platinus-RICHTLINIEN zur Datenschutz- und Informationsklassifizierung

Warum Informationsklassifizierung?

platinus Consulting muss auf Basis gesetzlicher Vorschriften (AGB UB, Datenschutz-Grundverordnung) und aufgrund von Sicherheitsanforderungen von Partnern und Kunden höchste (Informations- und Datenschutz-) Sicherheitsstandards gewährleisten können. Ein wichtiger Bestandteil dieser Sicherheitsstandards ist der korrekte Umgang mit sensiblen Informationen, Daten und Dokumenten sowie der korrekte Umgang mit personenbezogenen Daten. 

Damit jeder auf den ersten Blick erkennen kann, wie Daten, Dokumenten bzw. Informationen zu behandeln sind, gibt es bei platinus ein einfaches Informations- und Datenschutzklassifikationssystem.

Was sind die Ziel der Informations- und Datenschutzklassifizierung?

  • Alle Informationen und Daten sollen angemessen vor dem Verlust der Vertraulichkeit geschützt werden.
  • Alle personenbezogenen Daten sollen angemessen vor Missbrauch geschützt werden.
  • Sensibilisierung aller Leistungsträger durch Beteiligung am Projekt und / oder gezielte Informationen.
  • Hilfestellungen und verbindliche Vorgaben zur Identifikation von und Umgang mit (sensiblen) Informationen hinsichtlich
    1. Ablage
    2. Zugriff
    3. Vervielfältigung
    4. Übertragung/ Weitergabe
    5. Vernichtung

Was sind die Sensitivitätsstufen bei der Informations- und Datenschutzklassifizierung?

Sensitivitätsstufen sind mit verbindlichen Vorgaben zu Zugriffen, Übertragung, Ablage, Vervielfältigung und Vernichtung definiert.

Nicht klassifiziert werden nur Veröffentlichungen, Pressemitteilungen und Kundenschreiben ohne oder mit als unkritisch eingestuften personenbezogen Daten. 

Alle Dokumente ohne Klassifikation werden wie "vertraulich" behandelt.

 

Informationsklassifizierung 

öffentlich - public

Informationen dürfen an MitarbeiterInnen, aber auch an andere Personen weitergegeben werden.

intern - internal

Informationen dürfen an MitarbeiterInnen weitergegeben werden, an andere Personen nur dann, wenn es geschäftlich notwendig ist.

vertraulich confidential

geheim restricted

persönlich private

öffentlich public

intern internal

Informationen müssen innerhalb einer Gruppe bleiben, die durch den Verteiler oder den Kontext definiert wird. Der Autor und Eigentümer muss ersichtlich sein. Wenn es geschäftlich notwendig ist, kann der Besitzer selbst entscheiden, ob die Daten außerhalb der Gruppe zugänglich gemacht werden - dann ist eine unterschriebene Vertraulichkeitserklärung respektive Geheimhaltungserklärung (NDA - non disclosure agreement ) notwendig. Ergänzend sind spezielle Prozesse definiert, wie z.B. im Compliance Code oder im Umgang mit MitarbeiterInnen- und Kundendaten, die auch gesetzlich geschützt sind. Vertrauliche Daten müssen mit Sorgfalt behandelt und beim Übertragen in öffentlichen Netzen verschlüsselt werden.
Beispiel: Daten aus den Bereichen Finanzen&Controlling und Personal, normale personenbezogene Daten wie Namen, Adressen usw.

Informationen dürfen nur nach ausdrücklicher Genehmigung weitergegeben werden. Nur der Eigentümer (Document Caretaker) klassifiziert und darf auch die Weitergabe genehmigen. Diese Person muss am Dokument angegeben sein. Wenn Sie als Eigentümer die Information löschen, fordern Sie auch alle anderen Besitzer auf, diese ebenfalls zu löschen. Speichern und Übertragen der Daten darf nur verschlüsselt erfolgen. Eine unverschlüsselte Weitergabe der Daten darf nur von Angesicht zu Angesicht stattfinden. Die Dokumente können Wasserzeichen oder eindeutige Informationen zur Identifikation enthalten.
Beispiel: Streng vertrauliche Konditionen / Vertragsbedingungen, Kennwörter, sensible personenbezogene Daten wie Konfession, Gesundheitsdaten, politische Einstellung usw.

Informationen die nicht das Unternehmen direkt betreffen und in den Privatbereich des Leistungsträgers fallen.
Informationen dürfen nicht an andere Personen weitergegeben werden.
Beispiel: Private Kommunikation mit Familienangehörigen

Informationssicherheitsklassifizierung 

Spread the love