Die Kennzeichnung von Informationen unterstützt die korrekte Anwendung der Informationsklassifizierung im Arbeitsalltag. Sie schafft Transparenz über den Schutzbedarf von Informationen und hilft Mitarbeitenden sowie externen Parteien, Informationen angemessen zu behandeln. Ohne eine klare und konsistente Kennzeichnung besteht die Gefahr, dass Informationen falsch genutzt, unzureichend geschützt oder unbefugt weitergegeben werden. Dieses Control stellt sicher, dass klassifizierte Informationen eindeutig und nachvollziehbar gekennzeichnet sind.
Zweck des Controls
A 5.13 soll gewährleisten, dass Informationen entsprechend ihrer Klassifizierung eindeutig gekennzeichnet werden. Ziel ist es, den Schutzbedarf von Informationen für alle Beteiligten klar erkennbar zu machen und die korrekte Anwendung von Schutzmaßnahmen zu unterstützen. Die Kennzeichnung dient als praktische Umsetzungshilfe der Informationsklassifizierung und reduziert das Risiko von Fehlverhalten oder Missverständnissen.
Anforderungen und Maßnahmen
1. Festlegung von Kennzeichnungsregeln
Organisationen müssen verbindliche Regeln für die Kennzeichnung von Informationen definieren, unter anderem:
welche Klassifizierungsstufen zu kennzeichnen sind
welche Kennzeichnungsformen zu verwenden sind
für welche Informationstypen eine Kennzeichnung erforderlich ist
in welchen Fällen Ausnahmen zulässig sind
Die Regeln müssen dokumentiert, verständlich und organisationsweit einheitlich sein.
2. Konsistenz zwischen Klassifizierung und Kennzeichnung
Die Kennzeichnung muss direkt aus der Informationsklassifizierung abgeleitet werden:
eindeutige Zuordnung der Kennzeichnung zur Klassifizierungsstufe
Vermeidung widersprüchlicher oder uneinheitlicher Kennzeichnungen
Sicherstellung, dass Änderungen der Klassifizierung auch die Kennzeichnung betreffen
So bleibt die Kennzeichnung jederzeit korrekt und aktuell.
Die Kennzeichnung muss für unterschiedliche Informationsformen geeignet sein, zum Beispiel:
physische Dokumente (z. B. Akten, Ausdrucke)
elektronische Dokumente und Dateien
E-Mails und elektronische Kommunikation
Datenbanken und Anwendungen
Datenträger und Speichermedien
Die Organisation muss praktikable Lösungen für alle relevanten Formen festlegen.
4. Berücksichtigung technischer Möglichkeiten
Die Kennzeichnung sollte durch technische Mittel unterstützt werden, soweit möglich:
automatische Kennzeichnung in Dokumentenmanagementsystemen
Nutzung von Metadaten oder Wasserzeichen
Vorlagen mit vordefinierten Kennzeichnungen
Integration in E-Mail- und Kollaborationssysteme
Technische Unterstützung erhöht die Konsistenz und reduziert Fehler.
5. Umgang mit nicht kennzeichnungsfähigen Informationen
Nicht alle Informationen lassen sich eindeutig kennzeichnen. Für solche Fälle müssen Regelungen bestehen, z. B.:
Informationen in Systemen oder Anwendungen
temporäre Informationen oder Datenströme
Informationen mit sehr kurzer Lebensdauer
In diesen Fällen müssen alternative Maßnahmen zur Sicherstellung des angemessenen Schutzes definiert werden.
6. Einbindung externer Parteien
Beim Austausch von Informationen mit externen Parteien muss die Kennzeichnung berücksichtigt werden:
Weitergabe der Kennzeichnungsregeln an Dienstleister oder Partner
vertragliche Regelungen zur Behandlung gekennzeichneter Informationen
Sicherstellung, dass externe Parteien die Kennzeichnung verstehen und beachten
Einschränkung der Weitergabe entsprechend der Kennzeichnung
Die Verantwortung für die korrekte Kennzeichnung verbleibt bei der Organisation.
7. Schulung und Sensibilisierung
Mitarbeitende müssen die Kennzeichnung verstehen und korrekt anwenden können:
Schulungen zur Bedeutung der Kennzeichnung
praktische Anleitungen für typische Anwendungsfälle
Sensibilisierung für Risiken bei falscher oder fehlender Kennzeichnung
regelmäßige Awareness-Maßnahmen
Nur so kann die Kennzeichnung im Alltag wirksam genutzt werden.
8. Überprüfung und Aktualisierung der Kennzeichnungsregeln
Die Kennzeichnungsregeln müssen regelmäßig überprüft werden:
Anpassung bei Änderungen des Klassifizierungsschemas
Berücksichtigung neuer Technologien oder Arbeitsweisen
Überprüfung im Rahmen interner Audits
Anpassung bei identifizierten Schwachstellen oder Vorfällen
So bleibt die Kennzeichnung dauerhaft wirksam und praxisnah.
Zusammenfassung
A 5.13 fordert, dass Informationen entsprechend ihrer Klassifizierung eindeutig und konsistent gekennzeichnet werden. Durch klare Kennzeichnungsregeln, technische Unterstützung, Schulung der Mitarbeitenden und regelmäßige Überprüfung wird sichergestellt, dass der Schutzbedarf von Informationen jederzeit erkennbar ist. Das Control unterstützt die praktische Umsetzung der Informationsklassifizierung und trägt wesentlich dazu bei, Fehlverhalten und Sicherheitsvorfälle zu vermeiden.
Leave a comment