VDA ISA 6.0.2

TISAX® Kapitel 1.3.2
Inwieweit werden Informationswerte hinsichtlich ihres Schutzbedarfs klassifiziert und gemanagt?

Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?

Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Komplettpaket.

Ziel

Das Ziel einer Klassifizierung von Informationswerten ist die beständige Ermittlung ihres Schutzbedarfs. Zu diesem Zweck wird der Wert der Information für die Organisation auf Basis der Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) ermittelt und in ein Klassifizierungsschema eingeordnet. Dies ermöglicht der Organisation die Umsetzung von angemessenen Schutzmaßnahmen.

Anforderungen

Muss
Ein einheitliches Schema zur Klassifizierung von Informationswerten hinsichtlich des Schutzziels Vertraulichkeit ist verfügbar.
Muss
Es wird eine Beurteilung der identifizierten Informationswerte entsprechend den definierten Kriterien vorgenommen und dem vorhandenen Klassifizierungsschema zugeordnet.
Muss
Vorgaben für den Umgang mit Informationsträgern (z.B. Kennzeichnung, korrekte Handhabung, Transport, Speicherung, Rückgabe, Löschung/Entsorgung) in Abhängigkeit von der Klassifizierung der Informationswerte sind vorhanden und werden umgesetzt.
Sollte
Die Schutzziele Integrität und Verfügbarkeit werden berücksichtigt.

Umsetzung

Klassifizierung von Information

Die Klassifizierung von Informationen sollte auf der Grundlage gesetzlicher Anforderungen, ihres Wertes, ihrer Kritikalität und ihrer Empfindlichkeit gegenüber unbefugter Offenlegung oder Veränderung erfolgen.

Die Klassifizierung von Informationen sollte ein systematischer Prozess sein, der die geschäftlichen Anforderungen, gesetzlichen Vorschriften und die spezifischen Eigenschaften der Information berücksichtigt. Die Verantwortlichen für die Informationswerte sollten die Klassifizierung überwachen, und das Schema sollte klar definierte Konventionen und Überprüfungskriterien enthalten. Es sollte konsistent innerhalb der gesamten Organisation angewendet werden, um ein gemeinsames Verständnis von Schutzanforderungen zu gewährleisten.

Kennzeichnung von Information

Die Kennzeichnungsverfahren sollten sowohl physische als auch elektronische Formate abdecken und leicht erkennbar sein. Die Verfahren sollten klare Anweisungen enthalten, und die Mitarbeiter sollten entsprechend geschult werden. Die Kennzeichnung sollte auch bei sensiblen oder betriebswichtigen Ausgaben von Systemen berücksichtigt werden.

Die Kennzeichnung ist entscheidend für die gemeinsame Nutzung von Informationen, kann aber auch potenzielle Risiken bergen. Daher sollte sie sorgfältig durchgeführt werden.

Handhabung von Werten

Die Verfahren sollten die Handhabung, Verarbeitung, Speicherung und Kommunikation von Informationen abdecken. Dabei sollten Aspekte wie Zugriffsbeschränkungen, ein formales Verzeichnis der berechtigten Empfänger und deutliche Kennzeichnung aller Datenträgerkopien berücksichtigt werden.

Die Handhabung von Werten sollte in Übereinstimmung mit anderen Organisationen erfolgen, um Missverständnisse und Risiken zu vermeiden.

Entsorgung von Datenträgern

Es sollten klare Verfahren für die sichere Entsorgung von Datenträgern festgelegt werden, die die Sensibilität der Daten berücksichtigen. Dies kann durch sichere Lagerung, Verbrennung, Schreddern oder Löschung erfolgen. Die Auswahl eines externen Dienstleisters sollte sorgfältig erfolgen, und die Entsorgung sollte protokolliert werden.

Die Entsorgung von Datenträgern sollte unter Berücksichtigung möglicher Risiken durch Kumulierungseffekte oder beschädigte Datenträger erfolgen.

Jetzt Vorlagenpaket verwenden!

122 Unternehmen und 122 erfolgreiche Audits sprechen eine eindeutige Sprache.

Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde