1. Richtlinie erstellen

Die Richtlinie zur Informationsklassifizierung bildet die Basis für Informationsschutz und alle nachfolgenden Schritte. Hier werden die Vertraulichkeitsklassen definiert und festgelegt, wie mit Informationen nach der Zuordnung zu einer bestimmten Vertraulichkeitsklasse umzugehen ist.

Wir unterstützen Sie bei Bedarf mit unseren praxiserprobten IS-FOX Policy Templates. Diese Vorlagen sind von ISO 27001 Auditoren erstellt, juristisch geprüft und können ohne großen Aufwand auf die jeweiligen Unternehmensbedürfnisse angepasst werden.

2. Assets identifizieren

Die Identifikation der Kronjuwelen kann grundsätzlich über zwei verschiedene Wege erfolgen:

  • Top-Down Ansatz: Risikomanagement
    Gemäß dem klassischen Risikomanagementansatz werden die einzelnen Geschäftsprozesse analysiert, die "primary" und "supporting assets" identifiziert und deren Vertraulichkeit, Integrität und Verfügbarkeit durch den Prozessverantwortlichen festgelegt.

    Vorteil des Top-Down Ansatzes ist die umfassende Erhebung aller Assets an Hand der Geschäftsprozesse. Eine Schwäche liegt jedoch in der Komplexität dieses Ansatzes und in der oftmals zu hohen, weil theoretischen Einstufung der Assets.
  • Bottom-Up Ansatz: Workshops
    Unsere erfahrenen Information Security Consultants moderieren Workshops mit ausgewählten Führungskräften je Unternehmensbereich. Dort werden die sensiblen Informationen des jeweiligen Geschäftsbereichs ermittelt.

    Diese Workshops erzielen mehrfach einen hohen Nutzen: Die Führungskräfte entwickeln fundiertes Verständnis für Informationsklassifizierung und fungieren anschließend als positive Multiplikatoren. Zudem wird die Policy auf Alltagstauglichkeit geprüft, wodurch mögliche Eskalationen bereits im Vorfeld vermieden werden. Die Ergebnisse aus den Workshops können als Anhang in der Policy aufgenommen werden und dienen als konkrete Beispiele in Awareness-Maßnahmen zur Informationsklassifizierung.

3. Technisch unterstützen

Die Erfahrung aus vielen Jahren Informationsschutz zeigt: ohne technische Unterstützung ist es in den wenigsten Fällen gelungen, Informationsklassifizierung im Arbeitsalltag zu verankern. Anfänglich werden Informationen klassifiziert und es wird auf die korrekte Handhabung geachtet, aber innerhalb weniger Wochen verfallen Mitarbeiter in alte Gewohnheiten.

Hier hilft IS-FOX Classification, ein Plug‐In für die vier Hauptanwendungen von Microsoft Office: Word, Excel, PowerPoint und Outlook. Mit diesen Programmen wird ein Großteil der Informationen eines Unternehmens verarbeitet.

IS-FOX Classification für Microsoft Office führt Ihre Mitarbeiter durch den Klassifizierungsprozess. Neu erstellte Inhalte werden durch den Ersteller in die entsprechende Vertraulichkeitsklasse eingestuft. Je nach Klasse werden die Dokumente gekennzeichnet. Optional lässt sich dann beispielsweise die weitere Verarbeitung der klassifizierten Dokumente einschränken.

Mehr erfahren →

4. Im Alltag verankern

"A fool with a tool is still a fool". Deshalb sollte Informationsklassifizierung unbedingt mit klassischen Security Awareness Maßnahmen (Präsenztrainings, E-Learning, Newsletter, etc.) an alle Mitarbeiter kommuniziert werden.

Die Schulungsmaßnahmen schaffen Verständnis. IS-FOX Classification sorgt im Arbeitsalltag für "sanften Druck", dieses Verständnis auch umzusetzen. So bringen Sie Informationsklassifizierung ohne Widerstände in Ihr Unternehmen.