Was erfordert die Kontrolle A.3.6?
Es ist ein geeignetes Verfahren zur Informationskennzeichnung zu entwickeln und anzuwenden, das personenbezogene Daten berücksichtigt. Dieses Verfahren ist in Übereinstimmung mit dem von der Organisation angenommenen Informationsklassifizierungsschema anzuwenden.
Diese Steuerung befindet sich innerhalb der gemeinsame Sicherheitskontrollen (Tabelle A.3) und arbeitet direkt mit A.3.5 (Klassifizierung)Die Klassifizierung weist eine Sensibilitätsstufe zu; die Kennzeichnung macht diese Stufe für jeden sichtbar, der mit den Informationen umgeht.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.3.6) enthält gezielte Hinweise:
- Stellen Sie sicher, dass die Personen, die der Kontrolle der Organisation unterstehen, Kenntnis der Definition von PII und wie man personenbezogene Daten erkennt
- Die Kennzeichnungsverfahren sollten alle Formate abdecken: digitale Dateien, physische Dokumente, E-Mails, Datenbanken, Speichermedien und Systemschnittstellen.
- Die Etiketten sollten klar, einheitlich und mit dem unter definierten Klassifizierungsschema übereinstimmen. A.3.5 Klassifizierung von Informationen
- Werden automatisierte Kennzeichnungswerkzeuge eingesetzt, sollten diese so konfiguriert sein, dass personenbezogene Daten (PII) angemessen identifiziert und gekennzeichnet werden.
- Web Link A.3.20: Speichermedien für damit zusammenhängende Anforderungen
- Web Link A.3.21: Sichere Entsorgung oder Wiederverwendung von Geräten für damit zusammenhängende Anforderungen
Die Leitlinien sind bewusst kurz gefasst, da die zentrale Herausforderung nicht technischer, sondern verhaltensbezogener Natur ist: Die Menschen müssen wissen, wie personenbezogene Daten aussehen und wie sie diese korrekt kennzeichnen. Ohne dieses Wissen lässt sich selbst das beste Klassifizierungssystem nicht konsequent anwenden.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.3.6 ist zugeordnet zu Datenschutz Artikel 5 Absatz 1 Buchstabe f (Integrität und Vertraulichkeit). Datenschutz Das Gesetz schreibt keine spezifischen Kennzeichnungsvorschriften vor, doch der Grundsatz geeigneter technischer und organisatorischer Maßnahmen umfasst die Sichtbarkeit sensibler Informationen, um deren korrekte Handhabung zu gewährleisten. Die Kennzeichnung unterstützt die praktische Umsetzung des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Artikel 25).
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Als gemeinsame Sicherheitskontrolle unterstützt A.3.6 die umfassendere ISO 29100 Rahmenwerk. Die einheitliche Kennzeichnung von personenbezogenen Daten enthaltenden Datenbeständen ist eine praktische Umsetzung des Informationssicherheitsprinzips und gewährleistet, dass jeder, der mit Informationen umgeht, deren Sensibilität auf einen Blick erkennen und die korrekten Handhabungsverfahren anwenden kann.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.3.6 achten die Prüfer typischerweise auf Folgendes:
- Kennzeichnungsverfahren — Dokumentierte Verfahren, die beschreiben, wie Informationen (einschließlich personenbezogener Daten) in allen Formaten gekennzeichnet werden sollen.
- Übereinstimmung mit der Klassifizierung — Nachweis, dass die Kennzeichnung mit dem unter definierten Klassifizierungsschema übereinstimmt A.3.5 Klassifizierung von Informationen
- Training und Bewusstsein — Nachweis, dass das Personal weiß, was personenbezogene Daten sind, wie man sie erkennt und wie man sie korrekt kennzeichnet.
- Stichprobenkontrollen — Beispiele für die Kennzeichnung in der Praxis: Dokumente mit korrekten Klassifizierungsmarkierungen, Datenbanken mit PII-Kennzeichnungen, E-Mails mit Vertraulichkeitskennzeichnungen
- Automatisierte Etikettierung — Wo Werkzeuge eingesetzt werden, Nachweise über die Konfiguration und regelmäßige Überprüfung, ob die automatisierten Etiketten korrekt sind
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.3.5 Klassifizierung von Informationen | Die Kennzeichnung setzt das Klassifizierungsschema um, indem sie Empfindlichkeitsstufen sichtbar macht. |
| A.3.7 Informationstransfer | Etiketten helfen bei der Einhaltung der Übertragungsregeln, indem sie deutlich machen, welche Informationen während der Übertragung zusätzliche Sicherheitsvorkehrungen erfordern. |
| A.3.3 Richtlinien zur Informationssicherheit | Die Kennzeichnungsverfahren sollten in der Informationssicherheitspolitik referenziert oder von dieser abgeleitet werden. |
| A.3.8 Identitätsverwaltung | Gekennzeichnete Informationen können genutzt werden, um Zugriffsbeschränkungen durch Identitätsmanagementsysteme durchzusetzen. |
| A.3.4 Rollen und Verantwortlichkeiten | Die Inhaber von Informationen sind dafür verantwortlich, dass ihre Assets korrekt gekennzeichnet sind. |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 war diese Anforderung in Abschnitt 6.5.2.2 enthalten. Der Inhalt bleibt unverändert. Die Umstrukturierung bis 2025 ordnet die Kennzeichnung der Klassifizierung in den gemeinsamen Sicherheitskontrollen zu und unterstreicht damit deren Zusammenspiel. Die Implementierungshinweise in Abschnitt B.3.6 betonen weiterhin die Kernbotschaft: Es muss sichergestellt werden, dass personenbezogene Daten (PII) erkannt und korrekt gekennzeichnet werden. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Warum sollten Sie sich ISMS.online zur Informationskennzeichnung?
ISMS.online hilft Ihnen bei der Implementierung und Aufrechterhaltung einer einheitlichen Kennzeichnung in Ihrem gesamten Unternehmen:
- Anlagenkennzeichnung — Kennzeichnen Sie jedes Informationsobjekt im Register mit seiner Klassifizierungsstufe und seinem PII-Status, um eine einheitliche Datenquelle zu schaffen.
- Vorlagen für Etikettierungsverfahren — Verwenden Sie vorgefertigte Verfahrensvorlagen, die digitale, physische und E-Mail-Etikettierung abdecken, und passen Sie diese anschließend an Ihre Umgebung an.
- Schulungs- und Sensibilisierungskampagnen — Verteilen Sie die Hinweise zur Etikettierung an alle Mitarbeiter und erfassen Sie, wer die Schulung abgeschlossen hat.
- Konformitätsprüfungen — Die Ergebnisse von Stichproben und Überprüfungen der Etikettierung dokumentieren und gegebenenfalls Korrekturmaßnahmen einleiten
- Integration mit Klassifizierung — Klassifizierungsstufen und -bezeichnungen werden gemeinsam verwaltet, um die Übereinstimmung zwischen den Vorgaben des Systems und den tatsächlich angewandten Bezeichnungen zu gewährleisten.
Häufig gestellte Fragen
Welche Kennzeichnungsmethoden sind zulässig?
Jede Methode, die die Klassifizierungsstufe sichtbar und umsetzbar macht, ist geeignet. Bei digitalen Dokumenten können dies beispielsweise Kopf- und Fußzeilenmarkierungen, Metadaten-Tags oder Vertraulichkeitskennzeichnungen in E-Mails und Kollaborationstools (z. B. Microsoft Purview Information Protection) sein. Bei physischen Dokumenten eignen sich gedruckte Klassifizierungsmarkierungen oder farbcodierte Ordner. Für Datenbanken und Systeme können Kennzeichnungen über Metadatenfelder oder Zugriffskontroll-Tags angewendet werden.
Wie stellen wir sicher, dass personenbezogene Daten erkannt werden?
Stellen Sie in Ihren Schulungsunterlagen klare Definitionen und Beispiele bereit. Personenbezogene Daten (PII) umfassen offensichtliche Identifikatoren wie Namen, E-Mail-Adressen und Personalausweisnummern, aber auch weniger offensichtliche Daten, die in Kombination eine Person identifizieren können, wie z. B. Berufsbezeichnung, Abteilung und Standort. Verwenden Sie (anonymisierte) Beispiele aus Ihren eigenen Systemen, um den Teilnehmenden zu helfen, PII im Kontext zu erkennen. Regelmäßige Auffrischungsschulungen halten das Wissen auf dem neuesten Stand.
Sollte die automatisierte Etikettierung die manuelle Etikettierung ersetzen?
Automatisierte Kennzeichnungstools können die Konsistenz deutlich verbessern und den Arbeitsaufwand für Einzelpersonen reduzieren, insbesondere bei der Kennzeichnung von E-Mails und Dokumenten. Sie sollten jedoch die menschliche Beurteilung ergänzen, nicht ersetzen. Automatisierte Tools erkennen möglicherweise nicht alle personenbezogenen Daten (PII), insbesondere in unstrukturierten Inhalten. Eine Kombination aus automatisierter Standardkennzeichnung mit der Möglichkeit zur manuellen Korrektur und regelmäßiger Überprüfung ist der praktikabelste Ansatz.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für das, was Wirtschaftsprüfer erwarten.
