Klassifizierung von Informationen
Es muss eine klare Zuständigkeit der Informationseigentümer für die von ihnen zu verantwortende Information bestehen. Diese entscheiden auch darüber, welcher Personenkreis die betroffenen Informationen nutzen darf.
Es sollte eine Klassifizierung der Informationen entsprechend ihrer Anforderungen an die Vertraulichkeit erfolgen, z.B. nach folgender Abstufung:
- streng vertraulich
Unberechtigte Veröffentlichung oder Weitergabe solcher Informationen kann größere negative Folgen oder einschneidende Störungen von Geschäftsaktivitäten nach sich ziehen. Der Zugriff auf streng vertrauliche Informationen ist auf eine geringe und namentlich genau festgelegte Anzahl von Personen begrenzt. Sparsamer Umgang mit dieser Klassifikation. Erfordernis der Unterzeichnung einer besonderen Vertraulichkeitserklärung.
Beispiele: Rezepturen, Geschäftsgeheimnisse, Insider-Informationen ...
- vertraulich
Darunter fallen Informationen, deren Veröffentlichung der zukünftigen Entwicklung des Unternehmens erheblichen Schaden zufügen könnte (Wettbewerb, Finanzen, Rechtslage). Personenbezogene Daten sind grundsätzlich als vertraulich zu klassifizieren. Zugriff nur auf vom Informationseigner legitimierte Personen, Unterzeichnung einer gesonderten Vertraulichkeitserklärung
- intern
Dies ist der "Normalzustand", wenn nichts anderes angegeben ist. Es handelt sich um für alle Mitarbeiterinnen un d Mitarbeiter zugängliche Informationen, die jedoch nicht für die Öffentlichkeit bestimmt sind. Eine Weiterleitung sollte nur innerhalb des Unternehmens erfolgen. Ein Zugriff Externer ist an die Erlaubnis durch den Informationseigner gebunden.
Beispiele: interne Entwicklungsinformationen, Infos für Kunden, Sitzungsprotokolle, Präsentationen, Projektinfos ...
- kundenbezogen
Für Kunden und Geschäftspartner zugängliche Informationen, die jedoch nicht für die Öffentlichkeit bestimmt sind.
Beispiel: Supportinformationen, Produktbeschreibungen ...
- öffentlich (public)
alle weiteren Informationen; sie sind für die allgemeine Öffentlichkeit zugelassen, es sind keine Schutzmaßnahmen erforderlich.
Eine Kennzeichnungspflicht der Informationen sollte zumindest für die vertraulichen Informationen bestehen. Diese obliegt dem Informationseigner oder von ihm beauftragten Personen.
Informationen der Klassifizierung streng vertraulich sollten nicht über Festnetz- oder Mobiltelefon oder WLAN übermittelt werden; eine elektronische Übermittlung sollte grundsätzlich nur mit Verschlüsselung. erfolgen
Für den Informationszugang der Kategorien streng vertraulich und vertraulich gilt das Need-to-Know-Prinzip, d.h. ein Zugang zu diesen Informationen sollte nur in dem Maße eingeräumt werden, wie es für die Erfüllung der jeweiligen Arbeit erforderlich ist. Diese Entscheidung ist durch den Informationseigner zu treffen.
|
 |
Karl Schmitz |
Januar 2022 |
tse Hamburg