Wymagania ochronne. Następujące wymagania ochronne MUSZĄ być spełnione: • Sprawdzenie czy pracownik, zakontraktowany partner biznesowy lub osoba działająca w imieniu strony trzeciej potrzebuje dostępu do tych informacji. Należy stosować zasadę "Need-to-know" i unikać wyjątków. • Należy podjąć organizacyjne środki ochronne, aby zapewnić, że dostęp do odpowiednich danych mają tylko osoby należące do wyraźnie upoważnionych grup: • W przypadku partnerów biznesowych i osób działających w imieniu strony trzeciej: wymagana jest formalna umowa dotycząca poufności, jeżeli dostęp nie może być udzielony na mocy prawa lub na podstawie opinii prawnej • Dla partnerów biznesowych niebędących stronami umowy: Pisemne pouczenie o obowiązku zachowania poufności przekazanych informacji • Środki techniczne: stosowanie ogólnie przyjętych środków podstawowych (np. zdefiniowano co najmniej prawa dostępu, wprowadzono system kontroli dostępu i monitoring systemu). Najbardziej restrykcyjną klasą jest C4. Jest ona zarezerwowana dla informacji wymagających najściślejszej ochrony. Informacje oznaczone klauzulą C4 obejmują bardzo wrażliwe informacje umożliwiające identyfikację osób. WYMAGANE jest udzielanie dostępu tylko osobom wskazanym przez właściciela informacji i wyraźnie wyznaczonym do tego celu, które podpisały umowę o zachowaniu poufności. Wymaga się, aby osoby te miały ważny powód oraz jasną i zrozumiałą potrzebę dostępu do informacji.
Wymagania ochronne. Brak wymagań ochronnych. Informacji oznaczonych klauzulą C2 NIE WOLNO udostępniać publicznie. Dostęp może być przyznany dla celów biznesowych wszystkim lub szerszej grupie pracowników, partnerów biznesowych i osób trzecich. Zasada "need-to-know" MUSI być przestrzegana, tzn. MUSI być zapewnione, że dana osoba ma dostęp tylko do informacji potrzebnych do wykonania przydzielonych zadań. W przypadku informacji umożliwiających identyfikację osoby, dostęp do nich MUSI być ograniczony przynajmniej do ET&S i zakontraktowanego partnera biznesowego (osoby prawnej), chyba że przepisy o ochronie danych osobowych zezwalają na przekazanie tych informacji umożliwiających identyfikację osoby innym spółkom grupy Munich Re, ich partnerom biznesowym lub osobom trzecim.
Wymagania ochronne. Następujące wymagania ochronne MUSZĄ być spełnione: • Ścisłe sprawdzenie czy otrzymanie danej informacji jest niezbędne dla danej osoby; zasada "need- to-know" MUSI być stosowana bez wyjątku. • Należy podjąć organizacyjne i techniczne środki ochronne w celu zapewnienia, że odpowiednie dane są dostępne tylko dla osób upoważnionych: o Pisemne zobowiązanie do zachowania absolutnej poufności, do przestrzegania odpowiednich dyrektyw i do stosowania dostępnych środków bezpieczeństwa o Odbiorca ma zostać poinformowany, we właściwy sposób, o ściśle poufnym charakterze informacji oraz o obowiązkach, jakie na nim ciążą w związku z nimi o okresowe przeglądy uprawnień: właściciel informacji musi sprawdzać w rozsądnych odstępach czasu, czy przyznane prawa dostępu są nadal odpowiednie lub konieczne, czy też należy je wycofać • Środki techniczne: stosowanie ogólnie przyjętych środków podstawowych (np. zdefiniowano co najmniej prawa dostępu, wprowadzono system kontroli dostępu i monitoring systemu).