Information Security: Datenklassifikation
Damit jeder auf den ersten Blick erkennen kann, wie Daten zu behandeln sind, gibt es ein einfaches Klassifikationssystem. Nicht klassifiziert werden nur Veröffentlichungen, Pressemitteilungen und Kundenschreiben.
öffentlich / public
Informationen dürfen an MitarbeiterInnen, aber auch an andere Personen weitergegeben werden.
intern / internal
Informationen dürfen an MitarbeiterInnen weitergegeben werden, an andere Personen nur dann, wenn es geschäftlich notwendig ist.
vertraulich / confidential
Informationen müssen innerhalb einer Gruppe bleiben, die durch den Verteiler oder den Kontext definiert wird. Der Autor und Eigentümer muss ersichtlich sein. Wenn es geschäftlich notwendig ist, kann der Besitzer selbst entscheiden, ob die Daten außerhalb der Guppe zugänglich gemacht werden - dann ist eine unterschriebene Vertraulichkeitserklärung respektive Geheimhaltungserklärung notwendig. Ergänzend sind spezielle Prozess definiert, wie z.B. im Compliance Code oder im Umgang mit MitarbeiterInnen- und Kundendaten, die auch gesetzlich geschützt sind. Vertrauliche Daten müssen mit Sorgfalt behandelt und beim Übertragen in öffentlichen Netzen verschlüsselt werden.
geheim / restricted
Informationen dürfen nur nach ausdrücklicher Genehmigung weitergegeben werden. Nur der Eigentümer klassifiziert und darf auch die Weitergabe genehmigen. Diese Person muss am Dokument angegeben sein. Wenn Sie als Eigentümer die Information löschen, fordern Sie auch alle anderen Besitzer auf, diese ebenfalls zu löschen. Speichern und Übertragen der Daten darf nur verschlüsselt erfolgen. Eine unverschlüsselte Weitergabe der Daten darf nur von Angesicht zu Angesicht sttfinden.
Alle Dokumente ohne Klassifikation werden wie "interne" behandelt.
