ISO 27701 Abschnitt 6.5.2: Der Schlüssel zur effektiven Informationsklassifizierung
Die Welt des globalen Handels ist voll von Informationen aller Art – von alltäglichen, öffentlich zugänglichen Datensätzen bis hin zu hochsensiblen PII-Datensätzen, die Finanzinformationen und Kopien von amtlichen Ausweisen enthalten.
Unternehmen müssen ein genaues Verständnis der verschiedenen Kategorien von Daten haben, die sie speichern, verarbeiten und übertragen, und ihre Abläufe anpassen, um die Informationen je nach Zweck und Risikoart zu berücksichtigen.
Sobald die Organisation in der Lage ist, zwischen verschiedenen Datentypen zu unterscheiden – insbesondere im Fall von PII –, sollte sie in der Lage sein, solche Informationen klar zu kennzeichnen, sodass verschiedene Kategorien voneinander unterschieden werden und unterschiedliche Risikostufen in Bezug auf den Datenschutz berücksichtigt werden -bezogene Vermögenswerte sind Prozesse und werden im gesamten Unternehmen verwaltet.
Was in ISO 27701 Abschnitt 6.5.2 behandelt wird
ISO 27701 Abschnitt 6.5.2 enthält drei Unterabschnitte, die alles enthalten, was eine Organisation über die Klassifizierung, Kennzeichnung und den Umgang mit personenbezogenen Daten wissen muss.
Alle drei Unterabschnitte enthalten Informationen aus ISO 27002, aber mit besonderem Fokus auf PII und Datenschutz:
- ISO 27701 6.5.2.1 – Klassifizierung von Informationen (Referenzen ISO 27002 Control 5.12)
- ISO 27701 6.5.2.2 – Kennzeichnung von Informationen (Referenzen ISO 27002 Control 5.13)
- ISO 27701 6.5.2.3 – Umgang mit Vermögenswerten (Referenzen ISO 27002 Control 5.10)
Die Unterabschnitte 6.5.2.1 und 6.5.2.2 enthalten beide Hinweise, die für die DSGVO-Gesetzgebung des Vereinigten Königreichs relevant sind, und die relevanten Artikel wurden zur besseren Übersichtlichkeit aufgelistet.
Bitte beachten Sie, dass DSGVO-Zitate nur zu Informationszwecken dienen. Organisationen sollten die Gesetzgebung prüfen und selbst beurteilen, welche Teile des Gesetzes für sie gelten.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 6.5.2.1 – Klassifizierung von Informationen
Referenzen ISO 27002-Steuerung 5.12
Anstatt alle gespeicherten Informationen gleichzustellen, sollten Organisationen die Informationen themenspezifisch klassifizieren.
Informationseigentümer sollten bei der Klassifizierung von Daten (insbesondere in Bezug auf PII) vier Schlüsselfaktoren berücksichtigen, die regelmäßig überprüft werden sollten, oder wenn sich solche Faktoren ändern:
- Das Vertraulichkeit der Daten.
- Das Integrität der Daten.
- Datum Verfügbarkeit Ebenen.
- Die der Organisation gesetzliche Verpflichtungen Richtung PII.
Um einen klaren operativen Rahmen zu schaffen, sollten Informationskategorien entsprechend der inhärenten Risikostufe benannt werden, falls Vorfälle auftreten, die einen der oben genannten Faktoren beeinträchtigen.
Um die plattformübergreifende Kompatibilität sicherzustellen, sollten Organisationen ihre Informationskategorien allen externen Mitarbeitern zugänglich machen, mit denen sie Informationen teilen, und sicherstellen, dass das eigene Klassifizierungsschema der Organisation von allen relevanten Parteien allgemein verstanden wird.
Organisationen sollten sich davor hüten, Daten entweder zu niedrig oder umgekehrt zu klassifizieren. Ersteres kann zu Fehlern bei der Gruppierung personenbezogener Daten in weniger sensible Datentypen führen, während Ersteres häufig zu zusätzlichen Kosten, einem größeren Risiko menschlicher Fehler und Verarbeitungsanomalien führt.
Anwendbare DSGVO-Artikel
- Artikel 5 – (1)(f), (32)(2)
ISO 27701 Abschnitt 6.5.2.2 – Kennzeichnung von Informationen
Referenzen ISO 27002-Steuerung 5.13
Etiketten sind ein wesentlicher Bestandteil, um sicherzustellen, dass die PII-Klassifizierungsrichtlinie der Organisation (siehe oben) eingehalten wird und dass Daten entsprechend ihrer Sensibilität eindeutig identifiziert werden können (z. B. werden PII als von weniger vertraulichen Datentypen unterschieden gekennzeichnet).
PII-Kennzeichnungsverfahren sollten Folgendes definieren:
- Jedes Szenario, in dem keine Kennzeichnung erforderlich ist (öffentlich verfügbare Daten).
- Anweisungen, wie das Personal beides kennzeichnen sollte digitale kombiniert mit einem nachhaltigen Materialprofil. physikalisch Vermögenswerte und Lagerorte.
- Notfallpläne für alle Szenarien, in denen eine Kennzeichnung physisch nicht möglich ist.
Die ISO bietet Organisationen viel Spielraum für die Auswahl ihrer eigenen Kennzeichnungstechniken, darunter:
- Physik Beschriftung.
- elektronisch Beschriftungen in Kopf- und Fußzeilen.
- Die Ergänzung oder Änderung von Metadaten, einschließlich durchsuchbarer Begriffe und interaktiver Funktionalität mit anderen Informationsmanagementplattformen (z. B. dem PIMS der Organisation).
- Watermarking Dies liefert einen klaren Hinweis auf die Datenklassifizierung für jedes einzelne Dokument.
- Stempel Markierungen auf physischen Kopien von Informationen.
Anwendbare DSGVO-Artikel
- Artikel 5 – (1)(f)
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Abschnitt 6.5.2.3 – Umgang mit Vermögenswerten
Referenzen ISO 27002-Steuerung 5.10
Organisationen sollten eine Reihe themenspezifischer akzeptabler Nutzungsrichtlinien entwickeln, die den Umgang mit PII-bezogenen Vermögenswerten und Informationen abdecken.
Jede Gruppe oder Einzelperson – ob intern oder extern –, die personenbezogene Daten im Namen der Organisation oder im Rahmen einer Vereinbarung zum Informationsaustausch verarbeiten kann, sollte ihre Verantwortlichkeiten verstehen und wissen, was von ihnen erwartet wird.
Themenspezifische Richtlinien sollten Folgendes klar definieren:
- Akzeptables und inakzeptables Verhalten im Rahmen des Datenschutzes.
- Wie und wo PII verwendet werden dürfen.
- Die Details des PII-Überwachungsvorgangs der Organisation.
Es sollten Prozesse und Verfahren implementiert werden, die Folgendes berücksichtigen:
- RBAC-Anforderungen (oder jede Form der digitalen und/oder physischen Zugangskontrolle), die den Zugriff auf personenbezogene Daten schützen.
- Eine gründliche Aufzeichnung darüber, wer auf personenbezogene Daten und datenschutzbezogene Vermögenswerte und Informationen zugreifen darf.
- So schützen Sie sowohl temporäre als auch permanente Kopien datenschutzrelevanter Informationen.
- Richtlinien des Herstellers bei der Speicherung datenschutzrelevanter Vermögenswerte (siehe ISO 27002 7.8).
- Wie Speichermedien für den Empfänger gekennzeichnet werden (siehe ISO 27002 7.10).
- Wie PII und datenschutzbezogene Vermögenswerte entweder gelöscht oder dauerhaft vernichtet werden sollen (siehe ISO 27002 8.10).
Relevante ISO 27002-Kontrollen
- ISO 27002 7.8
- ISO 27002 7.10
- ISO 27002 8.10
Unterstützende Kontrollen von ISO 27002 und DSGVO
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | ISO 27002-Anforderung | Zugehörige DSGVO-Artikel |
|---|---|---|---|
| 6.5.2.1 | Klassifizierung von Informationen |
5.12 – Klassifizierung von Informationen für ISO 27002 |
Beiträge (5), (32) |
| 6.5.2.2 | Kennzeichnung von Informationen |
5.13 – Kennzeichnung von Informationen für ISO 27002 |
Artikel (5) |
| 6.5.2.3 | Umgang mit Vermögenswerten |
5.10 – Akzeptable Nutzung von Informationen und anderen zugehörigen Vermögenswerten gemäß ISO 27002 |
Non |
Wie ISMS.online hilft
Die ISMS.online-Plattform verfügt zusätzlich zu unserem „Adopt, Adapt, Add“-Implementierungsansatz über integrierte Anleitungen in jeder Phase, um Ihnen dabei zu helfen, ISO 27701 mit weniger Aufwand zu erreichen.
Darüber hinaus profitieren Sie von einer Vielzahl zeitsparender Funktionen.
Erfahren Sie mehr von eine Demo buchen.
