Staffnet

Suche

Klassifizierungssystem der ETH Zürich

Die Klassifizierung der Vertraulichkeit von Daten ermöglicht es den klassifizierenden Stellen für andere zu signalisieren, welchen Schutzbedarf ihre Daten benötigen bzw. welche Schutzmassnahmen zu ergreifen sind.

Manche Daten in Forschung, Lehre oder Administration der ETH sind vertraulich und weisen deshalb einen hohen Schutzbedarf auf, um entweder die Sicherheit von Personen, Forschungsergebnissen oder Prozessen zu gewährleisten.

Vier Klassifizierungs-Stufen

Die Informationseigner:innen sind verantwortlich für die Klassifizierung aller Informa­tionen, die durch sie oder in ihrem Auftrag erhoben und bearbeitet werden. Das können Professor:innen, Stabs- oder Abteilungsleitende sein.

Die Klassifikation erfolgt in erster Linie risikobasiert, was auch die vier Klassifizie­rungs­stufen verdeutlichen. Die Stufe der Vertraulichkeit leitet sich also von dem Risiko her, das für die ETH eintritt, sollte die entsprechende Information in die Hände von Unberechtigten gelangen. Das Risiko gibt damit den Rahmen für die Schutzmassnahmen vor, die notwendig sind, um die Vertraulichkeit zu gewährleisten.

Als «öffentlich» gelten Informationen, die von der zuständigen Stelle zur Veröffentlichung freigegeben werden.  

Als «intern» gelten Informationen, deren Kenntnisnahme durch Unberechtigte die Interessen der ETH Zürich beeinträchtigen kann.

Demzufolge sind diese Informationen in der Regel nur für Angehörige der ETH Zürich bestimmt.

Alle Informationen in der ETH, falls nicht anders gekennzeichnet, gelten als «intern».

Als «vertraulich» gelten Informationen, deren Kenntnisnahme durch Unberechtigte die Interessen der ETH Zürich erheblich beeinträchtigen kann.

Diese Daten sollten nur einem bestimmten Personenkreis, einer Funktion oder Rolle zugänglich sein. Dazu gehören zum Beispiel Leistungsbeurteilungen jedweder Art, Personaldossiers, Finanz- oder Risikoberichte, besonders schützenswerte Personen­daten oder Forschungsdaten vor ihrer Veröffentlichung. Diese Art von Daten muss unter Verschluss gehalten bzw. elektronisch entsprechend gesichert werden.

VERTRAULICHE Daten müssen eindeutig so gekennzeichnet sein (in Grossbuchstaben).

Als «streng vertraulich» gelten Informationen, deren Kenntnisnahme durch Unberechtigte die Interessen der ETH Zürich schwerwiegend beeinträchtigen kann.

Sie dürfen nicht in externe Cloud-Dienste, sind nur für einen namentlich genannten Personenkreis zugänglich (Genehmigung für Weitergabe nur durch Informations­eigner:innen) und können nur unter den höchsten Sicherheitsvorkehrungen weiter­gegeben werden, z.B. unter Geheimhaltungsvereinbarungen, Dokumentation der Zugriffsberechtigungen für elektronische Dokumente, Empfangsbestätigungen und Speicherung nur auf verschlüsselten Datenträgern.

STRENG VERTRAULICHE Daten müssen eindeutig so gekennzeichnet sein (in Grossbuchstaben).

MS-Office Vorlagen mit Klassifizierungsvermerk

Es stehen offizielle ETH-Templates für gängige Microsoft Office Dokumente (z.B. Berichte, Briefe, Traktandenliste, Präsentationen) mit entsprechenden Klassifizierungs­vermerken zur Kennzeichnung der Vertraulichkeit zur Verfügung. Diese können im Template-Angebot der Hochschulkommunikation heruntergeladen werden.

Auf den Windows-PCs der Zentralen Organe sind die Word-Vorlagen automatisch verfügbar unter «Datei» → «Neu» → «Persönlich». Angehörige der dezentralen Einheiten können sich für die Einrichtung an ihre IT-Service-Gruppe (ISG) wenden.

Weisung

Die Klassifizierung ist in der Weisung «­Informationssicherheit an der ETH Zürich» festgelegt.

In den Anhängen 1a und 1c der Weisung sind Beispiele aufgelis­tet, wie welcher Typ von Daten klas­sifiziert werden sollte, sowie Vorgaben zum Schutz entspre­chend gekennzeichneter Daten.

Der Umgang mit klassifi­zierten Informationen, und damit die anzuwendenden notwendigen Schutzmass­nahmen, werden in Anhang 2 detailliert dargestellt.

Intern-aktuell-Artikel zum Thema Klassifizierung

JavaScript wurde auf Ihrem Browser deaktiviert