TISAX® Kapitel 1.3.2 - Inwieweit werden Informationswerte hinsichtlich ihres Schutzbedarfs klassifiziert und gemanagt?

Das Verständnis von TISAX® kann schwierig sein, daher haben wir einen einfachen kostenlosen Leitfaden erstellt

VDA ISA 5.1

Ziel

Die Zielsetzung der Klassifizierung von Informationswerten ist eine konsistente Ermittlung des Schutzbedarfs. Dabei wird der Wert der Information für die Organisation auf Basis der Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) ermittelt und in ein Klassifizierungsschema eingeordnet. Dies ermöglicht der Organisation die Anwendung von angemessenen Schutzmaßnahmen.

Anforderungen (muss):

Ein einheitliches Schema zur Klassifizierung von Informationswerten hinsichtlich des Schutzziels Vertraulichkeit ist vorhanden.
Es wird eine Bewertung der identifizierten Informationswerte nach den definierten Kriterien durchgeführt und dem vorhandenen Schema zur Klassifizierung zugeordnet.
Vorgaben für den Umgang mit Informationsträgern (z. B. Kennzeichnung, korrekte Handhabung, Transport, Speicherung, Rückgabe, Löschung/Entsorgung) in Abhängigkeit von der Klassifizierung der Informationswerte sind vorhanden und werden angewendet.

Anforderungen (sollte):

Die Schutzziele Integrität und Verfügbarkeit werden berücksichtigt.

Referenz zu anderen Standards:

Referenz zu ISO 27001: A.8.2.1, A.8.2.2, A.8.2.3, A 8.3.2

Umsetzung

Klassifizierung von Information

Die Klassifizierung von Informationen sollte auf der Grundlage gesetzlicher Anforderungen, ihres Wertes, ihrer Kritikalität und ihrer Empfindlichkeit gegenüber unbefugter Offenlegung oder Veränderung erfolgen.

Die Klassifizierung von Informationen sollte ein systematischer Prozess sein, der die geschäftlichen Anforderungen, gesetzlichen Vorschriften und die spezifischen Eigenschaften der Information berücksichtigt. Die Verantwortlichen für die Informationswerte sollten die Klassifizierung überwachen, und das Schema sollte klar definierte Konventionen und Überprüfungskriterien enthalten. Es sollte konsistent innerhalb der gesamten Organisation angewendet werden, um ein gemeinsames Verständnis von Schutzanforderungen zu gewährleisten.

Kennzeichnung von Information

Die Kennzeichnungsverfahren sollten sowohl physische als auch elektronische Formate abdecken und leicht erkennbar sein. Die Verfahren sollten klare Anweisungen enthalten, und die Mitarbeiter sollten entsprechend geschult werden. Die Kennzeichnung sollte auch bei sensiblen oder betriebswichtigen Ausgaben von Systemen berücksichtigt werden.

Die Kennzeichnung ist entscheidend für die gemeinsame Nutzung von Informationen, kann aber auch potenzielle Risiken bergen. Daher sollte sie sorgfältig durchgeführt werden.

Handhabung von Werten

Die Verfahren sollten die Handhabung, Verarbeitung, Speicherung und Kommunikation von Informationen abdecken. Dabei sollten Aspekte wie Zugriffsbeschränkungen, ein formales Verzeichnis der berechtigten Empfänger und deutliche Kennzeichnung aller Datenträgerkopien berücksichtigt werden.

Die Handhabung von Werten sollte in Übereinstimmung mit anderen Organisationen erfolgen, um Missverständnisse und Risiken zu vermeiden.

Entsorgung von Datenträgern

Es sollten klare Verfahren für die sichere Entsorgung von Datenträgern festgelegt werden, die die Sensibilität der Daten berücksichtigen. Dies kann durch sichere Lagerung, Verbrennung, Schreddern oder Löschung erfolgen. Die Auswahl eines externen Dienstleisters sollte sorgfältig erfolgen, und die Entsorgung sollte protokolliert werden.

Die Entsorgung von Datenträgern sollte unter Berücksichtigung möglicher Risiken durch Kumulierungseffekte oder beschädigte Datenträger erfolgen.

© DeltaSecure GmbH. Alle Rechte vorbehalten.

Yes! Give Me Access to the Videos Now

Enter your email below to get instant access to video 1 in our FREE training series

We process your personal data as stated in our Privacy Policy. You may withdraw your consent at any time by clicking the unsubscribe link at the bottom of any of our emails.

Close