Content Page Introduction

Datenklassifizierung

  • Um Ihre sensiblen Daten schützen zu können, müssen Sie wissen, welche Daten sensibel sind und wo sie liegen. Datenklassifizierung ist der Prozess, in dem strukturierte oder unstrukturierte Daten analysiert und aufgrund des Dateityps und des Inhalts in Kategorien eingeordnet werden. Klassifizierungen haben verschiedene Stufen, die zum Beispiel „intern“, „vertraulich“, „streng vertraulich“ oder „öffentlich“ lauten könnten. Im Zuge eines gemeinsamen Workshops wird eine Klassifizierungsrichtlinie erstellt und der Schutzbedarf für die Klassifizierungsstufen definiert. Außerdem werden Risikokategorien identifiziert und Regeln für die Klassifizierung von Informationen aufgestellt.

Beschreibung

  • Bereitstellung eines Informations-Inventars von klassifizierten Informationen
  • Bewusstseinsbildung auf Seiten der Informationseigentümer bezüglich des Eigentums klassifizierter Informationen und der Verantwortung für diese
  • Erklärung der für klassifizierte Informationen relevanten Rollen und Verantwortlichkeiten
  • Definition der Vertraulichkeitsstufen und Klassifizierungskriterien
  • Befähigung des Informationseigentümers zur eigenständigen Anwendung der Klassifizierungsmethode sowie zur laufenden Aktualisierung seines Bestands an klassifizierten Informationen

  • Beschreibt sich im sogenannten PDCA-Zyklus mit den folgenden Phasen: Plan, Do, Check und Act
  • Bei diesem Prozess handelt es sich um einen Zyklus und nicht um einen Ablauf
  • Die Klassifikation sollte ständig überprüft und den Unternehmensumständen angepasst werden

  • Plan: Identifizierung der Datenbestände, Ernennung eines Informations-Verantwortlichen (ggf. Datenschutzbeauftragten), sowie Entwicklung eines Rahmenwerks bestehend aus Schutzklassen und Richtlinien.
  • Do: Nachdem die Schutzklassen und Richtlinien abgestimmt wurden, ist das Deployment der Schutztechnologie. Im gleichen Zuge werden die definierten Schutzklassen und Richtlinien implementiert und durchgesetzt.
  • Check: Validierung und Überprüfung der definierten Richtlinien und Schutzklassen gegen den Erfüllungsgrad des ursprünglich gedachten Zwecks.
  • Act: Reklassifizierung von Daten und Dateien, um sich an Änderungen und neue Risiken anzupassen

  • Darstellung einer Klassifizierungstaxonomie und Hierarchie
  • Welche Datenklassifizierung gibt es bereits im Unternehmen?
  • Ermitteln von Sensitivitätsstufen von Daten, die in der Organisation vorhanden sind
  • Design, Definition „Use Scoped“ Policies für bestimmte Teams/Fachabteilungen
  • Entwerfen eines Blueprints als Enterprise-Template für weitere Fachabteilungen
  • Definition der Label-Bezeichnungen
  • Identifizierung, welche Schutzmaßnahmen für Ihre Organisation erforderlich sind
  • Konvertierung der Anforderungen in Business Use Cases

Ihre Vorteile

  • Gemeinsames Erarbeiten einer Klassifizierungsrichtlinie als Grundlage für einen unternehmensweiten Standard im Umgang mit sensiblen Daten
  • Identifizieren von sensiblen Dateien, geistigem Eigentum und Geschäftsgeheimnissen
  • Identifizieren von regulierten Daten, um die Anforderungen von Vorschriften wie beispielsweise HIPAA, PCI DSS oder DSGVO zu erfüllen
  • Erkennen statistisch signifikanter Muster oder Trends im Datenbestand
  • Basis für die Umsetzung einer Label- und Klassifizierungstechnologie wie beispielsweise Azure Information Protection (AIP) ist geschaffen

Die Datenklassifizierung auf Basis einer Klassifizierungsrichtlinie ist ganz einfach: im ersten Schritt erstellen Sie unterschiedliche Kategorien mit den gewünschten Vertraulichkeitsstufen. Anschließend weisen Sie Ihre Daten diesen Kategorien zu. Da hierfür Templates zur Verfügung stehen, ist dies weit weniger aufwendig, als es klingen mag. Falls noch keine Klassifizierungsrichtlinie vorhanden sein sollte, unterstützen wir gerne mit einer Grundstruktur.

Mario Krukow, Senior Cybersecurity Architect, All for One Group

Unsere Leistungen

  • Ganztätiger Workshop, durchgeführt von einem erfahrenen Security-Architekten und einem Cybersecurity-Berater
  • Gemeinsame Erstellung einer Klassifizierungsrichtlinie von Informationen
  • Ergebnisse des Workshops werden in einem Konzept zusammengefasst
  • Vorlage zur Klassifizierung von Daten und Bestimmung des Schutzbedarfes wird zur Verfügung gestellt

Kontakt

rosendahl_2316 x 1054_vorlage_l_left_hg
Peter Rosendahl Director Solutions Cybersecurity & Compliance
  • T:
  • M:
Email schreiben