Schlagwortarchiv für: ISO 27701

,

Die Bedeutung interner Audits nach ISO 27001 für die Informationssicherheit im Unternehmen

Die digitale Transformation hat die Art und Weise, wie Unternehmen Informationen verwalten, grundlegend verändert. Mit dem zunehmenden Einsatz von Technologien und der verstärkten Vernetzung von Geschäftsprozessen ist es entscheidend, dass Organisationen robuste Informationssicherheits-Managementsysteme (ISMS) implementieren. Die ISO 27001, eine international anerkannte Norm für Informationssicherheit, bietet einen Rahmen für die Entwicklung, Umsetzung, Überwachung und Verbesserung eines wirksamen ISMS. Interne Audits nach ISO 27001 spielen dabei eine Schlüsselrolle, um sicherzustellen, dass das ISMS effektiv funktioniert und den ständig wachsenden Bedrohungen standhält.

Warum sind interne Audits wichtig?

Interne Audits sind systematische und unabhängige Bewertungen von Prozessen, um sicherzustellen, dass diese den festgelegten Standards entsprechen. Im Kontext von ISO 27001 dienen interne Audits dazu, die Wirksamkeit des ISMS zu überprüfen und Schwachstellen aufzudecken, bevor sie zu ernsthaften Sicherheitsproblemen führen. Durch regelmäßige Audits wird eine kontinuierliche Verbesserung der Informationssicherheitsprozesse ermöglicht.

Planung ist der Schlüssel zum Erfolg

Bevor ein internes Audit durchgeführt wird, ist eine sorgfältige Planung erforderlich. Dies umfasst die Festlegung der Auditziele, die Auswahl qualifizierter Auditoren und die Festlegung des Prüfumfangs. Der Auditplan sollte alle relevanten Prozesse und Kontrollen abdecken, um ein umfassendes Bild der Informationssicherheitslage im Unternehmen zu erhalten.

Durchführung des internen Audits

Während des Audits bewerten die internen Auditoren die Umsetzung der ISO-27001-Anforderungen, die Effektivität der Sicherheitskontrollen und die allgemeine Konformität mit den festgelegten Richtlinien. Dies beinhaltet oft Interviews mit Mitarbeitern, Überprüfung von Dokumentationen und Analyse von Sicherheitsvorfällen. Das Ziel ist es, potenzielle Schwachstellen zu identifizieren und Empfehlungen für Verbesserungen auszusprechen.

Ergebnisse und Maßnahmenplanung

Nach Abschluss des internen Audits werden die Ergebnisse dokumentiert. Dies umfasst festgestellte Nonkonformitäten, positive Ergebnisse und mögliche Verbesserungsvorschläge. Basierend auf diesen Ergebnissen erstellt das Unternehmen einen Maßnahmenplan, um die identifizierten Schwachstellen zu beheben und das ISMS kontinuierlich zu verbessern.

Kontinuierliche Verbesserung und Anpassung an neue Herausforderungen

Interne Audits dienen nicht nur der Einhaltung von Standards, sondern fördern auch eine Kultur der kontinuierlichen Verbesserung. Die sich ständig ändernde Bedrohungslandschaft erfordert, dass Unternehmen flexibel bleiben und ihre Sicherheitspraktiken anpassen. Durch regelmäßige interne Audits können Unternehmen sicherstellen, dass ihr ISMS nicht nur aktuellen Standards entspricht, sondern auch auf neue Herausforderungen vorbereitet ist.

Fazit

Interne Audits nach ISO 27001 sind unverzichtbar für die Sicherheit von Unternehmensinformationen. Sie bieten eine systematische Methode, um die Effektivität des ISMS zu überprüfen, Schwachstellen aufzudecken und eine kontinuierliche Verbesserung zu fördern. Unternehmen, die diese Audits ernst nehmen, investieren nicht nur in ihre eigene Sicherheit, sondern auch in das Vertrauen ihrer Kunden und Partner. Ein gut durchgeführtes internes Audit ist somit nicht nur eine Pflichtübung, sondern ein strategisches Werkzeug zur Bewältigung der ständig wachsenden Herausforderungen im Bereich der Informationssicherheit.

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Datenschutz in ein bestehendes ISMS integrieren (Teil 4 – Erweiterung des Kontextes)

In den ersten drei Artikeln dieser Serie ging es um eine kurze Einführung in die Struktur der ISO 27701:2021 und einen kurzen Überblick über die neuen Controls im Anhang der Norm. In diesem Artikel soll es um die Veränderungen bzw. Erweiterungen der Normkapitel der ISO 27001:2013 durch die ISO 27701:2021 gehen, insbesondere um den Kontext im DSMS.

Erweiterung der Normkapitel der ISO 27001:2013 – Kontext im DSMS

Kapitel 5 der ISO 27701 nennt die Erweiterungen der Normkapitel der ISO 27001 “PIMS-spezifische Anforderungen in Bezug auf ISO/IEC 27001”. PIMS ist die Abkürzung für Privacy Information Management System also für ein Datenschutzmanagementsystem (DSMS).

Die allgemeinste Anforderung ist, dass überall dort, wo die ISO 27001 von “Informationssicherheit” spricht, dies durch “Informationssicherheit und Datenschutz” zu ersetzen ist.

Spezifische Änderungen, bzw. weitergehende Anforderungen werden für die Kapitel 4 und 6 der ISO 27001:2013 aufgestellt. Die anderen Normkapitel bleiben, abgesehen von der Änderung von “Informationssicherheit” zu “Informationssicherheit und Datenschutz”, unberührt.

Anforderungen zu Kapitel 4 der ISO 27001:2013 “Kontext der Organisation”

Zunächst wird gefordert, dass die Organisation als Teil des Kontextes sich ihrer Rolle als verantwortliche Stelle, als gemeinsame verantwortliche Stelle oder als Auftragsverarbeiter bewusst wird. Eine Organisation kann mehrere dieser Rollen gleichzeitig einnehmen.

Weitere interne und externe Themen, die datenschutzrelevant sind, sind z.B. geltende Datenschutzgesetze, geltende Vorschriften, geltende Gerichtsentscheidungen, eigene Richtlinien und Verfahren oder vertragliche Anforderungen.

Anforderungen zu Kapitel 4 “Erfordernisse und Erwartungen interessierter Parteien”

Zusätzlich zu den im Bereich Informationssicherheit identifizierten interessierten Parteien (Stakeholder) müssen die Parteien identifiziert werden, die Interessen oder Verantwortlichkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten haben. Das betrifft insbesondere die betroffenen Personen im datenschutzrechtlichen Sinne (vgl. Art. 4 Abs. 1 DSGVO).
Zu den Anforderungen dieser interssierten Parteine können bestimmte technische und organisatorische Maßnahmen (TOMs) gehören oder auch die Forderung des nachweisbaren Betriebs eines DSMS.

Anforderungen zu Kapitel 4 “Festlegung des Anwendungsbereichs”

Bei der Festlegung des Anwendungsbereichs des DSMS muss die gesamte Verarbeitung personenbezogener Daten einbezogen sein. Das bedeutet, außerhalb des DSMS dürfen keine personenbezogenen Daten verarbeitet werden. Der Anwendungsbereich kann daher den des zugrundeliegenden ISMS übersteigen oder sich teilweise oder vollständig mit diesem Decken. Im Extremfall kann es auch zu vollständig überschneidungsfreien Anwendungsbereichen kommen, wenn das ISMS einen sehr speziellen und engen Scope hat. Aus praktischen Gründen sollten im Endausbau des ISMS und des DSMS beide Anwendungsbereiche deckungsgleich sein und die gesamte Organisation umfassen.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Datenschutz in ein bestehendes ISMS integrieren (Teil 3 – Pflichten als Auftragsverarbeiter)

Im letzten Teil dieser Artikel-Serie haben wir uns mit den Pflichten des Verantwortlichen beschäftigt. In diesem Artikel soll es um die Pflichten als Auftragsverarbeiter gehen.

Im Anhang A der ISO 27701:2021 werden die Referenzmaßnahmenziele und -maßnahmen (Controls) definiert, die speziell für Verantwortliche im Sinne des Datenschutzes gedacht sind. Sie dienen der Erfüllung der Pflichten des Verantwortlichen, gelten also für jede Organisation, die personenbezogene Daten verarbeitet. In diesem Artikel wollen wir uns nun dem Anhang B widmen, der Controls für Auftragsverarbeiter spezifiziert.

Pflichten als Auftragsverarbeiter

Auftragsverarbeiter haben datenschutzrechtliche Pflichten zu beachten. Diese ergeben sich u.a. aus dem Vertrag zur Auftragsverarbeitung, sind also mit dem Auftraggeber vereinbart. Der Anhang B der ISO 27701:2021 deckt diesen Bereich ab. Er gliedert sich in vier Abschnitte: B8.2 bis B8.5. Behandelt werden die Bedingungen für die Erhebung und Verarbeitung, Verpflichtungen gegenüber betroffenen Personen, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen sowie die Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten. Die Struktur ist also analog zu der im Anhang A.

Viele Unternehmen sind Auftragsverarbeiter im datenschutzrechtlichen Sinne, auch wenn sie sich nicht klassisch als solche fühlen. Häufig kommt man als Dienstleister mit personenbezogenen Daten seiner Kunden “in Berührung”, was datenschutzrechtlich häufig als Auftragsverarbeitung zu werten wäre. Zu prüfen wäre auf alle Fälle auch, ob es sich statt um eine klassische Auftragsverarbeitung um eine gemeinsame Verantwortung im Sinne des Art. 26 der DSGVO handelt (siehe auch A.7.2.7 der ISO 27701:2021). Aber das soll heute nicht das Thema sein. Wir gehen im Folgenden vom Fall der klassischen Auftragsverarbeitung aus.

Bedingungen für die Erhebung und Verarbeitung

B.8.2 beschreibt 6 Controls zu den Bedingungen für die Erhebung und Verarbeitung personenbezogener Daten. Hier geht es um das Vertragsverhältnis zum Auftraggeber. Es muss u.a. sichergestellt werden, dass die personenbezogenen Daten nur zu den vereinbarten Zwecken verwendet werden. Besondere Aufmerksamkeit wird der Verwendung zu Marketingzwecken geschenkt. Auch die Frage der zur Verfügungstellung von Informationen für den Auftraggeber wird adressiert.

Verpflichtungen gegenüber betroffenen Personen

B.8.3 widmet sich gesondert der Pflicht, dem Auftraggeber zur Erfüllung seiner datenschutzrechtlichen Verpflichtungen die notwendigen Mittel bereitzustellen.

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

B.8.4 beschreibt 3 Controls zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, beschäftigt sich also mit den Themen Privacy by Default und Privacy by Design. Adressiert werden unter diesem Gesichtspunkt die Themenbereiche temporäre Dateien, die Rückgabe, Übertragung oder Entsorgung von personenbezogenen Daten sowie Maßnahmen zur Übertragung personenbezogener Daten.

Pflichten des Auftragsverarbeiters zu Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten

B.8.5 beschreibt 8 Controls zur Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten. Dieser Bereich ist für Auftraggeber besonders wichtig, da es sich bei den personenbezogenen Daten eben nicht um Daten handelt, für die er selbst Verantwortlicher ist, sondern der Auftraggeber. Daher müssen die Bedingungen, unter denen z.B. Behörden diese Daten offengelegt werden (müssen), gut geregelt sein.

Weiterhin wird der Bereich der Übermittlung in Drittstaaten adressiert.

Seminar „Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren“

In unserem Seminar „Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren“ betrachten wir den Aufbau der ISO 27701. Wir zeigen, wie der Datenschutz in ein bestehendes ISMS nach ISO 27001 integriert werden kann bzw. wie der Datenschutz beim Aufbau eines ISMS als integraler Bestandteil gleich berücksichtigt wird.

/von
, ,

Podcast – Security on Air – Heute ISO 27701

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Informationssicherheit und Datenschutz lassen sich aus dem heutigen Geschäftsalltag nicht mehr wegdenken. Gesetzliche Anforderungen, Bedrohungsszenarien von außen, aber auch das eigene Bewusstsein, mit Daten und Informationen schützend umzugehen erhöhen die Notwendigkeit sich mit den Themen nachweisbar zu beschäftigen.

Die ISO 27701 gibt eine Hilfestellung, den Datenschutz in ein bestehendes Informationssicherheits-Managementsystem zu integrieren.

In unserem Podcast zur ISO 27701 befassen wir uns damit, wie die ISO 27701 aufgebaut ist, wie sie im Rahmen der ganzen ISO 2700er Reihe einzuordnen ist und was bei der Umsetzung beachtet werden muss.

In unserer Folge “ ISO 27701 – den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren“ gehen wir auf folgende Aspekte ein:

  • Was ist die ISO 27701 und wie ist sie einzuordnen?
  • Synergien aus einem bereits zertifizierten Managementsystem nutzen
  • Wofür der Aufwand? Nutzen einer Einführung der ISO 27701

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
, , ,

Datenschutz in ein bestehendes ISMS integrieren (Teil 2 – Pflichten des Verantwortlichen)

Im ersten Teil dieser Artikel-Serie haben wir uns mit dem risikobasierten Ansatz beschäftigt, der der Informationssicherheit und dem Datenschutz gemein ist. In diesem Artikel soll es um die Referenzmaßnahmenziele und -Maßnahmen zu den Pflichten des Verantwortlichen gehen.

Im Anhang A der ISO 27701:2021 werden die Referenzmaßnahmenziele und -Maßnahmen (Controls) definiert, die speziell für Verantwortliche im Sinne des Datenschutzes gedacht sind. Sie dienen der Erfüllung der Pflichten des Verantwortlichen. Der Anhang B, dem ich mich in einem späteren Blog-Artikel widmen werde, spezifiziert Controls für Auftragsverarbeiter.

Die Nummerierung der Controls funktioniert analog zur ISO 27001. Das bedeutet, dass sich die Nummerierung auf die entsprechenden Norm-Kapitel der ISO 27701 bezieht. In der ISO 27701 sind die Normkapitel 7 und 8 ähnlich aufgebaut wie die Kapitel der ISO 27002:2013. Es gibt Zielsetzungen, Maßnahmen und Leitlinien zur Umsetzung. Die Anhänge A.7 und A.8 beziehen sich dann auf die entsprechenden Abschnitte der Kapitel 7 und 8.

Pflichten des Verantwortlichen

Die Tabelle im Anhang A der ISO 27701 gliedert sich in vier Abschnitte – A.7.2 bis A.7.5. Alle Controls müssen vor dem Hintergrund der anwendbaren Datenschutzgesetzgebung betrachtet werden. Ähnlich wie in der ISO 27001 wird nicht vorgeschrieben, wie etwas umzusetzen ist, sondern vielmehr, um welche Themenbereiche man sich zu kümmern hat. Dabei dürfen die Controls im Datenschutz nicht ausschließlich nach eigenen Vorstellungen umgesetzt werden, sondern so, dass die für die eigene Organisation zutreffenden gesetzlichen Bestimmungen erfüllt werden. Die Umsetzungshinweise in Kapitel 7 sind dabei oftmals notwendige, aber keine hinreichenden Bedingungen.

Pflichten des Verantwortlichen zu Bedingungen für die Erhebung und Verarbeitung

A.7.2 beschreibt 8 Controls zu den Bedingungen für die Erhebung und Verarbeitung personenbezogener Daten. Hier werden datenschutzrechtliche Grundsätze wie die Zweckbindung und Rechtmäßigkeit der Verarbeitung adressiert. Darüber hinaus beschäftigt sich der Abschnitt mit Verfahren zur Einholung von Einwilligungen, zur Datenschutzfolgeabschätzung, zu Verträgen mit Auftragsverarbeitern und gemeinsame Verantwortlichkeiten (Joint Controllership). Zum Schluss werden Aufzeichnungen und Nachweise thematisiert.

Verpflichtungen gegenüber betroffenen Personen

A.7.3 beschreibt 10 Controls: Von der Bestimmung der eigenen Pflichten gegenüber Betroffenen bis zum Definieren und Umsetzen entsprechender Prozesse sind hier alle entscheidenden Pflichten des Verantwortlichen gegenüber Betroffenen adressiert.

Verantwortlichen zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

A.7.4 beschreibt 9 Controls zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Dieser Abschnitt beschäftigt sich mit den Themen Privacy by Default und Privacy by Design.

Pflichten des Verantwortlichen zur Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten

A.7.5 beschreibt 4 Controls zur Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten. Dabei wird insbesondere der Bereich der Übermittlung in Drittstaaten adressiert.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Informationssicherheit und Datenschutz – mit der ISO 27701 Synergien nutzen und die Wettbewerbsfähigkeit stärken.

Die gute Performance im Bereich Informationssicherheit und Datenschutz wird immer mehr zu einem Wettbewerbsvorteil. Und ganz unabhängig davon, haben Unternehmen ja auch ein Eigeninteresse daran, zu schützen was Ihnen wichtig ist und die Steuerbarkeit ihrer Geschäftsprozesse zu sichern.

Im Bereich der Informationssicherheit ist die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 ein international anerkannter Weg mit bewährten Steuerungsinstrumenten, wie z.B. ein an das Unternehmen angepasstes Kennzahlensystem, Audits und Managementbewertungen, die Informationssicherheit nachweislich auf ein hohes Niveau zu heben. Aber wie sieht es dazu im Vergleich beim Datenschutz aus?

In der Regel ist ein betrieblicher Datenschutzbeauftragter bestellt, der die Geschäftsführung – meist einmal im Jahr – über den Stand des Datenschutzniveaus im Unternehmen informiert. Insbesondere in Anbetracht der persönlichen Haftungsrisiken der Unternehmensleitung besteht hier häufig der Wunsch nach mehr Steuerbarkeit. Warum also nicht die bewährten Managementwerkzeuge aus der Informationssicherheit auf den Datenschutz übertragen?

Die ISO 27701 bietet eine Möglichkeit das Datenschutzmanagement in ein bestehendes Informationssicherheitsmanagement nach ISO 27001 zu integrieren. Der große Vorteil dabei ist, dass alle Bestandteile eines Managementsystems mit der ISO 27001 bereits vorhanden sind, und die Ausweitung auf den Datenschutz somit mit verhältnismäßig geringem Aufwand verbunden ist.

Derzeit befindet sich die ISO 27701 bei verschiedenen Zertifizierern in der Akkreditierung und es ist geplant in diesem Jahr eine Aufnahme in das Zertifikat nach ISO 27001 zu ermöglichen. Damit wäre auch für den Datenschutz ein unabhängiger sowie anerkannter Nachweis über die Umsetzung eines gesetzeskonformen Datenschutzes möglich.

Ein weiterer Benefit: Die Zusammenarbeit zwischen dem Informationssicherheitsbeauftragte (ISB) und dem Datenschutzbeauftragten (DSB) wird weiter gestärkt, Synergien werden entwickelt und es entstehen Lösungen für beide Themengebiete aus einem Guss.

Es lohnt sich, sich näher mit diesem Thema zu befassen, unabhängig davon, ob im Bereich der Informationssicherheit bereits eine Zertifizierung nach ISO 27001 besteht oder nicht.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Datenschutz in ein bestehendes ISMS integrieren (Teil 1 – Einführung)

In vielen Unternehmen sind Datenschutz und Informationssicherheit organisatorisch und faktisch noch weitgehend getrennt. Zwar arbeiten der Informationssicherheitsbeauftragte und der Datenschutzbeauftragte punktuell zusammen; von einem integrierten Ansatz kann meist aber nicht die Rede sein. Das ist schade.

In einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 werden technische und organisatorische Maßnahmen zum Schutz von Informationen gegen die Verletzung von Verfügbarkeit, Vertraulichkeit und Integrität risikobasiert ausgewählt und umgesetzt. Dabei werden in der Regel ausschließlich die Risiken für das Unternehmen selbst betrachtet.

Synergien nutzen

Wie in der Informationssicherheit sind im Datenschutz technische und organisatorische Maßnahmen ebenfalls risikobasiert auszuwählen und umzusetzen (vgl. DSGVO Art. 25 u. Art. 32). An dieser Stelle sind jedoch die Risiken der Betroffenen zu betrachten. Trotzdem kann die Risikobewertung nach derselben Methode durchgeführt und Synergien damit genutzt werden.

Auch die regelmäßige Überprüfung und Bewertung der Maßnahmen hinsichtlich ihrer Angemessenheit und Wirksamkeit ist aus datenschutzrechtlicher Sicht erforderlich (vgl. DSGVO Art 32 Ab.1 lit. d). Eine solche Überprüfung ist im ISMS nach ISO 27001 schon angelegt. Auch hier können Datenschutz und Informationssicherheit ein gemeinsames Vorgehen umsetzen.

Es ist daher nur konsequent, dass die ISO mit der ISO 27701 eine Norm vorlegt, die das Datenschutzthema in ein ISMS nach ISO 27001 integriert. Zu diesem Zweck werden Normkapitel und Anhang A der ISO 27001 sowie die Umsetzungshinweise der ISO 27002 um datenschutzrechtliche Aspekte entsprechend erweitert und angepasst.

Die einheitliche Betrachtung von Informationssicherheit und Datenschutz führt zu einem integrierten Managementsystem. So werden Ressourcen geschont, indem Doppelarbeiten und sich schlimmstenfalls widersprechende Ansätze verhindert werden.

Informationssicherheitsbeauftragter und Datenschutzbeauftragter treten jetzt bei der Planung und Umsetzung technischer und organisatorischer Maßnahmen der Informationssicherheit und des Datenschutzes gemeinsam gegenüber den Vertretern anderer Interessenbereiche im Unternehmen auf. Im Ergebnis führt dieser Ansatz zu einer Stärkung sowohl der Informationssicherheit als auch des Datenschutzes.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Schlagwortarchiv für: ISO 27701

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen