Bundesamt für Sicherheit in der Informationstechnik

M 2.217 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Grundsätzlich sollten Mitarbeiter natürlich sorgfältig mit allen Informationen umgehen. Darüber hinaus gibt es aber in vielen Bereichen Daten, die einen höheren Schutzbedarf haben oder besonderen Restriktionen unterliegen, z. B. personenbezogene, finanzrelevante, vertrauliche oder Copyright-geschützte Daten. Für diese gelten je nach ihrer Kategorisierung unterschiedliche Beschränkungen im Umgang mit ihnen. Daher ist es wichtig, alle Mitarbeiter auf die für diese Daten geltenden Restriktionen hinzuweisen (siehe auch M 3.2 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen ).

Der Schutzbedarf von Daten wirkt sich natürlich unmittelbar auf alle Medien aus, auf denen diese gespeichert oder verarbeitet werden. Daten mit besonderem Schutzbedarf können in den unterschiedlichsten Bereichen anfallen, z. B. bei Fax oder E-Mail. Es sollte also in allen Bereichen Regelungen geben, in denen beispielsweise auch festgelegt ist, wer solche Daten lesen, bearbeiten bzw. weitergeben darf (siehe z. B. M 2.42 Festlegung der möglichen Kommunikationspartner ). Dazu gehört auch die regelmäßige Überprüfung auf Korrektheit und Vollständigkeit der Daten (siehe auch M 4.64 Verifizieren der zu übertragenden Daten vor Weitergabe / Beseitigung von Restinformationen ).

Viele Informationen, aber auch Anwendungen, unterliegen Copyright-Vermerken oder Weitergaberestriktionen ("Nur für den internen Gebrauch"). Alle Mitarbeiter müssen darauf hingewiesen werden, dass weder Dokumente, noch Dateien oder Software ohne Berücksichtigung evtl. Copyright-Vermerke oder Lizenzbedingungen kopiert werden dürfen.

Ein besonderes Augenmerk muss auch auf alle Informationen gelegt werden, die die Grundlage für die Aufgabenerfüllung bilden. Dazu gehören alle geschäftsrelevanten Daten, also z. B. diejenigen Daten, bei deren Verlust die Institution handlungsunfähig wird, die die wirtschaftlichen Beziehungen zusammenarbeitender Unternehmen beeinträchtigen können oder aus deren Kenntnis ein Dritter (z. B. Konkurrenzunternehmen) finanzielle Vorteile ziehen kann. Jede Behörde und jedes Unternehmen sollte eine Übersicht darüber haben, welche Daten als geschäftskritisch einzustufen sind. Neben den allgemeinen Sorgfaltspflichten können auch hier für diese Daten bei der Speicherung, Verarbeitung, Weitergabe und Vernichtung besondere Vorschriften und Regelungen gelten. Geschäftskritische Informationen müssen vor Verlust, Manipulation und Verfälschung geschützt werden. Längerfristig gespeicherte oder archivierte Daten müssen regelmäßig auf ihre Lesbarkeit getestet werden. Nicht mehr benötigte Informationen müssen zuverlässig gelöscht werden (siehe auch B 1.15 Löschen und Vernichten von Daten ).

Prüffragen:

  • Werden die Mitarbeiter regelmäßig auf den sorgfältigen Umgang mit Informationen hingewiesen?

  • Werden alle Informationen entsprechend ihrem Schutzbedarf eingestuft?

Stand: 13. EL Stand 2013