Klassifizierungssystem der ETH Zürich

Die Klassifizierung der Vertraulichkeit von Daten erm?glicht es den klassifizierenden Stellen für andere zu signalisieren, welchen Schutzbedarf ihre Daten ben?tigen bzw. welche Schutzmassnahmen zu ergreifen sind.

Manche Daten in Forschung, Lehre oder Administration der ETH sind vertraulich und weisen deshalb einen hohen Schutzbedarf auf, um entweder die Sicherheit von Personen, Forschungsergebnissen oder Prozessen zu gew?hrleisten.

Vier Klassifizierungs-Stufen

Die Informationseigner:innen sind verantwortlich für die Klassifizierung aller Informa?tionen, die durch sie oder in ihrem Auftrag erhoben und bearbeitet werden. Das k?nnen Professor:innen, Stabs- oder Abteilungsleitende sein.

Die Klassifikation erfolgt in erster Linie risikobasiert, was auch die vier Klassifizie?rungs?stufen verdeutlichen. Die Stufe der Vertraulichkeit leitet sich also von dem Risiko her, das für die ETH eintritt, sollte die entsprechende Information in die H?nde von Unberechtigten gelangen. Das Risiko gibt damit den Rahmen für die Schutzmassnahmen vor, die notwendig sind, um die Vertraulichkeit zu gew?hrleisten.

Als ??ffentlich? gelten Informationen, die von der zust?ndigen Stelle zur Ver?ffentlichung freigegeben werden.  

Als ?intern? gelten Informationen, deren Kenntnisnahme durch Unberechtigte die Interessen der ETH Zürich beeintr?chtigen kann.

Demzufolge sind diese Informationen in der Regel nur für Angeh?rige der ETH Zürich bestimmt.

Alle Informationen in der ETH, falls nicht anders gekennzeichnet, gelten als ?intern?.

Als ?vertraulich? gelten Informationen, deren Kenntnisnahme durch Unberechtigte die Interessen der ETH Zürich erheblich beeintr?chtigen kann.

Diese Daten sollten nur einem bestimmten Personenkreis, einer Funktion oder Rolle zug?nglich sein. Dazu geh?ren zum Beispiel Leistungsbeurteilungen jedweder Art, Personaldossiers, Finanz- oder Risikoberichte, besonders schützenswerte Personen?daten oder Forschungsdaten vor ihrer Ver?ffentlichung. Diese Art von Daten muss unter Verschluss gehalten bzw. elektronisch entsprechend gesichert werden.

VERTRAULICHE Daten müssen eindeutig so gekennzeichnet sein (in Grossbuchstaben).

Als ?streng vertraulich? gelten Informationen, deren Kenntnisnahme durch Unberechtigte die Interessen der ETH Zürich schwerwiegend beeintr?chtigen kann.

Sie dürfen nicht in externe Cloud-Dienste, sind nur für einen namentlich genannten Personenkreis zug?nglich (Genehmigung für Weitergabe nur durch Informations?eigner:innen) und k?nnen nur unter den h?chsten Sicherheitsvorkehrungen weiter?gegeben werden, z.B. unter Geheimhaltungsvereinbarungen, Dokumentation der Zugriffsberechtigungen für elektronische Dokumente, Empfangsbest?tigungen und Speicherung nur auf verschlüsselten Datentr?gern.

STRENG VERTRAULICHE Daten müssen eindeutig so gekennzeichnet sein (in Grossbuchstaben).

MS-Office Vorlagen mit Klassifizierungsvermerk

Es stehen offizielle ETH-Templates für g?ngige Microsoft Office Dokumente (z.B. Berichte, Briefe, Traktandenliste, Pr?sentationen) mit entsprechenden Klassifizierungs?vermerken zur Kennzeichnung der Vertraulichkeit zur Verfügung. Diese k?nnen im Template-Angebot der Hochschulkommunikation heruntergeladen werden.

Auf den Windows-PCs der Zentralen Organe sind die Word-Vorlagen automatisch verfügbar unter ?Datei? → ?Neu? → ?Pers?nlich?. Angeh?rige der dezentralen Einheiten k?nnen sich für die Einrichtung an ihre IT-Service-Gruppe (ISG) wenden.

Weisung

Die Klassifizierung ist in der Weisung ??Informationssicherheit an der ETH Zürich? festgelegt.

In den Anh?ngen 1a und 1c der Weisung sind Beispiele aufgelis?tet, wie welcher Typ von Daten klas?sifiziert werden sollte, sowie Vorgaben zum Schutz entspre?chend gekennzeichneter Daten.

Der Umgang mit klassifi?zierten Informationen, und damit die anzuwendenden notwendigen Schutzmass?nahmen, werden in Anhang 2 detailliert dargestellt.

JavaScript wurde auf Ihrem Browser deaktiviert