Wie wir in dem vorherigen Artikel beschrieben hatten, bietet die Einführung und dauerhafte sichere Nutzung des Arbeitens im Home Office vielfach Anlass oder sind Auslöser, um Abläufe und Prozesse im eigenen Unternehmen zu überdenken und zu digitalisieren. Dazu gehören natürlich auch Prozesse zum Support und zur Infrastruktur.

Internetbasierte Lösungen

In der Zeit des ersten Lockdowns war es für die IT-Abteilungen oftmals eine große Herausforderung, ausreichend Geräte und Einwahlverbindungen für alle Mitarbeiter für die mobile Nutzung von zu Hause zur Verfügung zu stellen. Andererseits zeigt sich an dieser Stelle deutlich ein Vorteil von internetbasierten Lösungen: man benötigt eben keine Einwahlverbindung für das Speichern der soeben frisch erstellten Dokumente oder zum Starten einer Videokonferenz mit den Kollegen, wenn auf diese Dienste per Internet zugegriffen werden kann.

Ein weiterer Sicherheitsaspekt ist die zentrale Ablage – es gibt keinen Grund mehr, Dateien lokal auf dem Rechner abzulegen, um sie „später“ hochzuladen, d.h. man führt die Dateien auch nicht mehr mit sich, ein Verlust (im Sinne von: ich kann die Inhalte nicht wiederherstellen) ist ausgeschlossen. Voraussetzung ist natürlich ein zuverlässiger Betrieb einer solchen Lösung, damit sie von den Mitarbeitern auch angenommen und akzeptiert wird. Zugleich ergibt sich in einer solchen Konstellation die Möglichkeit, das Backup von Endanwendergeräten komplett zu überdenken – warum sollten diese Geräte gesichert werden, wenn alle relevanten Daten zentral abgelegt sind und sowohl vom Firmengelände aus als auch im Home Office jederzeit genutzt werden können? Die dargestellte Konstellation erleichtert also auch für die IT-Abteilungen das Anfertigen von Datensicherungen, da sich alle relevanten Dateien nur in einigen wenigen, bekannten Systemen befinden.

Turnschuhadministration vs Fernwartung

Dafür kommt auf die IT-Abteilungen eine andere Herausforderung zu: Wie erfolgt der Support der Mitarbeiter im Home Office? Während in großen Unternehmen häufig schon vor der Pandemie Lösungen zur Fernwartung umgesetzt waren, findet man in kleineren Unternehmen solche Konzepte nicht so oft – schließlich hat man ja kurze Wege, und „Turnschuhadministration“ funktioniert im Büro sehr zuverlässig. Man wird also kaum umhinkommen, für die Sicherstellung der technischen Unterstützung im Home Office eine Lösung zur Fernwartung zu etablieren.

Datensicherung, Patchmanagement und technischer Support sind neben den in einem vorherigen Artikel angesprochenen organisatorischen Fragestellungen Punkte, die für ein sicheres Arbeiten im Home Office in technischer Hinsicht unbedingt betrachtet werden sollten.

Wünschen Sie sich, sich mit Anderen darüber auszutauschen? Dann ist eventuell unser eintägiges Seminar für Sie interessant. In dem zeigen wir thematisch breit, aber trotzdem praxisorientiert, wie das Arbeiten im Home-Office sinnvoll, sicher und datenschutzkonform organisiert werden kann!

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Informationssicherheit und Datenschutz lassen sich aus dem heutigen Geschäftsalltag nicht mehr wegdenken. Gesetzliche Anforderungen, Bedrohungsszenarien von außen, aber auch das eigene Bewusstsein, mit Daten und Informationen schützend umzugehen erhöhen die Notwendigkeit sich mit den Themen nachweisbar zu beschäftigen.

Die ISO 27701 gibt eine Hilfestellung, den Datenschutz in ein bestehendes Informationssicherheits-Managementsystem zu integrieren.

In unserem Podcast zur ISO 27701 befassen wir uns damit, wie die ISO 27701 aufgebaut ist, wie sie im Rahmen der ganzen ISO 2700er Reihe einzuordnen ist und was bei der Umsetzung beachtet werden muss.

In unserer Folge “ ISO 27701 – den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren“ gehen wir auf folgende Aspekte ein:

  • Was ist die ISO 27701 und wie ist sie einzuordnen?
  • Synergien aus einem bereits zertifizierten Managementsystem nutzen
  • Wofür der Aufwand? Nutzen einer Einführung der ISO 27701

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Im ersten Teil dieser Artikel-Serie haben wir uns mit dem risikobasierten Ansatz beschäftigt, der der Informationssicherheit und dem Datenschutz gemein ist. In diesem Artikel soll es um die Referenzmaßnahmenziele und -Maßnahmen zu den Pflichten des Verantwortlichen gehen.

Im Anhang A der ISO 27701:2021 werden die Referenzmaßnahmenziele und -Maßnahmen (Controls) definiert, die speziell für Verantwortliche im Sinne des Datenschutzes gedacht sind. Sie dienen der Erfüllung der Pflichten des Verantwortlichen. Der Anhang B, dem ich mich in einem späteren Blog-Artikel widmen werde, spezifiziert Controls für Auftragsverarbeiter.

Die Nummerierung der Controls funktioniert analog zur ISO 27001. Das bedeutet, dass sich die Nummerierung auf die entsprechenden Norm-Kapitel der ISO 27701 bezieht. In der ISO 27701 sind die Normkapitel 7 und 8 ähnlich aufgebaut wie die Kapitel der ISO 27002:2013. Es gibt Zielsetzungen, Maßnahmen und Leitlinien zur Umsetzung. Die Anhänge A.7 und A.8 beziehen sich dann auf die entsprechenden Abschnitte der Kapitel 7 und 8.

Pflichten des Verantwortlichen

Die Tabelle im Anhang A der ISO 27701 gliedert sich in vier Abschnitte – A.7.2 bis A.7.5. Alle Controls müssen vor dem Hintergrund der anwendbaren Datenschutzgesetzgebung betrachtet werden. Ähnlich wie in der ISO 27001 wird nicht vorgeschrieben, wie etwas umzusetzen ist, sondern vielmehr, um welche Themenbereiche man sich zu kümmern hat. Dabei dürfen die Controls im Datenschutz nicht ausschließlich nach eigenen Vorstellungen umgesetzt werden, sondern so, dass die für die eigene Organisation zutreffenden gesetzlichen Bestimmungen erfüllt werden. Die Umsetzungshinweise in Kapitel 7 sind dabei oftmals notwendige, aber keine hinreichenden Bedingungen.

Pflichten des Verantwortlichen zu Bedingungen für die Erhebung und Verarbeitung

A.7.2 beschreibt 8 Controls zu den Bedingungen für die Erhebung und Verarbeitung personenbezogener Daten. Hier werden datenschutzrechtliche Grundsätze wie die Zweckbindung und Rechtmäßigkeit der Verarbeitung adressiert. Darüber hinaus beschäftigt sich der Abschnitt mit Verfahren zur Einholung von Einwilligungen, zur Datenschutzfolgeabschätzung, zu Verträgen mit Auftragsverarbeitern und gemeinsame Verantwortlichkeiten (Joint Controllership). Zum Schluss werden Aufzeichnungen und Nachweise thematisiert.

Verpflichtungen gegenüber betroffenen Personen

A.7.3 beschreibt 10 Controls: Von der Bestimmung der eigenen Pflichten gegenüber Betroffenen bis zum Definieren und Umsetzen entsprechender Prozesse sind hier alle entscheidenden Pflichten des Verantwortlichen gegenüber Betroffenen adressiert.

Verantwortlichen zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

A.7.4 beschreibt 9 Controls zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Dieser Abschnitt beschäftigt sich mit den Themen Privacy by Default und Privacy by Design.

Pflichten des Verantwortlichen zur Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten

A.7.5 beschreibt 4 Controls zur Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten. Dabei wird insbesondere der Bereich der Übermittlung in Drittstaaten adressiert.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Ziel aller Unternehmen ist es die Produktivität, die Wettbewerbsfähigkeit und damit den Fortbestand des Unternehmens zu sichern. Damit die Geschäftstätigkeit auch im Angesicht von Notfällen und Krisen bestmöglich aufrecht erhalten bleibt, ist die Einführung eines Business Continuity Management Systems – kurz BCM sinnvoll.

In unserem Podcast zum Thema BCM befassen wir uns in 2 Folgen damit, wie ein BCM aufgebaut werden sollte, was es alles zu beachten gilt und geben auch kleine Tipps und Denkanstöße, um bestmöglich auf Störungen vorbereitet zu sein.

In der Folge 1 „die ersten Schritte“ geben wir einen groben Überblick über alles was beim BCM bedacht werden muss.

Dabei gehen wir auf folgende Aspekte ein:

  • Was bedeutet BCM und welche Vorgaben gibt es?
  • Wie fängt man an ein BCM aufzubauen?
  • Die Business Impact Analyse als Teil des BCM
  • Dokumentieren aller Informationen – in welcher Form?
  • Regelmäßiges Überprüfen und Verbessern ist Pflicht

In der Folge 2 „jetzt aber richtig“ steigen wir tiefer in das Thema BCM ein – wo liegen Stolperfallen, wie sinnvoll sind Übungen und welche Aufgaben und Verantwortlichkeiten hat das BCM Team.

Hier beleuchten wir folgende Aspekte:

  • Wie definiert man Störungen, die für das Unternehmen zutreffen können?
  • Was muss bei Dienstleistern und Lieferanten beachtet werden?
  • Üben und Verbessern – wie geht man am sinnvollsten vor?
  • Wie entwickelt sich das BCM weiter?
  • Ein BCM unterstützt bei allen Prozessen, nicht nur im Fall der Fälle

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Wenn man sein tägliches Umfeld betrachtet, kommt man leicht zu dem Schluss, dass der Start in das Informationszeitalter längst geschehen ist. Sowohl personenbezogene Daten als auch sonstige Informationen nehmen einen bedeutenden Teil der Wertschöpfung ein. Damit sind sie für das erfolgreiche Agieren von Unternehmen notwendig und damit auch wertvoll. Alltägliche Dinge wie das elektronische Bezahlen an der Supermarktkasse oder die Fahrt mit der Bahn benötigen funktionierende und sichere Systeme zur Informationsverarbeitung.

Natürlich denkt man zuerst an technische Maßnahmen, wenn es um den sicheren Betrieb von technischen Systemen geht, sei es am eigenen Computer oder auf dem Leitstand des Kraftwerkes. Doch auch der Mensch, der Benutzer von Systemen, muss als „Sicherheitslücke“ gesehen werden. Und genau an dieser Stelle setzen Awareness -Konzepte an. Ziel dieser Konzepte ist es, die Einstellungen, das Wissen und das Handeln von Menschen so zu ändern, dass die „Sicherheitslücke Mensch“ geschlossen wird.

Awareness als Konzept

Das kann natürlich nicht mit einer einzelnen Schulung oder Unterweisung erreicht werden. Ein Awareness -Konzept beschreibt vielmehr ein systematisches, langfristig orientiertes Herangehen an die Erhöhung des Sicherheitsbewusstseins. Damit verbunden sind mehrere, aufeinander abgestimmte, an Situation, Thema und den Adressatenkreis angepasste Maßnahmen. Es ist sicher nachvollziehbar, dass das wiederholte Zeigen von ein und derselben Präsentation eher Ablehnung hervorruft. Es geht bei guten Awareness -Konzepten also darum, für die Teilnehmer auch Abwechslung zu schaffen, Wiederholungen anders zu verpacken, oder auch die Form der Darbietung zu ändern. Natürlich müssen die Inhalte von solchen Maßnahmen auch aktualisiert und an die Empfänger angepasst werden.

Eine Möglichkeit, Abwechslung zu schaffen, Wissen zu vermitteln und zusätzlich auch den Lerneffekt zu prüfen, sind eLearnings: den Mitarbeitern werden neue Inhalte in kleinen Videosequenzen dargestellt und erklärt, danach erhält man bei Bestehen eines Abschlusstests eine Urkunde. Nebeneffekt bei dieser Art von Awareness -Maßnahme: die zeitliche Unabhängigkeit der Durchführung. Es ist nicht notwendig, für alle Teilnehmer einer Veranstaltung einen gemeinsamen Termin zu finden, und bei Bedarf kann man sich die Inhalte teilweise oder auch komplett noch einmal anschauen. Zusätzlich werden Aufwand und Kosten für die Referenten gespart.

Abwechslung bereichert das Awareness -Konzept und erhöht die Bereitschaft, die dargebotenen Inhalte auch für sich selber anzunehmen – sprich: das Sicherheitsbewusstsein wurde ein bisschen verbessert! Also, auf zur nächsten Maßnahme …
Ein kleiner Eindruck, wie so ein eLearning aussehen *könnte*, findet sich auf unserer Webseite.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Auditoren achten sehr darauf, dass die Mitarbeiter ausreichend geschult und informiert werden, wenn Sie ein Managementsystem auditieren. Denn erst wenn jeder Mitarbeiter weiß, wie er wann zu reagieren hat und wie er Gefahren erkennt, kann er auch korrekt handeln.

Das eLearning bietet hier eine zeitlich flexible, ortsungebundene und meist auch günstige Lösung die Mitarbeiter zu erreichen. Dabei wird auf das individuelle Lernverhalten und die jeweilige Arbeitssituation des Mitarbeiters eingegangen, um einen optimalen Lernerfolg zu erzielen.

In dieser Podcast-Folge zum Thema „eLearning“ möchten wir Ihnen die Vor- und Nachteile, die ein solches eLearning hat, aufzeigen und Ihnen ein paar Hinweise an die Hand geben, worauf Sie beim Einsatz achten sollten.

In unserer Folge “eLearning“ gehen wir auf folgende Aspekte ein:

  • Was fällt alles unter den Begriff eLearning
  • Welche Vorteile bietet es sowohl für das Unternehmen als auch den Mitarbeiter
  • Wie können etwaige Nachteile abgeschwächt werden
  • Welche rechtlichen Aspekte gibt es zu beachten

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Auf unserer Webseite unter https://anmatho.de/seminare/elearning/ finden Sie die wichtigsten Informationen zu unserem eLearning-Portal. Informieren Sie sich jetzt und kontaktieren Sie uns unter Tel.: 040 229 47 19 0 oder per E-Mail unter seminare@anmatho.de.

JETZT GIBT’S WAS AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Der Faktor „Mensch“ spielt eine wesentliche Rolle in der Informationssicherheit sowie im Datenschutz. Daher ist es enorm wichtig, allen Mitarbeitern die Risiken greifbar zu machen, das notwendige Wissen zu vermitteln und Akzeptanz und Verständnis für die Sicherheitsrichtlinien und Maßnahmen zu fördern. Dabei sollte die Individualität jedes Mitarbeiters und Aufgabengebietes berücksichtigt werden.

In unserem Podcast zum Thema „Das Konzept „Security Awareness“ möchten wir Ihnen in 2 Folgen Denkanstöße und Tipps zu diesem Thema geben.

In der Folge 1 „Aller Anfang ist nicht schwer“ befassen wir uns mit dem Start des Projektes „Security Awareness“:

  • welchen Stellenwert Security Awareness hat und haben sollte,
  • warum der konzeptionelle Gedanke ratsam ist,
  • was man bei einer Risikoanalyse beachten sollte,
  • wie wichtig konkrete Awareness-Ziele sind,
  • warum „one fits all“ bei Security Awareness nicht greift.

In der Folge 2 „Ein Ziel – viele Wege“ befassen wir uns mit der Wichtigkeit von zielgruppengerechten Awareness-Maßnahmen:

  • warum das Arbeitsumfeld für die Auswahl von Maßnahmen relevant ist,
  • welche Gefahr technische und organisatorische Hürden darstellen,
  • wie Verhaltensänderungen nachhaltig bewirkt werden können,
  • warum ein strukturierter Einsatz von verschiedenen Tools notwendig ist,
  • welche Tools es gibt und
  • wie man die Wirksamkeit seiner Kampagne überprüfen kann.

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Unverbesserliche Optimisten sehen in allen Situationen immer auch die positiven Aspekte. So ermöglichen die Erfahrungen mit den aus der Not heraus getroffenen Maßnahmen zu Beginn der Corona-Pandemie – die Pflicht zum Home-Office und das Homeschooling – einen schärferen Blick darauf, wie Prozesse und Abläufe in Unternehmen und der Verwaltung sich verändern müssen, um vom technologischen Fortschritt in einem größeren Umfang als bisher zu profitieren. Das Arbeiten im Home-Office erweist sich dabei als ein „Türöffner“.

Hierzu gehört mit Sicherheit auch eine geänderte Art der Kommunikation. Viele Menschen haben Erfahrungen mit Videokonferenzen gesammelt, die notwendige Ausstattung (Headset, Webcam) ist mittlerweile weit verbreitet und wird wie selbstverständlich genutzt. Und falls es noch nicht geschehen sein sollte, wäre es spätestens jetzt an der Zeit, von Unternehmensseite das weitere Vorgehen festzulegen, z.B. durch das Bestimmen der künftig zu nutzenden Plattformen und Anbieter. Aus organisatorischer Sicht gehören das Abschneiden alter Zöpfe und die Berücksichtigung der technologischen Möglichkeiten bei der Einführung neuer Prozesse dazu, genauso wie die Einbindung der Mitarbeiter. Nur so ist es möglich, neben der Verbesserung der Informationssicherheit auch Nutzen aus den geänderten Arbeitsweisen zu ziehen.

So ist z.B. in den Produkten vieler Festnetzanbieter auch die Möglichkeit zur softwarebasierten IP-Telefonie enthalten. Dadurch ist es möglich, Anrufe mit der dienstlichen Festnetznummer nicht nur aus dem Büro heraus zu tätigen, sondern auch vom Rechner im Homeoffice aus.  Benötigt wird lediglich das Headset, die Software für IP-Telefonie auf dem eigenen Rechner sowie ein Internetzugang – und die Vermischung von dienstlichen und privaten Telefonaten auf dem privaten Telefonanschluss ist Vergangenheit. Nicht zuletzt aus der Sicht von Datenschutz und Informationssicherheit eine deutliche Verbesserung, auch die Privatsphäre der Mitarbeiter wird so geschützt.

Zu den Veränderungen gehört auch das Erlernen von neuen Verhaltensweisen und Regeln. Nicht alles, was technisch möglich ist, ist auch immer erlaubt. So bieten Videokonferenzlösungen die Möglichkeit, Gespräche aufzuzeichnen – was allerdings rechtlich durchaus bedenklich ist. Ob und unter welchen Umständen derartige Aufzeichnungen zulässig sind, muss nicht nur vorher zuverlässig geklärt, sondern auch den Mitarbeitern vermittelt werden. Denn nur mit einer sicheren und rechtlich einwandfreien Nutzung werden sich die neuen Arbeitsweisen dauerhaft etablieren.

Für einen erfolgreichen Einstieg in die Gestaltung des Arbeitens im Home-Office haben wir unser eintägiges, praxisorientiertes Seminar entwickelt, in dem die Fragestellungen aus diesem und den vorherigen Artikeln  vertieft werden und das dabei unterstützen soll, das Arbeiten im Home-Office sinnvoll, sicher und datenschutzkonform zu organisieren.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Sie kennen sicher den Radiospruch „Geht ins Ohr… bleibt im Kopf“. Podcast s haben längst bewiesen, dass dies nicht nur für Radiowerbung gilt.

In der Informationssicherheit gibt es viele Themen, bei denen man mal genau hinhören sollte. Mit unserem Podcast möchten wir Ihnen in kurzen Episoden, regelmäßig relevante Themen der Informationssicherheit und des Datenschutzes vorstellen und zudem Impulse setzen.

Hören Sie rein, wann immer es Ihnen passt – unabhängig von Zeit und Ort. Unseren Podcast finden Sie auf Apple Podcast, Spotify und Google Podcast sowie natürlich auf unserer Website.

Wir starten unseren Podcast mit dem Thema Security im Home-Office. Das Home-Office gehört seit der Corona Pandemie in den Unternehmen, in denen dies grundsätzlich möglich ist, zum festen Bestandteil der Arbeitswelt. Doch was als Provisorium begann, sollte nun gut durchdacht fortgeführt werden. Insbesondere mit Blick auf die Informationssicherheit und den Datenschutz.

In unserem Podcast zum Thema „Security im Home-Office“ möchten wir Ihnen in 3 Folgen Denkanstöße und Tipps zum sicheren Arbeiten außerhalb des Büros geben. In der Folge 1 „Hinter der Firewall geht’s weiter“ befassen wir uns mit organisatorischen Aspekten er Informationssicherheit im Home-Office.

Hören Sie rein!

Die gute Performance im Bereich Informationssicherheit und Datenschutz wird immer mehr zu einem Wettbewerbsvorteil. Und ganz unabhängig davon, haben Unternehmen ja auch ein Eigeninteresse daran, zu schützen was Ihnen wichtig ist und die Steuerbarkeit ihrer Geschäftsprozesse zu sichern.

Im Bereich der Informationssicherheit ist die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 ein international anerkannter Weg mit bewährten Steuerungsinstrumenten, wie z.B. ein an das Unternehmen angepasstes Kennzahlensystem, Audits und Managementbewertungen, die Informationssicherheit nachweislich auf ein hohes Niveau zu heben. Aber wie sieht es dazu im Vergleich beim Datenschutz aus?

In der Regel ist ein betrieblicher Datenschutzbeauftragter bestellt, der die Geschäftsführung – meist einmal im Jahr – über den Stand des Datenschutzniveaus im Unternehmen informiert. Insbesondere in Anbetracht der persönlichen Haftungsrisiken der Unternehmensleitung besteht hier häufig der Wunsch nach mehr Steuerbarkeit. Warum also nicht die bewährten Managementwerkzeuge aus der Informationssicherheit auf den Datenschutz übertragen?

Die ISO 27701 bietet eine Möglichkeit das Datenschutzmanagement in ein bestehendes Informationssicherheitsmanagement nach ISO 27001 zu integrieren. Der große Vorteil dabei ist, dass alle Bestandteile eines Managementsystems mit der ISO 27001 bereits vorhanden sind, und die Ausweitung auf den Datenschutz somit mit verhältnismäßig geringem Aufwand verbunden ist.

Derzeit befindet sich die ISO 27701 bei verschiedenen Zertifizierern in der Akkreditierung und es ist geplant in diesem Jahr eine Aufnahme in das Zertifikat nach ISO 27001 zu ermöglichen. Damit wäre auch für den Datenschutz ein unabhängiger sowie anerkannter Nachweis über die Umsetzung eines gesetzeskonformen Datenschutzes möglich.

Ein weiterer Benefit: Die Zusammenarbeit zwischen dem Informationssicherheitsbeauftragte (ISB) und dem Datenschutzbeauftragten (DSB) wird weiter gestärkt, Synergien werden entwickelt und es entstehen Lösungen für beide Themengebiete aus einem Guss.

Es lohnt sich, sich näher mit diesem Thema zu befassen, unabhängig davon, ob im Bereich der Informationssicherheit bereits eine Zertifizierung nach ISO 27001 besteht oder nicht.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!