Einhaltung der NDMO-Standards des Königreichs Saudi-Arabien

DEMO ANFORDERN DEMO ANSEHEN

Was sind die NDMO-Standards?

Als Teil der Initiative Vision 2030 hat das Königreich Saudi-Arabien (KSA) die Nationalen Standards für Datenmanagement und den Schutz personenbezogener Daten verabschiedet. Dieser Rahmen dient der Sicherung sensibler Regierungsinformationen, der Gewährleistung des öffentlichen Vertrauens und der Regelung des Datenmanagements in allen öffentlichen Einrichtungen.

Die vom Nationalen Datenmanagementbüro (NDMO), der nationalen Regulierungsbehörde des Königreichs, entwickelten Standards dienen dem Schutz personenbezogener und staatlicher Daten, die wie folgt definiert sind:

  • Personenbezogene Daten | Jedes Datenelement, allein oder in Verbindung mit anderen verfügbaren Daten, das die Identifizierung eines saudischen Staatsbürgers ermöglicht.
  • Regierungsdaten | Rohdaten oder verarbeitete Daten, die von öffentlichen Stellen empfangen, erzeugt oder gespeichert werden, unabhängig von Quelle, Form oder Art. 

Für wen gelten die NDMO-Standards?

Die NDMO-Standards gelten für alle öffentlichen Einrichtungen im Königreich Saudi-Arabien sowie für alle „Geschäftspartner, die Regierungsdaten verarbeiten“. Diese Geschäftspartner sind dafür verantwortlich, die Standards auf alle Regierungsdaten innerhalb ihres Zuständigkeitsbereichs anzuwenden.

Die Standards umfassen Regierungsdaten in allen ihren Formen:

  • Papieraufzeichnungen
  • E-Mails
  • Daten in elektronischer Form gespeichert
  • Sprachaufnahmen
  • Videos
  • Karten
  • Fotos
  • Skripte
  • Handschriftliche Dokumente

Oder jede andere Form aufgezeichneter Daten. 

Die 15 Domänen

Das Dokument „Standards für Datenmanagement und Datenschutz“ definiert die Anforderungen für 15 Bereiche. Sie lassen sich wie folgt zusammenfassen:

  • Daten-Governance
    Befugnis über die Planung der Datenmanagementpraktiken der Organisation mittels Personal, Prozessen und Technologien.
  • Datenkatalog und Metadaten
    Ermöglichung eines effektiven Zugriffs auf hochwertige, integrierte Metadaten.
  • Datenqualität
    Die Qualität der Daten der Organisation so lange verbessern, bis sie den Anforderungen des Kunden entsprechen.
  • Datenoperationen
    Maximierung des Datenwerts während des gesamten Lebenszyklus durch optimierte Datenspeicherungsmaßnahmen.
  • Dokumenten- und Inhaltsmanagement
    Regelt die Erfassung, Speicherung, den Zugriff und die Nutzung von Inhalten, die außerhalb relationaler Datenbanken gespeichert sind.
  • Datenarchitektur und Modellierung
    Schaffung von Strukturen, um eine durchgängige Datenverarbeitung über (und innerhalb) von Organisationen hinweg zu gewährleisten.
  • Referenz- und Stammdatenverwaltung
    Schafft einen gemeinsamen Bezugspunkt für alle kritischen Daten, indem diese mit einer einzigen Masterdatei verknüpft werden.
  • Business Intelligence und Analytik
    Analysiert die Daten der Organisation, um Erkenntnisse zu gewinnen und Schlussfolgerungen zu ziehen.
  • Datenaustausch und Interoperabilität
    Die Sammlung von Daten aus verschiedenen Quellen und integrierte Lösungen, die eine harmonische Kommunikation zwischen verschiedenen IT-Komponenten ermöglichen.
  • Realisierung des Datenwerts
    Kontinuierliche Datenanalyse zur Identifizierung von Kosteneinsparungspotenzialen oder Umsatzsteigerungsmöglichkeiten.
  • Offene Daten
    Organisationsdaten, die, wenn sie veröffentlicht würden, das Wirtschaftswachstum fördern, Innovationen beschleunigen oder die Transparenz verbessern könnten.
  • Informationsfreiheit
    Den saudischen Bürgern soll die Möglichkeit gegeben werden, auf Regierungsinformationen zuzugreifen, zu erfahren, wie sie auf Regierungsinformationen zugreifen können und im Streitfall Berufung einzulegen.
  • Data Classification
    Daten kategorisieren, damit sie effizient genutzt und geschützt werden können. Die Data Classification werden auf Grundlage des potenziellen Schadens zugewiesen, der durch die Kompromittierung oder unsachgemäße Behandlung der betreffenden Daten entstehen kann.
  • Datenschutz
    Schutz des Rechts eines saudischen Bürgers auf die ordnungsgemäße Verarbeitung und den Schutz seiner personenbezogenen Daten.
  • Datensicherheit und Datenschutz
    Die eingesetzten Methoden (Menschen, Prozesse, Technologie) zur Sicherung der Daten einer Organisation. Diese spezielle Domain wird von der saudischen Nationalen Cybersicherheitsbehörde verwaltet. 

Leitprinzipien

Dem Dokument zufolge basieren die Standards auf den folgenden acht Leitprinzipien, welche die 15 oben beschriebenen Bereiche untermauern. Sie lassen sich wie folgt zusammenfassen:

  • Daten als nationales Gut | Regierungsdaten sollten auffindbar und geschützt sein und das Potenzial zur Monetarisierung bieten.
  • Datenschutz durch Technikgestaltung | Wir entwickeln proaktive Prozesse, die die Privatsphäre des Einzelnen und sein Recht auf Einwilligung/Ablehnung gemäß den Gesetzen Saudi-Arabiens schützen.
  • Standardmäßig offen | Stellen Sie sicher, dass die meisten Regierungsdaten standardmäßig verfügbar sind, es sei denn, eine Nichtveröffentlichung ist ausreichend begründet.
  • Ethische Datennutzung | Ethische Datenpraktiken entwickeln, die auf Fairness, Nachvollziehbarkeit und dem Beitrag zum Gemeinwohl basieren.
  • Zweckorientiertes Design | Anwendung nutzerzentrierter Prozesse für Datennutzung, -erfassung, -verarbeitung und -weitergabe.
  • Datengestützte Ergebnisse | Aufbau eines öffentlichen Sektors der nächsten Generation, in dem Entscheidungen auf datengestützten Erkenntnissen basieren.
  • Lernkultur | Sicherstellen, dass saudische Talente ausreichend gefördert werden, um den Anforderungen des Wettbewerbsmarktes und des Datenmanagements gerecht zu werden.
  • Vertrauenswürdige Daten | Schaffen Sie Vertrauen zwischen Regierung und Öffentlichkeit, indem Sie Datensicherheit gewährleisten oder transparent über den Grad der Datensicherheit informieren. 

Einhaltung und Durchsetzung

Die betroffenen Einrichtungen müssen einmal jährlich eine Compliance-Prüfung durchführen und die Ergebnisse im dritten Quartal an die NDMO zurücksenden. Anschließend wird das NDMO die Ergebnisse zusammenfassen und den Interessengruppen auf Unternehmens-, Sektor- und Regierungsebene veröffentlichen.

Auf jeder Spezifikationsebene wird ein binärer Wert von 100 % oder 0 % vergeben – entweder bestanden oder nicht bestanden. Den Compliance-Audit leitet der Chief Data Officer; gegebenenfalls werden im Bericht Belege zur Untermauerung der Bewertungen angeführt.

Auf Grundlage der Ergebnisse der Prüfungen behält sich die NDMO das Recht vor, bei Bedarf zusätzliche Ad-hoc-Prüfungen bei ausgewählten Einrichtungen durchzuführen.

Säulen des Datenlebenszyklus

Die Standards sind so konzipiert, dass Daten während ihres gesamten Lebenszyklus geschützt werden. Dieser Lebenszyklus ist in fünf Hauptphasen unterteilt. 

 

Data Lifecycle Pillars

Quelle: NDMO-Dokument „Standards für Datenmanagement und Datenschutz personenbezogener Daten“ .

 

Daten-Governance

Die übergeordneten Regeln, die die nachfolgenden Datenmanagementprozesse, Richtlinien und Verfahren bestimmen werden.

Datenbestände

Der Prozess der Bewertung von Daten anhand von Merkmalen wie Funktion und Qualität. 

Datennutzung

Wie die Daten innerhalb der Organisation, in diesem Fall der Regierung, genutzt werden. 

Data Classification und Verfügbarkeit

Die Daten werden der saudischen Bevölkerung zur Verfügung gestellt und danach sortiert, wie wichtig ihre Sicherheit für die nationale Sicherheit Saudi-Arabiens, die Stabilität der Regierung und andere Faktoren ist.

Datenschutz

Die Verpflichtung zum Schutz saudischer persönlicher und staatlicher Informationen und die Mittel, mit denen dies geschehen soll.

Die Notwendigkeit der NDMO Data Classification

Data Classification ist von besonderer Bedeutung für das übergeordnete Ziel, Prozesse aufrechtzuerhalten, in denen sensible öffentliche Daten gesichert werden können.

Klassifizierungsanforderungen

Sicherheitsstandards müssen sich danach richten, wie wichtig die Informationen sind, oder anders ausgedrückt, wie groß der Schaden wäre, der entstünde, wenn diese Daten kompromittiert würden. Dies wird durch Data Classification ermittelt und erreicht.

Wie in den Standards festgelegt, „beinhaltet Data Classification die Kategorisierung von Daten, damit diese effizient genutzt und geschützt werden können.“ Data Classification werden nach einer Folgenabschätzung festgelegt, die den potenziellen Schaden durch unsachgemäße Datenbehandlung oder unbefugten Datenzugriff ermittelt.“

Sie beschreiben ferner detailliert, wie jede Entität im Rahmen der Data Classification eine Liste aller identifizierten Vermögenswerte registrieren muss. Dieses Register muss Folgendes enthalten:

  • Eine Liste der identifizierten Vermögenswerte.
  • Den einzelnen Assets zugewiesene Klassifizierungsstufen.
  • Die Daten, an denen diese Klassifizierungsstufen zugeordnet wurden.
  • Die Dauer, für die diese Klassifizierungen Gültigkeit haben.
  • Die im Rahmen der Überprüfung genehmigten Klassifizierungsstufen wurden bestätigt.
  • Die Termine der Überprüfung der Klassifizierungsstufen. 

Data Classification

Um die oben genannten Data Classification umzusetzen, muss ein strukturierter Data Classification vorhanden sein. Praktiker müssen:

  1. Identifizieren Sie alle Daten der Entitäten.
  2. Weisen Sie die für die Data Classification verantwortlichen Parteien zu.
  3. Führen Sie die Folgenabschätzung durch.
    1. Identifizieren Sie die betroffene Kategorie (nationales Interesse, Organisationen, Einzelpersonen, Umwelt usw.).
    2. Ermitteln Sie den Grad der Auswirkung (hoch, mittel, niedrig oder keine).
  4. Die Einhaltung bestehender Vorschriften sollte nur dann in Betracht gezogen werden, wenn die Auswirkungen „gering“ sind.
  5. Bewerten Sie den Nutzen der Offenlegung gegenüber den potenziellen negativen Auswirkungen (nur wenn die Offenlegung der Daten keine Compliance-Folgen nach sich zieht).
  6. Überprüfen Sie die Klassifizierungsstufe ein letztes Mal auf Vollständigkeit und Richtigkeit.
  7. Wenden Sie die entsprechenden Kontrollmaßnahmen an.

Dieser Prozess ist wichtig, weil Sicherheit mit Ressourcen und einer benutzerfreundlichen Umgebung in Einklang gebracht werden muss. Die Festlegung, welche Daten die strengsten (und oft ressourcenintensiven und zeitaufwändigen) Kontrollen erfordern, ermöglicht es, dort die größtmögliche Sicherheitskraft einzusetzen und andere Datenarten vor unnötig strengen Richtlinien zu bewahren.

Fortra 's Data Classification

Die Data Classification Suite (DCS) von Fortra unterstützt Teams im öffentlichen und privaten Sektor bei der Erreichung ihrer Compliance-Ziele.

Ausgestattet mit einer leistungsstarken kontextbasierten Klassifizierung kombiniert Fortra DCS Folgendes:

  • Mustererkennung
  • Kategorisierung durch maschinelles Lernen
  • Automatisierte PII-Erkennung

Für einen Schutz, der über die reine Kennzeichnung hinausgeht, können Organisationen Data ClassificationvonFortra nutzen, um ihre Mitarbeiter und Richtlinien darüber zu informieren, welche Daten geschützt werden müssen und wie dies zu erreichen ist. Um dies zu ermöglichen, werden Metadatenattribute in E-Mails, Dateien und Dokumente in jeder Phase des Inhaltslebenszyklus eingebettet, wobei visuelle Hinweise automatisch angewendet werden, um Compliance-sensible Inhalte zu kennzeichnen.

Zu den wichtigsten Vorteilen gehören:

  1. Schutz für erweiterte Dateitypen, einschließlich JPGs, PDFs und mehr.
  2. Integration mit den Tools, die Ihr Team täglich verwendet, egal ob in Windows- oder Mac-Umgebungen.
  3. Die Möglichkeit, eine breite Palette von Dateifreigaben lokal oder in der Cloud zu sichern.
  4. Ein flexibles Richtlinienmodul, das individuelle Bedingungen für jede Organisation unterstützt.
  5. Dateien, die mit von DCS angewendeten Metadaten angereichert sind, um nachgelagerte Dienste wie CASB und DLP besser zu informieren.

Und mehr, darunter einzigartige Alleinstellungsmerkmale, die Fortra DCS von der Konkurrenz abheben . Dazu gehören:

  • Besondere HIPAA-Konformitätsbestimmungen | Abrechnungsdaten dürfen nicht an andere Abteilungen wie Pflege, IT oder Betrieb weitergegeben werden.
  • Einzigartiger Bankenschutz | Um Verstöße gegen die SEC-Vorschriften zu verhindern, ist es Banken untersagt, Daten mit Brokern innerhalb derselben Organisation zu teilen.
  • Strenge DSGVO-Sicherheit für personenbezogene Daten | Daten, die ihren Ursprung in der EU haben, werden durch unsere DLP-Lösung daran gehindert, in eingeschränkte geografische Gebiete zu gelangen.
  • Keine Haftung für Aufbewahrungsberichte | Manchmal werden Aufbewahrungsberichte erstellt, um Daten zu bereinigen, was zwangsläufig kostenpflichtigen Speicherplatz in Anspruch nimmt und das Unternehmen einem Risiko aussetzt. Unsere DCS-Lösung hilft, dieses Problem zu vermeiden.

Data Classification ist nur eine von vielen Möglichkeiten, mit denen die nationalen Datenmanagement- und Datenschutzstandards der saudischen NDMO sicherstellen, dass öffentliche Daten auch in Zukunft angemessen geschützt sind. Doch angesichts seiner entscheidenden Rolle im weiteren Kontext des Datenschutzes zählt es zu den wichtigsten.

Erfahren Sie mehr über die NDMO-Standards und entdecken Sie weitere Datenschutzlösungen von Fortra.

Verwandte Ressourcen