{
  "class": "BSI-Stand-der-Technik-Kernel",
  "id": "ASST.4.3",
  "params": [
    {
      "id": "asst.4.3-prm1",
      "label": "eine zuständige Person oder Rolle",
      "props": [
        {
          "name": "alt-identifier",
          "value": "fa86f5b3-1e36-40bd-a61e-c58e7eba11c0"
        }
      ]
    }
  ],
  "parts": [
    {
      "id": "ASST.4.3_stm",
      "name": "statement",
      "props": [
        {
          "name": "documentation",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
          "value": "Arbeitsanweisung"
        },
        {
          "name": "result",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
          "value": "Veröffentlichungen"
        },
        {
          "name": "result_specification",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
          "value": "durch {{eine zuständige Person oder Rolle}}"
        },
        {
          "name": "action_word",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
          "value": "autorisieren"
        },
        {
          "name": "modal_verb",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
          "value": "SOLLTE"
        }
      ],
      "prose": "Informationen und Assets SOLLTE Veröffentlichungen durch {{ insert: param, asst.4.3-prm1 }} autorisieren."
    },
    {
      "id": "ASST.4.3_gdn",
      "name": "guidance",
      "prose": "„Veröffentlichungen“ bezieht sich hier auf jede Form der öffentlichen oder externen Verbreitung von Informationen, sei es durch Pressemitteilungen, Social-Media-Beiträge, wissenschaftliche Publikationen, öffentliche Datensätze oder zur Erfüllung gesetzlicher Informationspflichten. Hierbei besteht das Risiko, dass vertrauliche Informationen unbeabsichtigt veröffentlicht werden. Kriterien zur Veröffentlichung können z.B. das Entfernen von Geschäftsgeheimnissen oder die Freigabe durch bestimmte Stellen innerhalb oder außerhalb der Institution sein. Der Hauptzweck dieser Anforderung ist die Schaffung einer Gatekeeping-Funktion, um den Informationsfluss zu steuern, der die Institution verlässt, und so das Risiko unbefugter oder schädlicher Offenlegungen zu mindern. Ohne diese Kontrolle könnte eine Institution versehentlich sensible Geschäftsdaten, geistiges Eigentum oder vertrauliche Kundeninformationen offenlegen, was zu schwerwiegendem Reputationsschaden, finanziellem Verlust oder rechtlichen Strafen führen könnte. So könnte ein nicht genehmigter Social-Media-Beitrag Details über ein noch nicht veröffentlichtes Produkt preisgeben, ein Forscher könnte versehentlich einen Datensatz mit vertraulichen Informationen veröffentlichen, oder ein Finanzbericht könnte vorzeitig veröffentlicht werden und Marktvolatilität verursachen. Ein sinnvoller Ansatz könnte die Einrichtung eines gestuften Genehmigungsprozesses sein, der auf der Sensibilität der Informationen basiert und sich am Konzept der Vertraulichkeitsanforderungen orientiert. Eine öffentliche Ankündigung von geringer Sensibilität erfordert möglicherweise nur die Genehmigung durch einen Abteilungsleiter, während ein Finanzbericht mit hohem Risiko die Unterschrift mehrerer Führungskräfte, einschließlich des Leiters der Rechtsabteilung und des CISO, erfordert. Um dies zu erleichtern, können Institutionen technische Maßnahmen ergreifen, wie z. B. ein digitales Workflow-System, in dem der Veröffentlichungsstatus eines Dokuments nachverfolgt und verwaltet wird. Dieses System könnte Funktionen umfassen wie: (1) automatisches Routing von Dokumenten an die entsprechenden Genehmiger, (2) eine sichere Überwachung aller Genehmigungen und Ablehnungen, und (3) ein zentrales Repository für alle genehmigten und veröffentlichten Materialien. Aus prozessualer Sicht ist es von Vorteil, eine Veröffentlichungs-Checkliste zu erstellen, die sicherstellt, dass alle relevanten rechtlichen und Compliance-Prüfungen vor der Veröffentlichung durchgeführt werden."
    }
  ],
  "props": [
    {
      "name": "alt-identifier",
      "value": "fa86f5b3-1e36-40bd-a61e-c58e7eba11c0"
    },
    {
      "name": "sec_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
      "value": "normal-SdT"
    },
    {
      "name": "effort_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
      "value": "3"
    }
  ],
  "title": "Autorisierung von Veröffentlichungen"
}