß gegen die Verfahren muss dokumentiert und entsprechende Maßnahmen ergriffen werden.

Fortlaufende Verbesserung: Die automIT AG überprüft und aktualisiert seine Verfahren regelmäßig, um sicherzustellen, dass sie weiterhin effektiv sind und den sich ändernden Bedrohungen und Anforderungen gerecht werden.
Die Ergebnisse der Überprüfungen werden dokumentiert, und Maßnahmen zur Verbesserung werden priorisiert und umgesetzt.

Durch die Einführung eines Verfahrens für die Handhabung, Verarbeitung, Speicherung und Kommunikation von Informationen entsprechend ihrer Klassifizierung stellen wir sicher, dass alle Informationen angemessen geschützt sind und dass jeder Mitarbeiter weiß, wie er mit ihnen umgehen muss. Dies trägt dazu bei, die Integrität, Vertraulichkeit und Verfügbarkeit der Informationen zu gewährleisten und das Risiko von Datenverlusten oder -lecks zu minimieren.

Last updated: April 10, 2025: feat(ISO-1217-Kap8): improved Kap 8 (fba95b0)
Bearbeiten