Klassifizierungssystem der ETH Zürich
Die Klassifizierung der Vertraulichkeit von Daten ermöglicht es den klassifizierenden Stellen für andere zu signalisieren, welchen Schutzbedarf ihre Daten benötigen bzw. welche Schutzmassnahmen zu ergreifen sind.
Manche Daten in Forschung, Lehre oder Administration der ETH sind vertraulich und weisen deshalb einen hohen Schutzbedarf auf, um entweder die Sicherheit von Personen, Forschungsergebnissen oder Prozessen zu gewährleisten.
Unterscheidung zwischen Personen- und Sachdaten
An der ETH Zürich unterscheiden wir im Wesentlichen zwei Arten von Daten:
- Personendaten: Im externe Seite schweizerischen Datenschutzgesetz sind Personendaten alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (vgl. Artikel 5, Beispiele sind Name und Vorname; Telefonnummer; Geburtsdatum; Gesundheitsdaten, sofern diese mit einer Person in Verbindung gebracht werden können).
- Sachdaten: Als Sachdaten gelten alle anderen Daten (Beispiele sind: Messreihen zum Wetter, wie Temperatur, Druck, Regenmenge; Office Dateien, Forschungsdaten, etc., solange kein Bezug zu einer bestimmten oder bestimmbaren Person hergestellt werden kann).
Vier Klassifizierungs-Stufen
Die Informationseigner:innen sind verantwortlich für die Klassifizierung aller Informationen, die durch sie oder in ihrem Auftrag erhoben und bearbeitet werden. Das können Professor:innen, Stabs- oder Abteilungsleitende sein.
Die Klassifikation erfolgt in erster Linie risikobasiert, was auch die vier Klassifizierungsstufen verdeutlichen. Die Stufe der Vertraulichkeit leitet sich also von dem Risiko her, das für die ETH eintritt, sollte die entsprechende Information in die Hände von Unberechtigten gelangen. Das Risiko gibt damit den Rahmen für die Schutzmassnahmen vor, die notwendig sind, um die Vertraulichkeit zu gewährleisten.
Als «intern» gelten Informationen, deren Kenntnisnahme durch Unberechtigte die Interessen der ETH Zürich beeinträchtigen kann.
Demzufolge sind diese Informationen in der Regel nur für Angehörige der ETH Zürich bestimmt.
Alle Informationen in der ETH, falls nicht anders gekennzeichnet, gelten als «intern».
Als «vertraulich» gelten Informationen, deren Kenntnisnahme durch Unberechtigte die Interessen der ETH Zürich erheblich beeinträchtigen kann.
Diese Daten sollten nur einem bestimmten Personenkreis, einer Funktion oder Rolle zugänglich sein. Dazu gehören zum Beispiel Leistungsbeurteilungen jedweder Art, Personaldossiers, Finanz- oder Risikoberichte, besonders schützenswerte Personendaten oder Forschungsdaten vor ihrer Veröffentlichung. Diese Art von Daten muss unter Verschluss gehalten bzw. elektronisch entsprechend gesichert werden.
VERTRAULICHE Daten müssen eindeutig so gekennzeichnet sein (in Grossbuchstaben).
Als «streng vertraulich» gelten Informationen, deren Kenntnisnahme durch Unberechtigte die Interessen der ETH Zürich schwerwiegend beeinträchtigen kann.
Sie dürfen nicht in externe Cloud-Dienste, sind nur für einen namentlich genannten Personenkreis zugänglich (Genehmigung für Weitergabe nur durch Informationseigner:innen) und können nur unter den höchsten Sicherheitsvorkehrungen weitergegeben werden, z.B. unter Geheimhaltungsvereinbarungen, Dokumentation der Zugriffsberechtigungen für elektronische Dokumente, Empfangsbestätigungen und Speicherung nur auf verschlüsselten Datenträgern.
STRENG VERTRAULICHE Daten müssen eindeutig so gekennzeichnet sein (in Grossbuchstaben).
MS-Office Vorlagen mit Klassifizierungsvermerk
Es stehen offizielle ETH-Templates für gängige Microsoft Office Dokumente (z.B. Berichte, Briefe, Traktandenliste, Präsentationen) mit entsprechenden Klassifizierungsvermerken zur Kennzeichnung der Vertraulichkeit zur Verfügung. Diese können im Template-Angebot der Hochschulkommunikation heruntergeladen werden.
Auf den Windows-PCs der Zentralen Organe sind die Word-Vorlagen automatisch verfügbar unter «Datei» → «Neu» → «Persönlich». Angehörige der dezentralen Einheiten können sich für die Einrichtung an ihre IT-Service-Gruppe (ISG) wenden.
Weisung
Die Klassifizierung ist in der Weisung «Informationssicherheit an der ETH Zürich» festgelegt.
In den Anhängen 1a und 1c der Weisung sind Beispiele aufgelistet, wie welcher Typ von Daten klassifiziert werden sollte, sowie Vorgaben zum Schutz entsprechend gekennzeichneter Daten.
Der Umgang mit klassifizierten Informationen, und damit die anzuwendenden notwendigen Schutzmassnahmen, werden in Anhang 2 detailliert dargestellt.
Intern-aktuell-Artikel zum Thema Klassifizierung
- Neu verfügbar: ETH-Office-Vorlagen mit Klassifizierungsvermerk (8.02.2022)
- Vertrauliche Daten schützen: Das neue Klassifikationssystem der ETH Zürich (12.11.2021)
- Sichere Nutzung der Cloud: Wann dürfen vertrauliche Daten in externe Cloud-Dienste? (20.10.2021)
- Cloud-Nutzung und Klassifizierung von Informationen: Das wird neu (19.08.2021)