Was ist die Informationsklassifizierung nach ISO 27001?

Die Klassifizierung von Informationen ist angesichts von Cyber-Bedrohungen unerlässlich, wenn Sie wissen wollen, wie Sie bestimmte Daten schützen und Sicherheitsvorfälle in Ihrem Unternehmen verhindern können.

‍

ISO 27001 Unter Informationsklassifizierung versteht man den Prozess der Einteilung von Informationen in relevante Kategorien. In einem Unternehmen sollten z. B. Finanzakten nicht mit Akten der Marketingabteilung vermischt werden. Stattdessen sollten sie getrennt aufbewahrt werden und nur den entsprechenden Personen zugänglich sein, die dazu befugt und ermächtigt sind. Auf diese Weise sind die gespeicherten Informationen sicher und können bei Bedarf auch schneller abgerufen werden. 

‍

Bei der Klassifizierung von Informationen handelt es sich um ein Verfahren, mit dem Organisationen die (internen und externen) Daten, über die sie verfügen, und den Grad des Schutzes, den sie erhalten sollten, bewerten. Es ist also keine gute Idee, wenn das Marketingteam schnell ein paar sensible Finanzdaten in einen Artikel für die NY Times packt, weil es damit prahlen will, was sein Unternehmen erreicht hat. Der Steuerberater wird sich besonders freuen und erst einmal ein paar Xanax einwerfen. Eigentlich ist es dem Marketingteam egal, wie es um die Finanzen des Unternehmens bestellt ist, Hauptsache, das Budget stimmt. Das Leben in der coolsten Abteilung in vollen Zügen genießen. Übrigens, das sind nur Gerüchte! 

‍

Wie die Daten kategorisiert werden, hängt von der Branche und der Art der Daten ab, die die Organisation sammelt, speichert, verwendet, verarbeitet und überträgt. Im Gesundheitswesen und bei Organisationen, die mit dem Gesundheitswesen zu tun haben, wären dies Patientennamen, Geburtsdaten, Sozialversicherungsnummern, Krankenakten und -verläufe oder Informationen zu Rezepten. Bei Finanzdienstleistern könnte es sich um PINs, Zahlungserfahrungen, Kreditwürdigkeitsprüfungen oder Kreditinformationen handeln. 

‍

Unabhängig von der Art der Daten sollten Sie bei der Klassifizierung der Daten Folgendes beachten 

‍

Welche Daten erhebt mein Unternehmen von Kunden und Anbietern?

Welche Daten erstellt mein Unternehmen?

Wie sensibel sind diese Daten?

Wer braucht Zugang zu welchen Daten?

‍

Je nachdem, wie sensibel bestimmte Daten gehandhabt werden sollen, sind unterschiedliche Geheimhaltungsgrade erforderlich. Diese bestimmen, wer Zugang zu diesen Daten hat und wie lange die Daten außerdem aufbewahrt werden müssen. 

‍

Bleiben wir noch einen Moment bei der Gesundheitsbranche. Ärzte brauchen Zugang zu den persönlichen Daten der Patienten, einschließlich ihrer Krankengeschichte, die ohnehin schon sehr sensibel ist.

Ärzte (vor allem in Krankenhäusern) sollten jedoch keinen Zugang zu anderen sensiblen Daten, wie z. B. Finanzdaten, haben. 

In diesen Fällen sollte eine gesonderte Klassifizierung erstellt werden, um zwischen sensiblen medizinischen Daten und sensiblen Verwaltungsdaten zu unterscheiden. Dies schließt natürlich z.B. eine klassische Zahnarztpraxis aus. Nichtsdestotrotz gibt es auch für die Privatpatienten Richtlinien zum Schutz von Patienten, medizinischen, sowie den notwendigen Daten für die Rechnung! Deshalb unser Tipp: Mindestens zweimal am Tag die Zähne putzen! Pfefferminz ist eine gute Wahl. Sparen Sie Geld! 

‍

Zurück zum Thema: 

In der Regel gibt es vier Klassifizierungen für Daten: öffentlich, nur für den internen Gebrauch, vertraulich und eingeschränkt.

‍

Vertraulich (nur leitende Angestellte haben Zugang)

Eingeschränkt (die meisten Mitarbeiter haben Zugang)

Intern (alle Mitarbeiter haben Zugang)

Öffentlich (jeder hat Zugang) 

‍

Vertrauliche Daten

Der Zugang zu vertraulichen Daten erfordert eine besondere Genehmigung/Freigabe. Vertrauliche Daten werden in der Regel z.B. durch die Norm ISO 27001 geschützt.

‍

Eingeschränkte Daten

Werden diese Daten kompromittiert oder wird auf sie unbefugt zugegriffen, kann dies zu Strafanzeigen und hohen Geldstrafen führen. Ganz zu schweigen von dem nicht wiedergutzumachenden Schaden für das Unternehmen. Beispiele sind geschützte Informationen oder Forschungsergebnisse sowie Daten, die durch staatliche Vorschriften geschützt sind.

‍

Interne Daten

Diese Daten sind nur für unternehmensinternes Personal oder interne Mitarbeiter mit Zugangsberechtigung zugänglich. Zum Beispiel interne Memos oder Berichte, Geschäftspläne usw.

‍

Öffentliche Daten

Diese Daten sind für die Öffentlichkeit frei zugänglich. Sie können frei verwendet, wiederverwendet und weiterverbreitet werden, ohne dass dies Folgen hat. Ein Beispiel wären Pressemitteilungen.

Weiß Ihr Marketingteam Bescheid? Zumindest sollten Sie davon ausgehen, da alle Mitarbeiter eine Schulung zum Sicherheitsbewusstsein absolviert haben.

‍

Was genau tut die ISO 27001-Norm hier?

‍

Nichts Neues: Organisationen, die es mit dem Datenschutz ernst meinen, sollten sich an die Norm ISO 27001 halten.

Das Kontrollziel A.8.2 trägt den Titel "Informationsklassifizierung" und weist Organisationen an, "sicherzustellen, dass Informationen ein angemessenes Schutzniveau erhalten". ISO 27001 erklärt nicht, wie dies zu tun ist, aber der Prozess ist nicht so schwierig. 

‍

Erfassen Sie Ihr Vermögen in einem Inventar

‍

Stellen Sie zunächst alle Informationen in einem Inventar (oder einer Bestandsliste) zusammen. Hier wird vermerkt, wer für sie verantwortlich ist und wer der Eigentümer ist! (Dies muss nicht unbedingt immer dieselbe Person sein). Außerdem muss dokumentiert werden, in welchem Format sie vorliegen (elektronische Dokumente, Datenbanken, Papierdokumente, Speichermedien usw.).

‍

Klassifizierung

Als nächstes müssen Sie die Informationen klassifizieren. In der Regel sind die Eigentümer der Anlagen dafür verantwortlich, aber es kann nicht schaden, wenn die Geschäftsleitung auf der Grundlage der Ergebnisse der ISO 27001-Risikobewertung des Unternehmens Richtlinien festlegt. Informationen, die ein größeres Risiko darstellen und daher dem Unternehmen größeren Schaden zufügen könnten, sollten in der Regel einer höheren Vertraulichkeitsstufe zugeordnet werden. Beachten Sie jedoch, dass dies nicht immer der Fall ist. Es ist allgegenwärtig, dass sensible Informationen einem größeren Kreis von Mitarbeitern zugänglich gemacht werden müssen, damit diese ihre Arbeit erledigen können. Dies muss berücksichtigt und entsprechend bewertet werden. 

‍

Kennzeichnung

Nachdem die Informationen als Verschlusssache eingestuft wurden, muss der Eigentümer ein System zur Kennzeichnung der Informationen einrichten.

Für digital und physisch gespeicherte Informationen sind unterschiedliche Verfahren erforderlich. Es ist wichtig, dass diese Verfahren einheitlich und klar definiert sind.

Sie könnten zum Beispiel beschließen, dass digitale Dateien und auch Papierdokumente nach einem bestimmten Muster gekennzeichnet und abgelegt werden sollen!  

‍

Handhabung

Schließlich müssen Sie (vorerst) Regeln für den Schutz einzelner Informationsbestände auf der Grundlage ihrer Klassifizierung und ihres Formats festlegen.

‍

Kehren wir kurz zu dem Beispiel mit den Papierdokumenten zurück. Sie können festlegen, dass interne Papierdokumente in einem unverschlossenen Schrank aufbewahrt werden sollen. Cool, niemand sucht mehr nach dem Schrankschlüssel, der sowieso verlegt wurde, was übrigens ein weiteres Sicherheitsproblem aufzeigt, aber zurück zum Thema. So haben alle Mitarbeiter jederzeit Zugang. Jeder ist willkommen! 

‍

Eingeschränkte Informationen (denken wir weiter in der analogen Papierwelt) sollten in einem verschlossenen Schrank aufbewahrt werden, vertrauliche Informationen an einem sicheren Ort. Wer darf den Schlüssel dazu behalten und wem darf er ihn tatsächlich weitergeben. Ergänzen Sie die Richtlinien weiter. 

Manchmal kommt es vor, dass Rosi, die Büroleiterin, Dokumente per Post zustellen oder sogar als Kurier tätig sein muss. Daher sollten für Daten, die sich auf einem Transportweg befinden könnten, zusätzliche Regeln aufgestellt werden.

‍

Unterm Strich ist der Prozess nicht sooo einfach, vor allem wenn man sich die Vorschriften für den Informationszugang und die Datensicherheit genauer ansieht. Dennoch ist es für IT-Administratoren und Führungskräfte wichtig, die Compliance-Regeln und -Vorschriften zu kennen und zu verstehen sowie den besten Ansatz für die Sicherheit und die Vergabe von Zugriffsrechten innerhalb des Unternehmens zu kennen.

‍