Informationsschutz (Information Protection / Data Protection Controls)

Informationsschutz umfasst alle Maßnahmen, durch die schutzwürdige Informationen gegen unbefugten Zugriff, Verlust, Manipulation oder Offenbarung gesichert werden, und geht über den technischen IT-Schutz hinaus, indem er organisatorische, physische und personelle Schutzmaßnahmen einschließt. Das BSI IT-Grundschutz-Kompendium strukturiert den Informationsschutz nach Schutzbedarfskategorien (normal, hoch, sehr hoch) und leitet daraus passende Maßnahmen ab. In IT-Vergaben sollten Auftraggeber den für das Vorhaben geltenden Informationsschutzgrad definieren, entsprechende Sicherheitsanforderungen ableiten und vom Auftragnehmer den Nachweis verlangen, dass Informationen nur mit den erforderlichen Schutzmaßnahmen verarbeitet werden.