M 2.42 Festlegung der möglichen Kommunikationspartner
Verantwortlich für Initiierung: Leiter Organisation, Leiter IT, IT-Sicherheitsmanagement, Datenschutzbeauftragter
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Sollen Informationen an einen Kommunikationspartner übertragen werden, so muss sichergestellt werden, dass der Empfänger die notwendigen Berechtigungen zum Weiterverarbeiten dieser Informationen besitzt. Werden Informationen zwischen mehreren kommunizierenden Stellen ausgetauscht, so soll für alle Beteiligten ersichtlich sein, wer diese Informationen ebenfalls erhalten hat bzw. erhalten wird. Um die oben genannten Kriterien zu erfüllen, muss festgelegt werden, welche Kommunikationspartner welche Informationen erhalten dürfen. Hierfür ist es erforderlich, dass alle Informationen entsprechend ihrer strategischen Bedeutung für die Organisation klassifiziert sind (siehe M 2.217 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen).
Auch aus Datenschutzgründen (siehe z. B. BDSG, Übermittlungskontrolle) sollte eine Übersicht erstellt werden, welche Empfänger berechtigt sind, Informationen, insbesondere personenbezogene Daten, per Datenträgeraustausch erhalten können.
Ergänzende Kontrollfragen:
- Existiert eine Festlegung für etwaige Kommunikationsbeziehungen?
- Werden die genannten Übersichten regelmäßig aktualisiert?