Was erfordert die Kontrolle A.3.5?
Informationen werden nach den Informationssicherheitsbedürfnissen der Organisation klassifiziert, wobei personenbezogene Daten (PII) unter Berücksichtigung von Vertraulichkeit, Integrität, Verfügbarkeit und den Anforderungen relevanter Interessengruppen zu berücksichtigen sind.
Diese Steuerung befindet sich innerhalb der gemeinsame Sicherheitskontrollen (Tabelle A.3Es erweitert die Standardanforderung der ISO 27001 an die Informationsklassifizierung, indem es explizit festlegt, dass personenbezogene Daten im Klassifizierungsschema berücksichtigt werden müssen und nicht erst im Nachhinein behandelt werden dürfen.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.3.5) enthält folgende Hinweise:
- Das Klassifizierungsschema sollte PII explizit berücksichtigen als eine Kategorie von Informationen, die Schutz benötigen
- Verstehen welche PII die Organisation verarbeitetwo es gespeichert wird und durch welche Systeme es fließen kann
- Betrachten Sie die Art der PII und ob besondere Kategorien enthalten sind (z. B. Gesundheitsdaten, biometrische Daten, Rassen- oder ethnische Herkunft)
- Die Klassifizierung sollte die Anwendung geeigneter Kontrollmaßnahmen steuern, wobei höhere Klassifizierungen einen stärkeren Schutz erhalten.
- Das Programm sollte praxisnah sein und in der gesamten Organisation einheitlich angewendet werden.
- Web Link A.3.20: Speichermedien für damit zusammenhängende Anforderungen
- Web Link A.3.21: Sichere Entsorgung oder Wiederverwendung von Geräten für damit zusammenhängende Anforderungen
Die Leitlinien erkennen an, dass personenbezogene Daten keine einheitliche Kategorie darstellen. Eine E-Mail-Adresse birgt ein anderes Risikoprofil als eine Patientenakte. Das Klassifizierungsschema sollte diese Unterschiede widerspiegeln und einen angemessenen Schutz gewährleisten.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.3.5 ist zugeordnet zu Datenschutz Artikel 5 Absatz 1 Buchstabe f (Integrität und Vertraulichkeit) und Artikel 32 Absatz 2 (Anforderung zur Durchführung geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung). Datenschutz erwartet einen risikobasierten Ansatz für Sicherheit, und die Klassifizierung ist der Mechanismus, durch den verschiedenen Arten von Informationen Risikostufen zugeordnet werden.
Besondere Kategorien personenbezogener Daten gemäß Artikel 9 der DSGVO sollten die höchste Klassifizierungsstufe erhalten, die den zusätzlichen Schutz widerspiegelt, den die Verordnung für diese Art von Daten vorschreibt.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Als gemeinsame Sicherheitskontrolle unterstützt A.3.5 die umfassendere ISO 29100 Rahmenwerk. Die Klassifizierung ist ein grundlegender Steuerungsmechanismus, der die konsistente Anwendung des Informationssicherheitsprinzips auf alle Arten von Informationen ermöglicht, wobei personenbezogene Daten die ihnen gebührende Aufmerksamkeit erhalten.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.3.5 achten die Prüfer typischerweise auf Folgendes:
- Klassifizierungsschema — Eine dokumentierte Klassifizierungsrichtlinie, die personenbezogene Daten und besondere Kategorien personenbezogener Daten ausdrücklich als Klassifizierungskriterien berücksichtigt.
- Datenbestand — Ein Verzeichnis der personenbezogenen Daten, die die Organisation verarbeitet, wo diese gespeichert sind und welche Systeme sie verarbeiten.
- Klassifizierungsentscheidungen — Nachweise dafür, dass Vermögenswerte mit personenbezogenen Daten gemäß dem Schema klassifiziert wurden (z. B. Datenbanken, die als „Vertraulich“ oder „Eingeschränkt“ gekennzeichnet sind)
- Steuerungszuordnung — Belege dafür, dass die Klassifizierungsstufen die Anwendung von Sicherheitskontrollen steuern (höhere Klassifizierung = strengere Kontrollen)
- Training und Bewusstsein — Nachweis, dass das Personal das Klassifizierungsschema versteht und weiß, wie es auf personenbezogene Daten anzuwenden ist
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.3.6 Kennzeichnung von Informationen | Sobald Informationen klassifiziert sind, müssen sie so gekennzeichnet werden, dass die Klassifizierung sichtbar und durchsetzbar ist. |
| A.3.3 Richtlinien zur Informationssicherheit | Das Klassifizierungsschema sollte in der Informationssicherheitsrichtlinie definiert oder auf diese verwiesen werden. |
| A.3.7 Informationstransfer | Die Transferregeln sollten sich auf Klassifizierungsebenen beziehen, um geeignete Transfermechanismen zu bestimmen. |
| A.3.8 Identitätsverwaltung | Der Zugriff auf höher klassifizierte personenbezogene Daten sollte durch Identitäts- und Zugriffsmanagementmaßnahmen eingeschränkt werden. |
| A.3.4 Rollen und Verantwortlichkeiten | Informationseigentümer (eine definierte Rolle) sind für Klassifizierungsentscheidungen verantwortlich. |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 war diese Anforderung in Abschnitt 6.5.2.1 enthalten. Der Inhalt bleibt unverändert, die Umstrukturierung von 2025 integriert die Kontrolle jedoch klarer in den Rahmen der gemeinsamen Sicherheitskontrollen. Die Implementierungshinweise in B.3.5 betonen nun expliziter das Verständnis von Datenflüssen und besonderen Kategorien personenbezogener Daten im Rahmen des Klassifizierungsprozesses. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online zur Klassifizierung und zum Schutz personenbezogener Daten?
ISMS.online hilft Ihnen beim Aufbau und der Pflege eines praktischen Informationsklassifizierungssystems:
- Anlagenverzeichnis mit Klassifizierung — Alle Informationsbestände erfassen, eine Klassifizierungsstufe zuweisen und Bestände kennzeichnen, die personenbezogene Daten oder besondere Kategorien personenbezogener Daten enthalten
- Datenflussabbildung — Visualisieren Sie, wo personenbezogene Daten gespeichert sind und wie sie sich durch die Systeme bewegen, um die Identifizierung von Assets, die einer Klassifizierung bedürfen, zu erleichtern.
- Steuergestänge — Ordnen Sie die Klassifizierungsstufen den Sicherheitskontrollen zu, die auf jeder Stufe angewendet werden sollten, um einen angemessenen Schutz zu gewährleisten.
- Arbeitsabläufe überprüfen — Regelmäßige Überprüfungen der Klassifizierungen einplanen und deren Abschluss verfolgen, damit die Klassifizierungen bei Änderungen der Verarbeitungstätigkeiten aktuell bleiben.
- Sensibilisierungsinstrumente — Verteilen Sie die Klassifizierungsrichtlinien an die Mitarbeiter und verfolgen Sie den Empfang, um die von den Prüfern erwarteten Schulungsnachweise zu unterstützen.
Häufig gestellte Fragen
Wie sollte PII in ein bestehendes Klassifizierungsschema integriert werden?
Die meisten Organisationen verwenden ein gestaffeltes Klassifizierungssystem (z. B. öffentlich, intern, vertraulich, eingeschränkt). Personenbezogene Daten (PII) sollten in der Regel mindestens als vertraulich eingestuft werden, wobei spezielle Kategorien von PII (Gesundheits-, biometrische und ethnische Daten) die höchste Stufe erhalten. Falls Ihr bestehendes System keine Stufe aufweist, die die Sensibilität von PII angemessen berücksichtigt, sollten Sie eine solche Stufe hinzufügen oder die Beschreibungen der bestehenden Stufen aktualisieren, um PII explizit zu berücksichtigen.
Müssen wir jeden einzelnen Datensatz klassifizieren?
Nein. Die Klassifizierung erfolgt üblicherweise auf Asset-Ebene (z. B. Datenbank, Dateifreigabe, Anwendung) und nicht auf Ebene einzelner Datensätze. Entscheidend ist, zu verstehen, welche Assets personenbezogene Daten (PII) enthalten, und diese entsprechend zu klassifizieren. Enthält ein System verschiedene Arten von PII mit unterschiedlichen Sensibilitätsstufen, erfolgt die Klassifizierung anhand der sensibelsten Daten.
Was sind spezielle Kategorien personenbezogener Daten?
Gemäß DSGVO zählen zu den besonderen Kategorien personenbezogener Daten unter anderem Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur Identifizierung, Gesundheitsdaten sowie Daten zum Sexualleben oder zur sexuellen Orientierung hervorgehen. ISO 27701 verwendet den umfassenderen Begriff „sensible personenbezogene Daten“ und überlässt die spezifischen Kategorien der jeweiligen Gesetzgebung. Ihr Klassifizierungsschema sollte diese Datentypen identifizieren und ihnen die höchste Schutzstufe zuweisen.
Dokumentieren Sie diese Kontrolle in Ihrem Erklärung zur Anwendbarkeit mit Ihrer Implementierungsbegründung.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für das, was Wirtschaftsprüfer erwarten.
