ISO 27002 - Kapitel 5.12 Klassifizierung von Informationen

Home » Informationssicherheit » Normen » ISO 27002 » Kapitel 5.12

Die Klassifizierung von Informationen ist ein wesentlicher Bestandteil des Informationssicherheits-Managements. Sie ermöglicht es Organisationen, ihre Informationen entsprechend dem Wert und der Sensibilität zu kategorisieren und angemessene Sicherheitskontrollen anzuwenden.

Gemäß Kapitel 5.12 der ISO 27002 sollten Organisationen bei der Klassifizierung von Informationen einige wichtige Aspekte berücksichtigen.

Klassifizierung von Informationen nach ISO 27002

Sensibilität

Die Sensibilität von Informationen bezieht sich auf den Grad, in dem Informationen geschützt werden müssen, um unbefugten Zugriff, Änderungen oder Offenlegung vorzubeugen. Beispiele für Klassifizierungsstufen könnten “öffentlich”, “nur interne Nutzung”, „Vertraulich“ und “streng vertraulich” sein, je nachdem, wie wichtig die Informationen für die Organisation sind.

Gesetzliche und vertragliche Anforderungen

Die Klassifizierung sollte auch gesetzliche und vertragliche Anforderungen berücksichtigen. Bestimmte Informationen können durch Vorschriften wie Datenschutzgesetze oder geistiges Eigentum geschützt sein.

Das Geschäftsgeheimnisgesetz (GeschGehG) in Deutschland schützt Geschäftsgeheimnisse vor rechtswidriger Nutzung, Erwerb und Offenlegung. Ein Geschäftsgeheimnis ist definiert als eine nicht allgemein bekannte, wertvolle Information, für die angemessene Geheimhaltungsmaßnahmen ergriffen wurden. Das können z.B. technisches Know-how oder Kundendaten sein. Das Gesetz verlangt von Unternehmen, Schutzmaßnahmen wie Vertraulichkeitsvereinbarungen oder Sicherheitssysteme einzuführen. Bei Verstößen können Rechteinhaber Unterlassung, Schadensersatz und Auskunft verlangen. Es gibt jedoch Ausnahmen, bei denen die Offenlegung eines Geheimnisses gerechtfertigt ist, z.B. im Falle von Whistleblowing. Das Gesetz dient dazu, die Interessen von Unternehmen zu schützen und gleichzeitig Transparenz und fairen Wettbewerb zu fördern. Es bietet einen rechtlichen Rahmen, um sicherzustellen, dass Geschäftsgeheimnisse in Deutschland geschützt sind, während es gleichzeitig Ausnahmen für das öffentliche Interesse vorsieht.

Vertragliche Anforderungen

In der Geschäftswelt sind Vertraulichkeitsvereinbarungen, auch bekannt als Non-Disclosure Agreements (NDAs), ein unverzichtbares Instrument zum Schutz wertvoller Unternehmensinformationen. Die Kernfunktion einer NDA besteht darin, die Offenlegung sensibler Daten, Geschäftspraktiken, Technologien oder Strategien gegenüber Dritten, die Zugang zu diesen Informationen erhalten, rechtlich zu beschränken.

Für Unternehmen, insbesondere in Branchen mit starkem Wettbewerb oder hohem Innovationsgrad, sind NDAs oft der Erstschutz gegen potenzielle Geschäftsrisiken. Sie sichern nicht nur die geistigen Eigentumsrechte des Unternehmens, sondern auch seinen Marktvorteil, Geschäftsgeheimnisse und die Wettbewerbsfähigkeit.

Organisatorische Maßnahmen zur Klassifizierung

Um die Klassifizierung von Informationen effektiv umzusetzen, können Organisationen verschiedene organisatorische Lösungen anwenden.

Richtlinien und Verfahren

Die Organisation sollte klare Richtlinien und Verfahren zur Klassifizierung von Informationen entwickeln. Diese Dokumente sollten den Klassifizierungsprozess beschreiben, die Klassifizierungsstufen definieren und Anweisungen zur Anwendung angemessener Sicherheitskontrollen geben.

Schulung und Sensibilisierung

Alle Mitarbeiter sollten über die Bedeutung und die Verfahren zur Einstufung von Informationen informiert werden. Schulungen und Sensibilisierungsmaßnahmen können dazu beitragen, das Bewusstsein für die Notwendigkeit der Klassifizierung zu schärfen und sicherzustellen, dass Mitarbeiter die richtigen Entscheidungen treffen, wenn es um den Umgang mit sensiblen Informationen geht.

Klassifizierungsschema

Die Organisation sollte ein einheitliches Klassifizierungsschema entwickeln, das alle relevanten Aspekte berücksichtigt. Das Schema kann verschiedene Kategorien oder Stufen umfassen, die auf dem Wert, der Sensibilität und den rechtlichen Anforderungen basieren. Es sollte klar definiert sein, welche Art von Informationen in jede Kategorie fällt und welche Sicherheitsmaßnahmen für jede Kategorie erforderlich sind (Beispiel).

Klassifizierung ist Grundlage

Die Klassifizierung von Informationen gemäß ISO 27002 (Abschnitt 5.12) ist ein wesentlicher Bestandteil eines umfassenden Informationssicherheits-Managementsystems. Durch die korrekte Einordnung können Organisationen ihre Informationen angemessen schützen und potenzielle Sicherheitsrisiken minimieren.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Die activeMind AG stellt für ihre Mandanten abgestimmte Richtlinien zur Klassifizierung und Nutzung von Informationen zur Verfügung. Im angebotenen Compliance-Portal kann die Klassifizierung zudem technisch umgesetzt bzw. Erzwungen werden.