Datenklassifizierungsvorlage: Leer Leer Leer Leer

Datenklassifizierungsvorlage
1. Allgemeine Information leer leer leer leer
ORGANISATION [Hier den Namen der Organisation einfügen]

DATUM DER ANNAHME [Datum der Annahme hier einfügen]
2. Datenklassifizierungsebenen Öffentlich Empfindlich Vertraulich Reguliert

Definition Informationen, die der Öffentlichkeit frei und vorbehaltlos zugänglich gemacht Informationen, die im Rahmen einer Offenlegungsanfrage veröffentlicht Informationen, die normalerweise vom Public Information Act ausgenommen Informationen, die durch eine Landes- oder Bundesverordnung oder eine
werden. werden könnten, aber zum Schutz Dritter kontrolliert werden sollten sind andere Vereinbarung Dritter kontrolliert werden
Rechtfertigung Der Zugriff auf einige Informationen, wie beispielsweise veröffentlichte Einige Informationen können vertrauliche Informationen enthalten, auch wenn Staatliche Behörden und Hochschulen sammeln und pflegen einige Viele Agenturen und Hochschulen interagieren mit der Bundesregierung oder
Berichte, Agenturnachrichten und andere öffentlichkeitsbezogene sie der Öffentlichkeit zugänglich sind. Solche Daten sollten vor ihrer Informationen, die entweder durch eine kodifizierte Ausnahme vom Public erbringen Dienstleistungen, die durch Bundesregeln und -gesetze geregelt
Materialien, muss nicht verfolgt oder überwacht werden. Unter solchen Veröffentlichung überprüft/verifiziert werden. Durch den Schutz des Zugriffs Information Act oder durch Stellungnahmen oder Entscheidungen des Public sind. In solchen Fällen müssen die von diesen Behörden verwalteten
Umständen ist es am effizientesten, die Informationen für den Zugriff der auf die Daten und die Anforderung einer Offenlegungsanfrage stellt die Information Office des Generalstaatsanwalts vor Offenlegung geschützt sind. Informationen den Bundeskontrollen entsprechen.
Bürger verfügbar zu halten, ohne dass ein Eingreifen von Staatsbediensteten Organisation sicher, dass dem Antragsteller die genauesten und Solche Informationen können auch den Meldepflichten bei Verstößen nach
erforderlich ist. relevantesten Daten bereitgestellt werden, ohne dass vertrauliche Daten texanischem Recht unterliegen.
versehentlich offengelegt werden.
Beispiele Informationen, die auf der öffentlichen Website veröffentlicht werden und Daten, die der Definition von PII gemäß dem Texas Business and Commerce Daten, die gemäß dem Texas Government Code Kap. von der Daten, die der Definition von SPI gemäß dem Texas Business and
keine Authentifizierung erfordern Code §521.002(a)(1) und §521.002(a)(2) entsprechen Veröffentlichung ausgenommen sind. 552 oder Daten, deren Veröffentlichung Commerce Code 521.002(a)(1) und 521.002(a)(2) entsprechen: HIPAA
• Veröffentlichungen der Agentur • Mitarbeiterakten nachteilige Folgen für die Organisation haben kann Security (45 CFR Parts 164), PCI DSS v2.0, FTI, FICA, Steuern Information
• Pressemeldungen • Informationen zum Bruttogehalt • Kommunikation zwischen Anwalt und Mandant
• Öffentliche Webbeiträge • Berichte über Computer-Schwachstellen
• Geschützte Kommunikationsentwürfe
• Angaben zum Nettogehalt
Konsequenz der öffentlichen Offenlegung Keine nachteiligen Folgen • Reputationsverlust Mögliche strafrechtliche oder zivilrechtliche Sanktionen Bundesuntersuchung oder Verlust des Rechts zur Erhebung von Einnahmen
• Vertrauensverlust
Beispiel für Sicherheitskontrollen
3. Rollen und Verantwortlichkeiten Öffentlich Empfindlich Vertraulich Reguliert

Datenverwalter Stellen Sie sicher, dass Systeme Zugriffskontrollen unterstützen, die Stellen Sie sicher, dass Systeme Zugriffskontrollen unterstützen, die Stellen Sie sicher, dass Systeme Zugriffskontrollen unterstützen, die Stellen Sie sicher, dass Systeme Zugriffskontrollen unterstützen, die
die Datenklassifizierung erzwingen die Datenklassifizierung erzwingen die Datenklassifizierung erzwingen die Datenklassifizierung erzwingen
Dateneigentümer • Identifizieren Sie die Klassifizierungsebene der Daten • Identifizieren Sie die Klassifizierungsebene der Daten • Identifizieren Sie die Klassifizierungsebene der Daten • Identifizieren Sie die Klassifizierungsebene der Daten
• Überprüfen Sie die Audit-Protokolle • Überprüfen Sie die Audit-Protokolle • Überprüfen Sie die Audit-Protokolle • Überprüfen Sie die Audit-Protokolle
Informationssicherheitsbeauftragter • Entwickeln und pflegen Sie Richtlinien, Verfahren und Richtlinien zur • Entwickeln und pflegen Sie Richtlinien, Verfahren und Richtlinien zur • Entwickeln und pflegen Sie Richtlinien, Verfahren und Richtlinien zur • Entwickeln und pflegen Sie Richtlinien, Verfahren und Richtlinien zur
Informationssicherheit Informationssicherheit Informationssicherheit Informationssicherheit
• Geben Sie Hinweise zur Datenklassifizierung • Geben Sie Hinweise zur Datenklassifizierung • Geben Sie Hinweise zur Datenklassifizierung • Geben Sie Hinweise zur Datenklassifizierung
Rechts- und/oder Datenschutzbüro • Entwickeln und pflegen Sie Richtlinien, Verfahren und Richtlinien zur • Entwickeln und pflegen Sie Richtlinien, Verfahren und Richtlinien zur • Entwickeln und pflegen Sie Richtlinien, Verfahren und Richtlinien zur • Entwickeln und pflegen Sie Richtlinien, Verfahren und Richtlinien zur
(Beauftragter für öffentliche Information) Informationssicherheit. Informationssicherheit. Informationssicherheit. Informationssicherheit.
• Geben Sie Hinweise zur Datenklassifizierung • Geben Sie Hinweise zur Datenklassifizierung • Geben Sie Hinweise zur Datenklassifizierung • Geben Sie Hinweise zur Datenklassifizierung
Manager n/A • Stellen Sie sicher, dass Benutzer die Anforderungen an die • Stellen Sie sicher, dass Benutzer die Anforderungen an die • Stellen Sie sicher, dass Benutzer die Anforderungen an die
Datenklassifizierung kennen Datenklassifizierung kennen Datenklassifizierung kennen
• Überwachen Sie Benutzeraktivitäten, um die Einhaltung • Überwachen Sie Benutzeraktivitäten, um die Einhaltung • Überwachen Sie Benutzeraktivitäten, um die Einhaltung
sicherzustellen sicherzustellen sicherzustellen
Benutzer n/A • Identifizieren und kennzeichnen Sie gegebenenfalls Daten • Identifizieren und kennzeichnen Sie gegebenenfalls Daten • Identifizieren und kennzeichnen Sie gegebenenfalls Daten
• Daten ordnungsgemäß entsorgen • Daten ordnungsgemäß entsorgen • Daten ordnungsgemäß entsorgen
VORLAGE FÜR DIE DATENKLASSIFIZIERUNG SEITE1 VON 5

4. Datenkontrollen Öffentlich Empfindlich Vertraulich Reguliert
Markierung n/A • Alle sensiblen Daten sind als solche zu kennzeichnen • Alle sensiblen Daten sind als solche zu kennzeichnen • Alle sensiblen Daten sind als solche zu kennzeichnen
• Besondere Handhabungshinweise sind vorzusehen • Besondere Handhabungshinweise sind vorzusehen • Besondere Handhabungshinweise sind vorzusehen
• Jede Seite, wenn lose Blätter • Jede Seite, wenn lose Blätter
• Vorder- und Rückseite sowie Titelseite, falls gebunden • Vorder- und Rückseite sowie Titelseite, falls gebunden
Handhabung n/A n/A Vertrauliche Daten dürfen nur an berechtigte Personen weitergegeben Vertrauliche Daten dürfen nur an berechtigte Personen weitergegeben
werden, die davon Kenntnis haben müssen werden, die davon Kenntnis haben müssen
Vervielfältigung n/A Informationen dürfen nur für geschäftliche Zwecke oder als Reaktion Mitarbeiter können vertrauliche Dokumente mit Genehmigung des Mitarbeiter können vertrauliche Dokumente mit Genehmigung des
auf eine „Offene Datensätze“-Anfrage vervielfältigt werden Dateneigentümers duplizieren Dateneigentümers duplizieren
Mailing n/A n/A n/A • Empfangsbestätigung erforderlich
• Möglicherweise ist eine doppelt verpackte Lieferung erforderlich. Die
Außenseite des Pakets ist nicht gekennzeichnet. Die inneren
Unterlagen sind entsprechend gekennzeichnet.
Anordnung • Disposition basierend auf den Anforderungen des • Disposition basierend auf den Anforderungen des • Disposition basierend auf den Anforderungen des • Disposition basierend auf den Anforderungen des
Aufbewahrungsplans für Aufzeichnungen. Aufbewahrungsplans für Aufzeichnungen. Aufbewahrungsplans für Aufzeichnungen. Aufbewahrungsplans für Aufzeichnungen.
• Physische Zerstörung erforderlich (z. B. Schreddern) • Physische Zerstörung erforderlich (z. B. Schreddern)
• Die Zerstörung muss durch das Personal der Behörde überprüft • Die Zerstörung muss durch das Personal der Behörde überprüft
werden werden
Aufbewahrung von Papierkopien • Speichern Sie eine „Masterkopie“ in Übereinstimmung mit dem • Bewahren Sie eine „Masterkopie“ in Übereinstimmung mit dem • Bewahren Sie eine „Masterkopie“ in Übereinstimmung mit dem • Bewahren Sie eine „Masterkopie“ in Übereinstimmung mit dem
Aufbewahrungsplan für Aufzeichnungen. Aufbewahrungsplan für Aufzeichnungen auf. Aufbewahrungsplan für Aufzeichnungen auf. Aufbewahrungsplan für Aufzeichnungen auf.
• Dokumente sollten verschlossen werden, wenn sie nicht verwendet • Dokumente sollten verschlossen werden, wenn sie nicht verwendet • Dokumente sollten verschlossen werden, wenn sie nicht verwendet
werden (z. B. in einem verschlossenen Schreibtisch, Schrank oder werden (z. B. in einem verschlossenen Schreibtisch, Schrank oder werden (z. B. in einem verschlossenen Schreibtisch, Schrank oder
Büro). Büro). Büro).
Speicherung auf festen Medien n/A • Der Zugang ist passwortgeschützt • Der Zugang ist passwortgeschützt • Der Zugang ist passwortgeschützt
• Verschlüsselung erforderlich • Verschlüsselung erforderlich
Speicherung auf Wechselmedien n/A Verschlüsselung empfohlen Verschlüsselung erforderlich. Verschlüsselung erforderlich.
5. Zugangskontrollen Öffentlich Empfindlich Vertraulich Reguliert
Zugriffsrechte gewähren Keine Einschränkungen Nur Dateneigentümer Nur Dateneigentümer Nur Dateneigentümer
Lesezugriff • Der Informationseigentümer definiert Berechtigungen nach • Der Informationseigentümer definiert Berechtigungen nach • Der Informationseigentümer definiert Berechtigungen nach • Der Informationseigentümer definiert Berechtigungen nach
Benutzer/Rolle Benutzer/Rolle Benutzer/Rolle Benutzer/Rolle
Zugriff aktualisieren • Der Informationseigentümer definiert Berechtigungen nach • Der Informationseigentümer definiert Berechtigungen nach •• Der
DerZugang ist stark eingeschränkt
Informationseigentümer oder
definiert kontrolliert nach
Berechtigungen •• Der
Der Zugang ist stark eingeschränkt
Informationseigentümer oder
definiert kontrolliert nach
Berechtigungen
• Kontrollen (z. B. Aufgabentrennung), die für Prozesse und • Kontrollen (z. B. Aufgabentrennung), die für Prozesse und • Kontrollen (z. B. Aufgabentrennung), die für Prozesse und
Transaktionen erforderlich sind, die anfällig für betrügerische oder Transaktionen erforderlich sind, die anfällig für betrügerische oder Transaktionen erforderlich sind, die anfällig für betrügerische oder
andere unbefugte Aktivitäten sind andere unbefugte Aktivitäten sind andere unbefugte Aktivitäten sind
Zugriff löschen • Der Informationseigentümer definiert Berechtigungen nach • Der Informationseigentümer definiert Berechtigungen nach • Der Informationseigentümer definiert Berechtigungen nach • Der Informationseigentümer definiert Berechtigungen nach
• Kontrollen (z. B. Aufgabentrennung), die für Prozesse und • Kontrollen (z. B. Aufgabentrennung), die für Prozesse und
Transaktionen erforderlich sind, die anfällig für betrügerische oder Transaktionen erforderlich sind, die anfällig für betrügerische oder
andere unbefugte Aktivitäten sind andere unbefugte Aktivitäten sind
6. Getriebesteuerung Öffentlich Empfindlich Vertraulich Reguliert
Drucksteuerungen Keine Einschränkungen Der Informationseigentümer definiert Berechtigungen Die Ausgabe wird an einen vordefinierten Drucker weitergeleitet und Die Ausgabe wird an einen vordefinierten Drucker weitergeleitet und
überwacht oder sicheres Drucken aktiviert überwacht oder sicheres Drucken aktiviert
Übertragung über öffentliches Netz Keine Einschränkungen Verschlüsselung empfohlen Verschlüsselung erforderlich Verschlüsselung erforderlich
Freigabe an Dritte Keine Einschränkungen Keine Einschränkungen Genehmigungs- und Geheimhaltungsvereinbarung des Eigentümers Genehmigungs- und Geheimhaltungsvereinbarung des Eigentümers

7. Auditkontrollen Öffentlich Empfindlich Vertraulich Reguliert
Verfolgungsprozess nach Protokoll n/A n/A Empfänger, erstellte Kopien, Standorte, Adressen, Betrachter und Empfänger, erstellte Kopien, Standorte, Adressen, Betrachter und
Zerstörung Zerstörung
Überwachung der Zugriffsaktivität n/A Das IT-System sollte so konfiguriert sein, dass alle Verstöße Das IT-System sollte so konfiguriert sein, dass alle Verstöße Das IT-System sollte so konfiguriert sein, dass alle Verstöße
protokolliert werden. Prüfpfade sollten gepflegt werden, um die protokolliert werden. Prüfpfade sollten gepflegt werden, um die protokolliert werden. Prüfpfade sollten gepflegt werden, um die
Verantwortlichkeit für Änderungen an Informationsressourcen und für Verantwortlichkeit für Änderungen an Informationsressourcen und für Verantwortlichkeit für Änderungen an Informationsressourcen und für
alle Änderungen an automatisierten Sicherheits-/Zugriffsregeln alle Änderungen an automatisierten Sicherheits-/Zugriffsregeln alle Änderungen an automatisierten Sicherheits-/Zugriffsregeln
sicherzustellen sicherzustellen sicherzustellen
Protokolle müssen gemäß den Aufbewahrungsrichtlinien für Protokolle müssen gemäß den Aufbewahrungsrichtlinien für Protokolle müssen gemäß den Aufbewahrungsrichtlinien für Protokolle müssen gemäß den Aufbewahrungsrichtlinien für
Aufbewahrungskriterien für Zugriffsberichte Aufzeichnungen aufbewahrt werden Aufzeichnungen aufbewahrt werden Aufzeichnungen aufbewahrt werden Aufzeichnungen aufbewahrt werden
Aufbewahrungskriterien für den Zugriff n/A Der Eigentümer bestimmt die Aufbewahrung von Verstoßprotokollen Der Eigentümer bestimmt die Aufbewahrung von Verstoßprotokollen Der Eigentümer bestimmt die Aufbewahrung von Verstoßprotokollen
Zeitrahmen für den Das Überprüfungs- und Bestätigungsdatum muss flexibel festgelegt Das Überprüfungs- und Bestätigungsdatum muss flexibel festgelegt Der Informationseigentümer muss alle Informationsklassifizierungen Der Informationseigentümer muss alle Informationsklassifizierungen
Klassifizierungsüberprüfungszyklus werden, z. B. 1–2 Jahre werden, z. B. 1–2 Jahre und Benutzerrechte überprüfen und bestätigen, jedoch nicht länger als und Benutzerrechte überprüfen und bestätigen, jedoch nicht länger als
ein Jahr ein Jahr
8. Meldepflichten Öffentlich Empfindlich Vertraulich Reguliert
Erforderliche Offenlegung gegenüber der Keine Offenlegung öffentlicher Informationen Keine Offenlegung öffentlicher Informationen Keine Offenlegung öffentlicher Informationen Keine Offenlegung öffentlicher Informationen
betroffenen Person
Erforderliche Offenlegung gegenüber der Keine Offenlegung öffentlicher Informationen Keine Offenlegung öffentlicher Informationen Keine Offenlegung öffentlicher Informationen Keine Offenlegung öffentlicher Informationen
Öffentlichkeit
Erforderliche Offenlegung gegenüber Keine Offenlegung öffentlicher Informationen Keine Offenlegung öffentlicher Informationen Keine Offenlegung öffentlicher Informationen Keine Offenlegung öffentlicher Informationen
Bundespartnern
staatlichen Partnern
Dritten

Begrif Definition
f
Referenz

Datenklassifizierungsvorlage: Leer Leer Leer Leer

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Datenklassifizierungsvorlage: Leer Leer Leer Leer

Hochgeladen von

Copyright:

Verfügbare Formate

Datenklassifizierungsvorlage

1. Allgemeine Information leer leer leer leer

ORGANISATION [Hier den Namen der Organisation einfügen]

2. Datenklassifizierungsebenen Öffentlich Empfindlich Vertraulich Reguliert

Beispiel für Sicherheitskontrollen

3. Rollen und Verantwortlichkeiten Öffentlich Empfindlich Vertraulich Reguliert

VORLAGE FÜR DIE DATENKLASSIFIZIERUNG SEITE1 VON 5

VORLAGE FÜR DIE DATENKLASSIFIZIERUNG SEITE2 VON 5

VORLAGE FÜR DIE DATENKLASSIFIZIERUNG SEITE3 VON 5

Das könnte Ihnen auch gefallen