Das Verständnis von TISAX® kann schwierig sein, daher haben wir einen einfachen kostenlosen Leitfaden erstellt
Die Zielsetzung der Klassifizierung von Informationswerten ist eine konsistente Ermittlung des Schutzbedarfs. Dabei wird der Wert der Information für die Organisation auf Basis der Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) ermittelt und in ein Klassifizierungsschema eingeordnet. Dies ermöglicht der Organisation die Anwendung von angemessenen Schutzmaßnahmen.
Referenz zu ISO 27001: A.8.2.1, A.8.2.2, A.8.2.3, A 8.3.2
Die Klassifizierung von Informationen sollte auf der Grundlage gesetzlicher Anforderungen, ihres Wertes, ihrer Kritikalität und ihrer Empfindlichkeit gegenüber unbefugter Offenlegung oder Veränderung erfolgen.
Die Klassifizierung von Informationen sollte ein systematischer Prozess sein, der die geschäftlichen Anforderungen, gesetzlichen Vorschriften und die spezifischen Eigenschaften der Information berücksichtigt. Die Verantwortlichen für die Informationswerte sollten die Klassifizierung überwachen, und das Schema sollte klar definierte Konventionen und Überprüfungskriterien enthalten. Es sollte konsistent innerhalb der gesamten Organisation angewendet werden, um ein gemeinsames Verständnis von Schutzanforderungen zu gewährleisten.
Die Kennzeichnungsverfahren sollten sowohl physische als auch elektronische Formate abdecken und leicht erkennbar sein. Die Verfahren sollten klare Anweisungen enthalten, und die Mitarbeiter sollten entsprechend geschult werden. Die Kennzeichnung sollte auch bei sensiblen oder betriebswichtigen Ausgaben von Systemen berücksichtigt werden.
Die Kennzeichnung ist entscheidend für die gemeinsame Nutzung von Informationen, kann aber auch potenzielle Risiken bergen. Daher sollte sie sorgfältig durchgeführt werden.
Die Verfahren sollten die Handhabung, Verarbeitung, Speicherung und Kommunikation von Informationen abdecken. Dabei sollten Aspekte wie Zugriffsbeschränkungen, ein formales Verzeichnis der berechtigten Empfänger und deutliche Kennzeichnung aller Datenträgerkopien berücksichtigt werden.
Die Handhabung von Werten sollte in Übereinstimmung mit anderen Organisationen erfolgen, um Missverständnisse und Risiken zu vermeiden.
Es sollten klare Verfahren für die sichere Entsorgung von Datenträgern festgelegt werden, die die Sensibilität der Daten berücksichtigen. Dies kann durch sichere Lagerung, Verbrennung, Schreddern oder Löschung erfolgen. Die Auswahl eines externen Dienstleisters sollte sorgfältig erfolgen, und die Entsorgung sollte protokolliert werden.
Die Entsorgung von Datenträgern sollte unter Berücksichtigung möglicher Risiken durch Kumulierungseffekte oder beschädigte Datenträger erfolgen.
TISAX® Kapitel 1.1.1 - Inwieweit sind Richtlinien zur Informationssicherheit vorhanden?
TISAX® Kapitel 1.2.1 - Inwieweit wird in der Organisation Informationssicherheit gemanagt?
TISAX® Kapitel 1.3.1 - Inwieweit werden Informationswerte (Assets) identifiziert und erfasst?
TISAX® Kapitel 1.4.1 - Inwieweit werden Informationssicherheitsrisiken gemanagt?
TISAX® Kapitel 1.5.2 - Inwieweit wird das ISMS von einer unabhängigen Instanz überprüft?
© DeltaSecure GmbH. Alle Rechte vorbehalten.