Datenklassifizierungsrichtlinien-Vorlage

Laut Statista wird die globale Datenerstellung in den nächsten zehn Jahren explosionsartig ansteigen und bis 2025 mehr als 180 Zettabyte und bis 2035 über zweitausend Zettabyte erreichen.

Während nur ein kleiner Prozentsatz dieser neu erstellten Daten aufbewahrt wird, stehen Organisationen dennoch vor der Herausforderung, mehr Daten als je zuvor zu verwalten und sie vor Verstößen zu schützen.

Die Datenklassifizierung kann Ihrer Organisation helfen, diese Herausforderung zu bewältigen, indem Sie Informationen nach Risikostufen sortieren und richtige Datensicherheitsrichtlinien festlegen.

Lesen Sie weiter, um zu erfahren, wie Sie Datenklassifizierungsstufen bestimmen, welche Methoden Sie verwenden können, um Daten zu klassifizieren, welche Schritte und bewährten Verfahren Sie befolgen müssen, um eine Datenklassifizierungsrichtlinie zu erstellen, und vieles mehr.

Was ist Datenklassifizierung?

Datenklassifizierung ist der Prozess der Identifizierung und Kategorisierung von Daten nach ihrem Sensitivitätsgrad, um die Verwaltung, Sicherheit und Speicherung dieser Daten zu vereinfachen.

Die Datenklassifizierung erfolgt nach dem Datenentdeckungsprozess. Zuerst scannen Sie Ihre Umgebung, um festzustellen, wo strukturierte und unstrukturierte Daten gespeichert sind. Diese werden wahrscheinlich über Datenbanken, Cloud-Speicherdienste und Dateien wie PDFs und E-Mails sowie andere Quellen verteilt sein. Dann identifizieren Sie in diesen gefundenen Datenquellen verschiedene Datentypen und weisen ihnen basierend auf Merkmalen wie folgenden Labels zu:

• Sensitivität: Beispiele sind hoch, mittel und niedrig.
• Art des Datenobjekts: Beispiele sind Lieferantenrechnungen, Kundenrechnungen und Mitarbeiterakten.
• Quellinformation: Beispiele sind lizenziert, erworben oder intern erstellt.
• Geopolitische Informationen: Beispiele sind US-Personen oder EU-Entitäten.

Diese Labels sind Teil des Datenklassifizierungsschemas einer Organisation. Schauen wir uns nun genauer an, warum Datenklassifizierung wichtig ist.

Was ist der Zweck der Datenklassifizierung?

Die von Ihrem Unternehmen erstellten Daten umfassen alles von wertvollem geistigem Eigentum bis hin zu Kalendereinladungen zwischen Kollegen und können aus Sicht von Risiko und Datenverwaltung eine echte Herausforderung darstellen. Ihr Unternehmen benötigt ein System zur Organisation sowohl sensibler als auch weniger wichtiger Daten – hier kommt die Datenklassifizierung ins Spiel.

Die Datenklassifizierung umfasst die Sortierung von Informationen nach dem Schutzgrad, damit Sie die richtigen Datensicherheitsrichtlinien festlegen können, um das Risiko einer Änderung, eines Diebstahls oder einer Zerstörung dieser Informationen zu mindern.

Schauen wir uns die Vorteile der Datenklassifizierung genauer an, damit Sie verstehen, warum Ihre Organisation mit der Klassifizierung ihrer Daten beginnen sollte.

Vorteile der Datenklassifizierung

Effektive Datenklassifizierung ist ein wichtiger Bestandteil jeder Informationssicherheitsrichtlinie und sollte Ihrem Unternehmen helfen, hochsensible Daten zu schützen, Datenrecherchen und -abruf zu optimieren, doppelte Daten zu entfernen und Datenschutz- sowie Sicherheitsanforderungen einzuhalten.

Lassen Sie uns die einzelnen Vorteile im Folgenden genauer betrachten.

Risikomanagement

Datenschutzrichtlinien sollten Ihnen helfen, eine sinnvolle Risikomanagementstrategie zu entwickeln. Sobald Sie den Wert Ihrer Daten identifiziert haben, können Sie Sicherheitsmaßnahmen implementieren, um das Risiko zu minimieren, dass diese Daten verändert, gestohlen oder zerstört werden.

Datenklassifizierung ist daher ein wesentlicher Bestandteil des Risikomanagements und Strategien zur Vermeidung von Datenverlusten.

Datensicherheit und -abruf

Datenklassifizierung kann auch nützlich sein, um Daten­sicherheits- und -abrufprozesse zu erstellen, indem sie Ihnen hilft:

• Daten nach Wichtigkeit zu organisieren
• Höchst sensible Daten zu schützen
• Datenrecherchen und -abruf zu optimieren

Dies kann Ihrem Unternehmen helfen, den Benutzerzugriff auf sensible Daten zu reduzieren, die richtigen Datenschutztechnologien zu installieren und die Ressourcennutzung für weniger kritische Daten zu optimieren.

Daten-Deduplizierung

Datenklassifizierung kann nicht nur helfen, Daten durchsuchbarer und verfolgbarer zu machen – sie kann auch dazu beitragen, doppelte Daten zu eliminieren. Dies kann Ihren Mitarbeitern helfen, ihre Suche zu beschleunigen und auch Speicher- und Sicherungskosten für Ihr Unternehmen insgesamt zu senken.

Organisationale Effizienz

Datenklassifizierungsrichtlinien können auch dazu beitragen, Ihre organisationale Effizienz zu verbessern. Zum Beispiel können Sie doppelte Daten finden und reduzieren, um Speicher- und Sicherungskosten zu senken.

Regulatorische Compliance

Datenklassifizierung kann Ihrem Unternehmen auch helfen, Datenschutzanforderungen und andere Regeln und Vorschriften einzuhalten, indem entsprechende Sicherheitskontrollen implementiert werden und Daten innerhalb vorgegebener Zeitrahmen durchsuchbar und abrufbar gemacht werden.

Jetzt, da Sie wissen, warum sich Datenklassifizierung lohnt, werden wir Ihnen Schritt für Schritt erklären, wie sie umgesetzt wird.

Daten-Sensitivitätsklassifizierung

Die Datenklassifizierung erfordert, den Sensibilitätsgrad der Daten in Ihrem Unternehmen zu bewerten. Diese Stufen reichen typischerweise von hoch über mittel bis niedrig und korrelieren damit, wie schädigend es wäre, wenn diese Daten verloren gingen, gestohlen oder kompromittiert würden.

Die Klassifizierung von Daten auf diese Weise hilft Organisationen zu verstehen, wo sie ihre Risikominderungsbemühungen konzentrieren sollen. Je sensibler die Daten sind, desto mehr muss sich Ihre Organisation darauf konzentrieren, diese zu schützen.

Niedrig sensible Daten

Niedrig sensible Daten sind solche, deren Kompromittierung, Verlust oder Zerstörung wenig bis gar keine Auswirkungen hätte (obwohl eine Organisation möglicherweise dennoch Sicherheitskontrollen zum Schutz vor Schäden implementiert). Niedrig sensible Daten sind für die öffentliche Nutzung bestimmt und erfordern keinen Vertraulichkeitsschutz. Sie werden je nach ihrem Klassifizierungsmodell häufig als uneingeschränkte oder öffentliche Daten bezeichnet.

Beispiele für niedrig sensible Daten umfassen:

• Öffentliche Informationen und Webseiten, wie Stellenangebote, Blogposts usw.
• Pressemitteilungen
• Mitarbeiterverzeichnis

Mittel sensible Daten

Daten mit mittlerer Sensibilität sind Daten, deren Kompromittierung, Verlust oder Zerstörung keine katastrophalen Auswirkungen hätte, jedoch ein gewisses Risiko für eine Organisation darstellen würde. Diese Daten sollten daher nur für internes Personal zugänglich sein, dem der Zugang gewährt wurde, und werden üblicherweise als intern oder privat gekennzeichnet.

Beispiele für Daten mittlerer Sensibilität sind:

• Interne E-Mails oder Dokumente, die keine vertraulichen Daten enthalten
• Lieferantenverträge
• IT-Service-Management- oder Telekommunikationsinformationen

Daten mit hoher Sensibilität

Daten mit hoher Sensibilität sind Daten, deren Kompromittierung, Verlust oder Zerstörung katastrophale Auswirkungen auf eine Organisation hätte. Organisationen müssen daher die strengsten Zugangskontrollen für Daten mit hoher Sensibilität anwenden. Da der Zugang auf eine Notwendigkeit beschränkt ist, werden Daten mit hoher Sensibilität üblicherweise als vertraulich oder eingeschränkt gekennzeichnet.

Beispiele für Daten mit hoher Sensibilität sind:

• Finanzdaten, wie Kreditkartennummern
• Medizinische und biometrische Daten, einschließlich geschützter Gesundheitsinformationen (PHI)
• Mitarbeiterdaten, einschließlich personenbezogener Daten (PII) wie Sozialversicherungsnummern
• Authentifizierungsdaten, wie Anmeldeinformationen

Datenklassifizierungsmodelle und -schemata

Ein Datenklassifizierungsmodell und -schema definiert, wie eine Organisation ihre Datenressourcen identifiziert und kategorisiert. In der Regel definieren diese Modelle drei bis fünf Ebenen basierend auf der Kritikalität und Sensibilität der Daten, um die geeigneten Sicherheitskontrollen zu bestimmen.

Organisationen sollten ihre eigenen Datenklassifizierungsmodelle und -schemata entwerfen, um ihre proprietären, geschäftlichen und/oder Benutzerdaten mit unterschiedlichen Sensibilitätsstufen zu schützen und Compliance- und Regulierungsanforderungen zu erfüllen. Sie können jedoch mit verschiedenen Klassifizierungsmodellen und -schemata beginnen oder diese als Grundlage nutzen, die von Regierungen und kommerziellen Organisationen entwickelt wurden.

Zum Beispiel verwendet die US-Regierung ein dreistufiges Klassifizierungsschema für Daten basierend auf den potenziellen Auswirkungen auf die nationale Sicherheit, wenn diese offengelegt werden:

• Vertraulich: Unbefugte Offenlegung dieser Informationen würde wahrscheinlich Schaden für die nationale Sicherheit verursachen.
• Geheim: Unbefugte Offenlegung dieser Informationen würde wahrscheinlich ernsthaften Schaden für die nationale Sicherheit verursachen.
• Streng geheim: Unbefugte Offenlegung dieser Informationen würde wahrscheinlich außergewöhnlich schweren Schaden für die nationale Sicherheit verursachen.

Das NIST hat ein dreistufiges Kategorisierungsschema entwickelt, das sich nicht nur auf die Vertraulichkeit, sondern auch auf die Integrität und Verfügbarkeit von Informationen und Informationssystemen bezieht, die für die Mission einer Organisation von Bedeutung sind:

• Niedrig: Unbefugte Offenlegung dieser Informationen hätte begrenzte nachteilige Auswirkungen auf die Betriebsabläufe, Vermögenswerte oder Einzelpersonen der Organisation.
• Mäßig: Unbefugte Offenlegung dieser Informationen hätte schwerwiegende nachteilige Auswirkungen auf die Betriebsabläufe, Vermögenswerte oder Einzelpersonen der Organisation.
• Hoch: Unbefugte Offenlegung dieser Informationen hätte schwerwiegende oder katastrophale nachteilige Auswirkungen auf die Betriebsabläufe, Vermögenswerte oder Einzelpersonen der Organisation.

Organisationen können innerhalb dieser Ebenen sekundäre Kennzeichnungen verwenden, um verschiedene Datenressourcen und Verfahren oder Compliance- und Regulierungsanforderungen zu spezifizieren. Beispielsweise kann eine Organisation, die nur Finanzdaten sammelt, diese als „vertrauliche Daten“ klassifizieren, während eine Organisation, die medizinische Daten sammelt, diese spezifischer als „geschützte Gesundheitsinformationen“ klassifizieren kann, um anzuzeigen, dass HIPAA-Anforderungen für diese Daten gelten.

Beispiele für Datenklassifizierungen

Während das NIST-Datenklassifizierungsschema weithin als angemessenes Klassifizierungsschema in branchenspezifischen, nationalen und internationalen Zertifizierungen anerkannt ist, sollten Organisationen ihre eigenen Klassifizierungsschemata basierend auf ihren einzigartigen organisatorischen und Risikomanagementbedürfnissen entwickeln.

Zur Inspiration werden wir uns einige Beispiele von Organisationen und dem Klassifizierungsmodell und -schema ansehen, die sie implementiert haben.

UW-Madison

UW-Madison klassifiziert Daten in vier Kategorien, die verwendet werden, um zu bestimmen, wie der Zugriff auf Daten für einzelne Personen bereitgestellt wird. Die Kategorien sind:

• Öffentlich: Die unbefugte Offenlegung, Änderung oder Zerstörung dieser Daten würde nur ein geringes oder kein Risiko für die Universität und ihre Partner bedeuten. Alle Daten, die auf Websites angezeigt oder ohne Zugriffsbeschränkungen veröffentlicht werden, sollten als öffentlich eingestuft werden.
• Intern: Die unbefugte Offenlegung, Änderung oder Zerstörung dieser Daten könnte ein gewisses Risiko für die Universität und ihre Partner darstellen. Standardmäßig sollten alle Daten, die nicht explizit in den anderen drei Kategorien klassifiziert sind, als intern eingestuft werden.
• Sensibel: Die unbefugte Offenlegung, Änderung, der Verlust oder die Zerstörung dieser Daten könnte ein moderates Risiko für die Universität, Partner oder Forschungsprojekte darstellen.
• Eingeschränkt: Die unbefugte Offenlegung, Änderung, der Verlust oder die Zerstörung dieser Daten könnte ein erhebliches Risiko für die Universität, Partner oder Forschungsprojekte darstellen. Wenn der Schutz der Daten gesetzlich oder durch Vorschriften erforderlich ist oder UW-Madison verpflichtet ist, sich selbst gegenüber der Regierung zu melden und/oder die betroffene Person zu benachrichtigen, wenn die Daten unzulässig abgerufen werden, sollten sie als eingeschränkt eingestuft werden.

Harvard

Harvard klassifiziert Daten in fünf Stufen:

• L1: L1 bezieht sich auf öffentliche Informationen. Die Universität stellt diese Informationen absichtlich der Öffentlichkeit zur Verfügung. Veröffentlichten Forschungsergebnisse, Kurskataloge, regulatorische und rechtliche Ergebnisse, veröffentlichte Jahresberichte, freigegebene Patente und universitätsweite Richtlinien sind Beispiele dafür.
• L2: L2 bezieht sich auf vertrauliche Informationen mit geringem Risiko. Die Universität wählt, diese Informationen innerhalb der Harvard-Community privat zu halten, aber ihre Offenlegung über die Community hinaus würde keinen wesentlichen Schaden verursachen. Abteilungspolitiken und -verfahren, Schulungsmaterialien von Harvard, Entwürfe von Forschungspapieren sowie Patent- und Förderanträge sind Beispiele hierfür.
• L3: L3 bezieht sich auf vertrauliche Informationen mit mittlerem Risiko. Die Universität beabsichtigt, diese Informationen nur für diejenigen zu teilen, die ein „geschäftliches Bedürfnis zu wissen“ haben, und die Offenlegung über die beabsichtigten Empfänger hinaus könnte erheblichen Schaden für Einzelpersonen oder die Universität verursachen. Nicht im Verzeichnis aufgeführte Informationen über Studenten, nicht veröffentlichte Informationen über Fakultäts- und Mitarbeiter, Budget-/Finanztransaktionsinformationen und als vertraulich gekennzeichnete Informationen durch Lieferantenverträge und NDAs sind einige Beispiele dafür.
• L4: L4 bezieht sich auf vertrauliche Informationen mit hohem Risiko. Die Universität hat strenge Kontrollen für diese Informationen und die Offenlegung über die angegebenen Empfänger hinaus würde wahrscheinlich ernsthaften Schaden für Einzelpersonen oder die Universität verursachen. Passwörter und PINs, Systemanmeldeinformationen und private Verschlüsselungsschlüssel sind einige Beispiele dafür.
• L5: L5 ist ausschließlich für Forschungsdaten reserviert, wie vom IRB oder einer Datenverwendungsvereinbarung festgelegt. Daten, deren Offenlegung das Subjekt einem schweren Schadensrisiko aussetzen oder mit vertraglichen Anforderungen an außergewöhnliche Sicherheitsmaßnahmen versehen könnte, sollten als L5 klassifiziert werden.

AWS

AWS empfiehlt, mit einem dreistufigen Ansatz zur Datenklassifizierung zu beginnen. Sowohl öffentliche als auch kommerzielle Organisationen, die die AWS-Cloud übernommen haben, konnten ihre Anforderungen und Bedürfnisse zur Datenklassifizierung ausreichend erfüllen, indem sie den folgenden Ansatz verwendet haben.

Methoden der Datenklassifizierung

Es gibt drei Hauptmethoden, mit denen Ihre Organisation die Datenklassifizierung durchführen kann. Viele Organisationen verwenden eine Kombination aus allen drei Methoden.

Werfen wir einen kurzen Blick darauf, wie jede Methode in der Praxis funktioniert.

Benutzerbasierte Klassifizierung

Bei der benutzerbasierten Klassifizierung entscheiden Sie manuell, wie Dateien klassifiziert werden sollen. Sie können sensible Dokumente bei deren Erstellung, nach einer Bearbeitung oder vor der Freigabe kennzeichnen.

Inhaltsbasierte Klassifizierung

Die inhaltsbasierte Klassifizierung umfasst die Überprüfung von Dateien und Dokumenten auf sensible Informationen, bevor sie klassifiziert werden. Dabei wird eine Risikokategorie basierend auf dem Inhalt der Datei oder des Dokuments zugewiesen.

Kontextbasierte Klassifizierung

Die kontextbasierte Klassifizierung verwendet Metadaten anstelle von Inhalt, um Indikatoren für sensible Informationen zu finden.

Beispiele für Metadaten sind:

• Die Anwendung, die die Datei erstellt hat (Buchhaltungs-, Finanz- oder Gesundheitssoftware)
• Der Benutzer, der das Dokument erstellt hat (z. B. ein Mitglied der Buchhaltungsabteilung)
• Der Standort, an dem eine Datei erstellt wurde (z. B. Gebäude der Buchhaltungsabteilung)

Sowohl die inhalts- als auch die kontextbasierte Klassifizierung sind Arten der automatisierten Klassifizierung. Während die automatisierte Klassifizierung tendenziell effizienter ist als die benutzerbasierte Klassifizierung, sollten Sie die Ergebnisse dennoch manuell überprüfen. Deshalb nutzen Organisationen in der Regel zwei oder drei dieser Methoden.

Sobald Sie festgelegt haben, welches Klassifizierungssystem für Ihre Organisation am besten geeignet ist, können Sie den Datenklassifizierungsprozess starten.

Datenklassifizierungsprozess

Es gibt einige wesentliche Schritte, die Ihre Organisation während des Datenklassifizierungsprozesses unternehmen sollte.

1. Führen Sie eine Risikobewertung durch

Zunächst müssen Sie strategisch über Ihre Daten nachdenken. Wo sind Sie anfällig? Wie können Sie Ihren Schutz optimieren?

Hier sind einige Fragen, die Ihnen helfen können, Ihre Daten und die anwendbaren Unternehmens-, Regulierungs- und vertraglichen Datenschutz- und Vertraulichkeitsanforderungen zu verstehen:

• Wer erstellt oder besitzt die Informationen?
• Wer ist für die Integrität und Genauigkeit der Daten verantwortlich?
• Wo werden die Informationen gespeichert?
• Welche sensiblen Daten haben wir?
• Wer hat die Berechtigung, die Informationen zuzugreifen, zu ändern, zu archivieren oder zu löschen?
• Wie wirkt es sich auf unser Geschäft aus, wenn die Daten gestohlen, zerstört oder geändert werden?
• Unterliegen die Informationen irgendwelchen Vorschriften oder Compliance-/Branchestandards? Wenn ja, welche Strafen gibt es bei Nichteinhaltung?

Nach Befolgung dieser Praktiken sollten Sie die Daten Ihres Unternehmens besser verstehen. Dies wird Ihnen helfen, die beste Strategie für deren Verwaltung und Schutz zu entwickeln.

2. Definieren Sie Ihre Ziele und was Sie mit der Datenkategorisierung erreichen möchten.

Definieren Sie als Nächstes klar Ihre Hauptziele für die Datenkategorisierung. Möchten Sie die Einhaltung von Vorschriften erleichtern, die Produktivität der Mitarbeiter steigern oder die Kosten für Datenmanagement und -speicherung senken? Alles oben Genannte? Dieser Schritt sollte Beteiligte aus den Bereichen Sicherheit, Compliance und Recht umfassen.

3. Bestimmen Sie die Kategorien und Kriterien, die Sie zur Klassifizierung von Daten verwenden werden.

Sobald Sie verstanden haben, warum Sie Ihre Daten klassifizieren, können Sie besser bestimmen, wie Sie dies tun. Es gibt mehrere Möglichkeiten, wie Sie Daten organisieren können: Metadaten, Tags, Dateityp, Zeicheneinheiten und Größen von Datenpaketen sind nur einige Beispiele.

Sie sollten auch zu diesem Zeitpunkt Klassifizierungsstufen festlegen.

4. Formulieren Sie eine Datenklassifizierungsrichtlinie.

Eine Datenklassifizierungsrichtlinie sollte die Ziele Ihrer Organisation bei der Implementierung eines Datenklassifizierungsprozesses, die verwendete Taxonomie zur Klassifizierung von Daten sowie die Rollen und Verantwortlichkeiten der Dateninhaber, einschließlich der Art und Weise, wie sie Daten klassifizieren und Zugriff darauf gewähren, klar darlegen.

Eine Datenklassifizierungsrichtlinie sollte das Datenklassifizierungsschema Ihrer Organisation und die formale Beschreibung aller Datentypen innerhalb einer Organisation klar darlegen. Der Zweck besteht darin, dass alle betroffenen Parteien, einschließlich externer Parteien, die Daten teilen oder empfangen, ein gemeinsames Verständnis haben und verschiedene Arten von Daten identifizieren können.

5. Umreißen Sie die Rollen und Verantwortlichkeiten der Mitarbeiter bei der Einhaltung der Datenklassifizierungsprotokolle.

Die Mitarbeiter sollten klar verstehen, dass sie für die Nutzung sensibler und weniger wichtiger Daten verantwortlich und rechenschaftspflichtig sind. Risikominderungsmaßnahmen und automatisierte Richtlinien sollten dokumentiert werden. Dadurch wissen die Mitarbeiter beispielsweise, dass sie PHI nach 180 Tagen ungenutzt verschieben oder archivieren müssen oder wie sie Kontrollausfälle oder Verstöße erkennen und melden können.

6. Entwickeln Sie Sicherheitsstandards, die mit Datenkategorien, Tags und Compliance-Vorschriften übereinstimmen.

Sobald Daten nach Kategorien, Tags und/oder Compliance-Vorschriften klassifiziert wurden, können Sie geeignete Sicherheitskontrollen zur deren Schutz bestimmen. Beispielsweise müssen medizinische, Kreditkarten- und personenbezogene Daten (PII) gemäß unterschiedlichen Vorschriften angemessen behandelt werden und erfordern daher möglicherweise einzigartige Sicherheitsstandards.

7. Überprüfen Sie regelmäßig Ihre Klassifizierungskriterien und -prozesse.

Die Datenklassifizierung ist kein einmaliger Vorgang. Sie sollten Ihre Klassifizierungskriterien und -prozesse regelmäßig überprüfen, um mit den sich ändernden Vorschriften und Unternehmenszielen Schritt zu halten. Dies kann jährlich oder in einem anderen, je nach verfügbaren Ressourcen möglichen, Rhythmus erfolgen.

Beispiele für Datenklassifizierungsrichtlinien

Um die Entwicklung der Datenklassifizierungsrichtlinie Ihrer Organisation zu unterstützen, sehen Sie sich unten Beispiele für Datenklassifizierungsrichtlinien an, die an Universitäten implementiert wurden.

1. Die Datenklassifizierungs- und Handhabungsrichtlinie der University of Kansas

Diese Richtlinie beschreibt, wie Daten an der University of Kansas klassifiziert und verwaltet werden, um deren Vertraulichkeit zu gewährleisten. Sie beschreibt ihren Zweck, auf wen sie zutrifft, und definiert drei Datenklassifizierungsstufen basierend auf Sensibilität (vertraulich, sensibel und öffentlich).

2. Die Datenklassifizierungsrichtlinie der Boston University

Die Datenklassifizierungsrichtlinie der Boston University bietet ein gemeinsames Vokabular, das Einzelpersonen verwenden können, um Universitätsdaten zu beschreiben und den erforderlichen Schutz zu quantifizieren. Diese Richtlinie definiert vier Kategorien, in die alle Universitätsdaten eingeteilt werden können:

• Öffentlich
• Intern
• Vertraulich
• Eingeschränkte Nutzung

3. Die Datenklassifizierungs- und Schutzrichtlinie der Fordham University

Die Datenklassifizierungs- und Schutzrichtlinie der Fordham University etabliert ein Rahmenwerk zur Klassifizierung institutioneller Daten basierend auf ihrem Sensibilitätsgrad, Wert und ihrer Kritikalität für die Universität. Sie definiert drei Kategorien: Fordham-geschützte Daten, Fordham-sensible Daten und öffentliche Daten.

Sind Sie sich immer noch nicht sicher, was Sie in Ihre Datenklassifizierungsrichtlinie aufnehmen sollen? Verwenden Sie unsere Vorlage als Grundlage, um schnell Ihre eigene zu erstellen.

Beste Praktiken zur Datenklassifizierung

Verwenden Sie diese bewährten Praktiken, um eine effektive Datenklassifizierungsrichtlinie zu erstellen:

• Verstehen Sie Ihre Daten: Sie müssen wissen, welche Art von Daten Sie haben. Analysieren Sie Ihre Daten und alle Vorschriften, denen Ihre Organisation folgen muss. Im nächsten Abschnitt gehen wir genauer auf diese Vorschriften ein.
• Erstellen Sie ein Datenklassifizierungsmodell: Als Nächstes sollten Sie ein Datenklassifizierungsmodell erstellen. Beginnen Sie mit einigen grundlegenden Klassifizierungsstufen. Sie können bei Bedarf komplexere Stufen hinzufügen.
• Organisieren Sie Ihre Daten: Entscheiden Sie, wie Sie Ihre Daten basierend auf dem Sensibilitätsgrad und der potenziellen Auswirkung kennzeichnen. Mit zunehmender Sensibilität vom niedrigen zum hohen Niveau sollte auch die Klassifizierungsstufe steigen. Fügen Sie auf jeder Stufe mehr Einschränkungen hinzu.
• Überprüfen Sie die Ergebnisse: Alle Ergebnisse, ob manuell oder automatisch klassifiziert, sollten auf Genauigkeit überprüft und validiert werden. Erstellen Sie einen Prozess, der klar identifiziert, wer beteiligt ist und welche Schritte erforderlich sind, um diese Ergebnisse zu überprüfen und zu validieren.
• Ermitteln Sie, wie Ihre Ergebnisse Ihrem Unternehmen zugutekommen können: Sobald Sie Ihre Ergebnisse validiert haben, können Sie diese analysieren, um ihre optimale Nutzung zu bestimmen. Vielleicht können sie verwendet werden, um Arbeitsabläufe zu optimieren oder eine Datensicherheitspolitik zu verbessern, die Ihrem Unternehmen zugutekommt.
• Ändern Sie die Klassifizierungskriterien nach Bedarf: Ihre Klassifizierungskriterien müssen möglicherweise aufgrund von Änderungen im Geschäft oder neuen Vorschriften aktualisiert werden. Daher sollten Sie einen Prozess einrichten, der nicht nur das Auffinden und Klassifizieren neuer Daten, sondern auch die regelmäßige Überprüfung Ihrer Kriterien umfasst.

Compliance-Rahmenwerke für die Datenklassifizierung

Compliance-Rahmenwerke können nützlich sein, um Ihre Datenklassifizierungsrichtlinien zu erstellen. Es gibt mehrere regulatorische Sicherheitsrahmenwerke, die Sie bei der Klassifizierung von Daten beachten sollten.

SOC 2

Systeme und Organisationskontrollen (SOC) 2 bewerten, wie die Sicherheit eines Unternehmens mit den Trust Services Criteria übereinstimmt. Zu diesen Kriterien gehören Sicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungsintegrität und Datenschutz.

Dieses Rahmenwerk hilft Ihrer Organisation, Kundendaten und das Risikomanagement von Drittanbietern zu verwalten.

Trotz ihres Wertes kann die Implementierung von SOC 2 kompliziert sein. Secureframe kann Ihnen helfen, Ihre SOC 2-Compliance zu vereinfachen.

HIPAA

Der Health Insurance Portability and Accountability Act (HIPAA) hat Standards zum Schutz von Patientengesundheitsinformationen (PHI) geschaffen.

PHI wird als Hochrisikodaten betrachtet. Gesundheitsorganisationen müssen strenge Cybersecurity-Praktiken einhalten, um HIPAA zu entsprechen. Sie benötigen Verfahren zur Klassifizierung der Daten, die Sie sammeln, verwenden, speichern oder übertragen.

Sie können hier mehr darüber erfahren, wie Sie Ihre HIPAA-Compliance optimieren.

PCI DSS

Der Payment Card Industry Data Security Standard (PCI DSS) verlangt von Unternehmen, die mit Kreditkartendaten umgehen, dass sie die Informationen der Karteninhaber schützen.

Anders als staatliche Rahmenwerke wird die PCI DSS-Compliance von privaten Zahlungsunternehmen (MasterCard, Visa usw.) durchgesetzt.

Erfahren Sie, wie Sie Ihre PCI DSS-Compliance beschleunigen können – mit Secureframe.

DSGVO

Die Datenschutz-Grundverordnung (DSGVO) schützt die Daten der Bürger der Europäischen Union.

Unter der DSGVO muss jede Organisation, die persönliche Daten eines EU-Bürgers verarbeitet, über ein Datenklassifizierungssystem verfügen. Organisationen benötigen auch ein System zur Kennzeichnung von Daten als öffentlich, proprietär oder vertraulich.

Sie können eine DSGVO-Compliance sicher erreichen und aufrechterhalten – erfahren Sie hier wie mit Secureframe.

Wie Secureframe helfen kann, die Datenklassifizierung zu vereinfachen

Secureframe kann Ihnen dabei helfen, schnell eine Datenklassifizierungsrichtlinie zu erstellen, die den Sicherheits- und Compliance-Anforderungen Ihrer Organisation entspricht und diese aktuell zu halten. Mithilfe der Secureframe-Plattform können Sie:

• Beginnen Sie mit einer Datenklassifizierungsrichtlinie, die von ehemaligen Prüfern genehmigt wurde, oder bringen Sie Ihre bestehende Richtlinie in die Plattform ein
• Definieren Sie Datenklassifizierungsstufen innerhalb dieser Richtlinie
• Passen Sie diese Richtlinie einfach mit dem umfassenden Richtlinieneditor von Secureframe an, der KI-gestützte Textüberarbeitungen enthält
• Verteilen Sie diese Richtlinie nach der endgültigen Version an die Mitarbeiter und verfolgen Sie die Akzeptanz
• Verwenden Sie die Implementierung und Akzeptanz der Mitarbeiterpolitik als Nachweis für die Einhaltung der Unternehmensvorschriften und Rahmenanforderungen
• Weisen Sie einen Richtlinieninhaber zu und verwenden Sie die Versionskontrolle, um Änderungen einfach nachzuverfolgen und die Sichtbarkeit zu verbessern

Um mehr darüber zu erfahren, wie Secureframe die Verwaltung der Datenklassifizierungsrichtlinie und andere Aspekte der Compliance vereinfachen kann, fordern Sie eine Demo an.