A.5 Organisatorische Maßnahmen
Klassifizierung von Informationen
Informationen müssen entsprechend den Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit sowie den relevanten Interessen klassifiziert werden.
Was fordert dieses Control?
Informationen müssen entsprechend den Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit sowie den relevanten Interessen klassifiziert werden.
Warum ist das wichtig?
Klassifizierung steuert, wie stark eine Information geschützt werden muss. Ohne sie wird entweder über- oder unterschützt, beides ist ineffizient und riskant.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| TISAX | 1.4.2 | Direkt |
| BSI | CON.2 | Direkt |
| DSGVO | Art. 32 | Indirekt |
Was der Auditor erwartet
- 1Definiertes Klassifizierungsschema
- 2Angewandte Klassifizierung auf reale Informationen
- 3Bezug zu Schutzmaßnahmen je Stufe
Audit-Checkliste
Dokumente
Klassifizierungsschema
Stufen mit Kriterien für Vertraulichkeit, Integrität, Verfügbarkeit
Nachweise
Klassifizierte Werte
Anwendung des Schemas im Asset-Inventar
Interviews
Asset Owner
Wie sie Informationen einstufen
Praxis-Tipps zur Umsetzung
Wenige Stufen
Drei bis vier klare Stufen sind praktikabler als ein komplexes Schema.
Mit Maßnahmen verbinden
Jede Stufe braucht konkrete Handhabungs- und Schutzregeln.
Einfach anwendbar
Mitarbeiter müssen die Einstufung im Alltag ohne Aufwand vornehmen können.
Häufige Fehler
Schema ohne Anwendung
Stufen sind definiert, aber nichts ist klassifiziert.
Zu viele Stufen
Ein überkomplexes Schema wird in der Praxis ignoriert.
Häufig gestellte Fragen
Wie viele Klassifizierungsstufen sind sinnvoll?
Meist drei bis vier, etwa öffentlich, intern, vertraulich und streng vertraulich.
Müssen alle Dokumente klassifiziert werden?
Zumindest die schützenswerten. Eine Standardstufe für den Rest reduziert den Aufwand.
Wer legt die Klassifizierung fest?
In der Regel der Asset Owner anhand des definierten Schemas.
So hilft CompliantDesk bei A.5.12
Assets und Informationen werden im Inventar mit Klassifizierung geführt, die unmittelbar Schutzanforderungen und Kontrollen steuert.