TISAX® Kapitel 1.3.2
Inwieweit werden Informationswerte hinsichtlich ihres Schutzbedarfs klassifiziert und gemanagt?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Vorlagenpaket.
Ziel
Das Ziel einer Klassifizierung von Informationswerten ist die beständige Ermittlung ihres Schutzbedarfs. Zu diesem Zweck wird der Wert der Information für die Organisation auf Basis der Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) ermittelt und in ein Klassifizierungsschema eingeordnet. Dies ermöglicht der Organisation die Umsetzung von angemessenen Schutzmaßnahmen.
Anforderungen
- Muss
- Ein einheitliches Schema zur Klassifizierung von Informationswerten hinsichtlich des Schutzziels Vertraulichkeit ist verfügbar.
- Muss
- Es wird eine Beurteilung der identifizierten Informationswerte entsprechend den definierten Kriterien vorgenommen und dem vorhandenen Klassifizierungsschema zugeordnet.
- Muss
- Vorgaben für den Umgang mit Informationsträgern (z.B. Kennzeichnung, korrekte Handhabung, Transport, Speicherung, Rückgabe, Löschung/Entsorgung) in Abhängigkeit von der Klassifizierung der Informationswerte sind vorhanden und werden umgesetzt.
- Sollte
- Die Schutzziele Integrität und Verfügbarkeit werden berücksichtigt.
Umsetzung
Klassifizierung von Information
Die Klassifizierung von Informationen sollte auf der Grundlage gesetzlicher Anforderungen, ihres Wertes, ihrer Kritikalität und ihrer Empfindlichkeit gegenüber unbefugter Offenlegung oder Veränderung erfolgen.
Die Klassifizierung von Informationen sollte ein systematischer Prozess sein, der die geschäftlichen Anforderungen, gesetzlichen Vorschriften und die spezifischen Eigenschaften der Information berücksichtigt. Die Verantwortlichen für die Informationswerte sollten die Klassifizierung überwachen, und das Schema sollte klar definierte Konventionen und Überprüfungskriterien enthalten. Es sollte konsistent innerhalb der gesamten Organisation angewendet werden, um ein gemeinsames Verständnis von Schutzanforderungen zu gewährleisten.
Kennzeichnung von Information
Die Kennzeichnungsverfahren sollten sowohl physische als auch elektronische Formate abdecken und leicht erkennbar sein. Die Verfahren sollten klare Anweisungen enthalten, und die Mitarbeiter sollten entsprechend geschult werden. Die Kennzeichnung sollte auch bei sensiblen oder betriebswichtigen Ausgaben von Systemen berücksichtigt werden.
Die Kennzeichnung ist entscheidend für die gemeinsame Nutzung von Informationen, kann aber auch potenzielle Risiken bergen. Daher sollte sie sorgfältig durchgeführt werden.
Handhabung von Werten
Die Verfahren sollten die Handhabung, Verarbeitung, Speicherung und Kommunikation von Informationen abdecken. Dabei sollten Aspekte wie Zugriffsbeschränkungen, ein formales Verzeichnis der berechtigten Empfänger und deutliche Kennzeichnung aller Datenträgerkopien berücksichtigt werden.
Die Handhabung von Werten sollte in Übereinstimmung mit anderen Organisationen erfolgen, um Missverständnisse und Risiken zu vermeiden.
Entsorgung von Datenträgern
Es sollten klare Verfahren für die sichere Entsorgung von Datenträgern festgelegt werden, die die Sensibilität der Daten berücksichtigen. Dies kann durch sichere Lagerung, Verbrennung, Schreddern oder Löschung erfolgen. Die Auswahl eines externen Dienstleisters sollte sorgfältig erfolgen, und die Entsorgung sollte protokolliert werden.
Die Entsorgung von Datenträgern sollte unter Berücksichtigung möglicher Risiken durch Kumulierungseffekte oder beschädigte Datenträger erfolgen.
