Informationsklassifizierung
Kennzeichnung von Informationen
Unternehmen die sich nach ISO/IEC 27001 zertifizieren, oder ein ISMS nach 27001 aufbauen möchten, haben die Maßnahmen der Klassifizierung umzusetzen. Zusammengefasst sind diese Anforderungen, dass:
- Informationen ein angemessenes Schutzniveau entsprechend Ihrer Wertigkeit erhalten;
- Informationen gemäß externen und internen Anforderungen klassifiziert werden;
- Informationen entsprechend einem Klassifizierungsschema gekennzeichnet werden;
- es Verfahren für die Handhabung gemäß dem Klassifizierungsschema gibt.
Schutzbedarfsfeststellung
Die Schutzbedarfsfeststellung im BSI Standard 200–2 empfiehlt drei Kategorien „normal“ sowie „hoch“ und „sehr hoch“.
Abbildung Schutzbedarfsfeststellung (Quelle BSI)
Aus der Schutzbedarfsfeststellung leitet sich folgendes Klassifizierungsschema für gelenkte Informationen ab.
Klassifizierungsschema
Über die Kennzeichnung von Informationen soll erreicht werden, dass Benutzer einfach erkennen können welche Informationsklassifizierungsstufe die jeweiligen Daten tragen. Diese Kennzeichnung muss sowohl elektronisch gespeicherte Daten abdecken, als auch ausgedruckte und archivierte Informationen.
Abbildung Handhabung für Benutzer beim Einsatz der Klassifizierung in Anlehnung an BSI/TISAX Schutzklassen (Quelle = https://www.sec4you.com/klassifizierung-iso-27001/)
Symbolerläuterung
Abbildung Symbole (Quelle = https://www.sec4you.com/klassifizierung-iso-27001/ )
Verweise
- siehe Referenz zum BSI-Standard 200–2.