Österreich
Secure Your Business
 

ISO/IEC 27701 – das Zertifikat für Datenschutz und Informationssicherheit

 

Ein Fachbeitrag von CIS-Auditorin Dr. Techn. Margareth Stoll


03_stollCIS-NL Sept 2020 - Während sich Datenschutz rein auf den Schutz personenbezogener Daten bezieht, berücksichtigt Informationssicherheit die relevanten Werte der Organisation. Dabei kann es auch zu Interessenskonflikten kommen, wie z.B. bei der Videoüberwachung. Die ISO/IEC 27701 fördert weltweit die nötige Integration von Informationssicherheit und Datenschutz. Sie baut auf die ISO/IEC 27001 und ISO/IEC 27702 auf und erweitert die Forderungen. So werden u.a. auch Vertraulichkeit und Compliance eines Informationssicherheits-Managementsystems gefördert. Eine zusätzliche Zertifizierung nach ISO/IEC 27701 macht das Sicherheits- und Datenschutzbewusstsein klar sichtbar und stärkt das Vertrauen.


Informationssicherheit und Datenschutz ein Erfolgsfaktor
Der Lockdown zeigte uns neben den Chancen der Digitalisierung durch vermehrte Sicherheitsvorfälle und Daten-pannen auch die Gefahren (u.a. sogar bei essentiellen Diensten wie Krankenhäuser, Telekommunikation, Sozialversicherungen). Bis Ende 2020 wird Cybercrime voraussichtlich mit 5,5 Billionen Euro mehr Schaden verursachen als der Drogenhandel. Daher ist Cyber-Resilienz auch prioritär im „Next Generation“ EU Konjunkturprogramm verankert.

Datenschutz und Informationssicherheit: zwei Seelen in einer Brust
Die EU Datenschutz-Grundverordnung 2016/679 (DSGVO) fordert, dass zum Schutz personenbezogener Daten und zur Einhaltung der Bestimmungen wie Rechte der Betroffenen u.a., risikobasiert geeignete technische und organisatorische Maßnahmen nachweislich, effektiv und nachhaltig am Stand der Technik umgesetzt werden. Ein Informationssicherheits-Managementsystem nach ISO/IEC 27001 fördert entsprechend den Anforderungen der Interessenten/Stakeholder (u.a. Datenschutzbestimmungen) risikobasiert die Vertraulichkeit, Integrität und Verfügbarkeit der Werte. Dazu gehören auch personenbezogene Daten. So bietet z.B. eine Informationssicherheits-Risikobeurteilung gemäß ISO/IEC 27005 und ISO 31000 eine optimale Ausgangsbasis zur Festlegung technischer und organisatorischer Maßnahmen für den Datenschutz (siehe auch ISO 29134).
ISO/IEC 27701 fördert die Integration zwischen Datenschutz und Informationssicherheit
Während sich Datenschutz rein auf den Schutz personenbezogener Daten bezieht, berücksichtigt Informationssi-cherheit gemäß ISO/IEC 27001 alle relevanten Werte. Dabei kann es auch zu Interessenskonflikten kommen wie z.B. beim Log-Management oder dem Einsatz einer Videoüberwachung zum Schutz der Unternehmenswerte. Ohne geeignete Maßnahmen kann dies ein Risiko für die Daten aufgezeichneter Personen darstellen.
02 -stoll grafik Unbenannt-1
Die nötige Integration von Informationssicherheit und Datenschutz fördert nun die ISO/IEC 27701. Sie erweitert die Forderungen der ISO/IEC 27001 und der ISO/IEC 27002 um Datenschutzaspekte. So ist in beiden Normen „Informationssicherheit“ durch „Informationssicherheit und Datenschutz“ zu ersetzen und gemeinsam anzuwenden. Wie die ISO/IEC 27701 aufzeigt, gibt es eine Reihe von Gemeinsamkeiten zwischen Datenschutz und Informationssicherheit. Beide fordern einen risikobasierten Ansatz und die Umsetzung geeigneter technischer und organisatorischer Maßnahmen. Nachdem menschliche Fehler die häufigste Ursache für Sicherheitsvorfälle und Datenschutzverletzungen darstellen, sind auch für beide die Sensibilisierung und Kompetenz der MitarbeiterInnen wesentlich. Datenschutz und Informationssicherheit sind von den Mitarbeitern und Partnern aller Ebenen der gesamten Wertschöpfungskette gemeinsam effektiv und nachhaltig umzusetzen. Praxisrelevante, einprägsame Schulungen, eine laufende Sensibilisierung und schnell zugreifbare, kurze und einfach zu handhabende Richtlinien/Anweisungen u.a. fördern laut wissenschaftlichen Studien das Bewusstsein.


Zusatzforderungen der ISO/IEC 27701 zur ISO/IEC 27001
Die ISO/IEC 27701 erweitert die Anforderungen der ISO/IEC 27001 und ISO/IEC 27002 vorwiegend um rechtliche Anforderungen (wie: Verarbeitungsgrundsätze, Pflichten, Auftragsverarbeiter-Vereinbarungen bzw. Vereinbarungen mit gemeinsamen Verantwortlichen, Rechte der Betroffenen, ev. Datenschutz-Folgenabschätzung, Datenschutz by desgin & by default, Datenübermittlung, die erweiterte Bearbeitung von Sicherheitsereignissen mit ev. Meldung von Datenschutzpannen an die Aufsichtsbehörde u.a.). Dabei werden die Forderungen der EU Datenschutz-Grundverordnung berücksichtigt. Die Anforderungen der ISO/IEC 27701 sind aber so formuliert, dass weltweit die Rechtsbestimmungen mit adäquatem Schutzniveau integriert sind. Die ISO/IEC 27701 wird international anerkannt. Zudem gibt es auch erweiterte Sicherheitsmaßnahmen (Controls). So wird z.B. explizit die Verschlüsselung von Wechseldatenträgern mit personenbezogenen Daten, die sichere nicht wiederherstellbare Löschung personenbezogener Daten vor der Wiederverwendung von Datenträgern u.a. gefordert. Damit bietet die ISO/IEC 27701 auch eine wertvolle Unterstützung zur Festlegung bzw. Überprüfung angemessener techni-scher und organisatorischer Datenschutzmaßnahmen.

Aufbau der ISO/IEC 27701
Die ISO/IEC 27701 baut auf die ISO/IEC 27001 auf und setzt diese voraus. So enthält das Kapitel 5 die Zusatzfor-derungen zur ISO/IEC 27001. Entsprechend dem Anhang A der ISO/IEC 27001 sind im Anhang A zusätzliche rechtlichen Anforderungen/Controls für Verantwortliche der Datenverarbeitung (gemäß Art. 4 Absatz 7 DSGVO) und im Anhang B die Zusatzanforderungen für Auftragsverarbeiter (gemäß Art. 4 Absatz 8 DSGVO) angegeben. Für eine Zertifizierung muss Kapitel 5 und Anhang A und/oder B erfüllt werden. Zur Umsetzung der Anhänge bietet Kapitel 7 für Verantwortliche bzw. 8 für Auftragsverarbeiter weitere Erläuterungen. Sehr wertvolle Unterstützung bietet auch Kapitel 6 mit der Anleitung zur Umsetzung zusätzlicher Sicherheitsmaßnahmen/Controls als Erweiterung der ISO/IEC 27002. Im Anhang gibt es auch Referenztabellen zur EU Datenschutz-Grundverordnung und relevanten Normen.

Wie unterstützt die ISO/IEC 27001 den Datenschutz?02 -puzzle_bunt_000002915730Small
Ein ISO/IEC 27001 Managementsystem bildet die Basis für die ISO/IEC 27701. Es unterstützt den Datenschutz besonders im systemischen Ansatz, der Prozessintegration und nachhaltigen Umsetzung (siehe Kontext, Strategie, Ziele, Planung, Steuerung, Leistungsbewertung, Dokumentenmanagement, Verbesserung u.a.). Durch die stärkere strategische Ausrichtung werden Informationssicherheit und Datenschutz zum Mehrwert für das Unternehmen. Eine sichere rechtskonforme Digitalisierung erschließt neue Märkte und Kundensegmente, steigert Effizienz und senkt Kosten. So erhält Datenschutz eine strategische Rolle: weg vom reinen Kostenfaktor zur Erfüllung rechtlicher Pflichten hin zum Treiber für nachhaltiges Kundenvertrauen und Erfolg.

Das interne und externe Umfeld, die Bedrohungen und Anforderungen ändern sich laufend. Wie die ISO/IEC 27001 fordert auch die Datenschutzverordnung ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen (Art. 32,1d). Durch geeignetes Monitoring, Statusmeldungen, Bewertung aufgetretener internen und externen Ereignisse, periodische Audits u.a. wird die Angemessenheit und Wirksamkeit der Sicherheitsmaßnahmen bewertet und kommuniziert. Darin können einfach und effizient Datenschutzaspekte integriert werden. Das systematische Dokumentenmanagement fördert die Nachvollziehbarkeit und den Nachweis der Sorgfaltspflicht der Unternehmensleitung. Eine optimale Integration von Informationssicherheit und Datenschutz in alle Prozesse und Entscheidungen und ein effektiv gelebtes Managementsystem stärken eine nachhaltige Umsetzung. Durch aktives Vorleben durch das Management werden Informationssicherheit und Datenschutz integraler Bestandteil der Unternehmenskultur.

Wie unterstützt die ISO/IEC 27701 das Informationssicherheitsmanagement?
Vertraulichkeit ist einer der Grundpfeiler der Informationssicherheit. Zusätzlich fordert die ISO/IEC 27001 auch explizit die Einhaltung der Rechtsbestimmungen zur Privatsphäre und Schutz personenbezogener Information (A18.1.4). Daher bietet ISO/IEC 27701 auch für die Informationssicherheit wertvolle Unterstützung. Sie erleichtert z.B. die Berücksichtigung der Datenschutzanforderungen bei Zugriffsberechtigungen, Backup-Strategien, im Logging u.a. Synergien nutzen, Kosten sparen, Effizienz und Effektivität fördern. Die ISO/IEC 27701 stärkt weltweit die Integration von Informationssicherheit und Datenschutz. Dies nutzt Synergien, spart Kosten und steigert Effizienz und Effektivität. Die nachweisliche Umsetzung der Datenschutzbestimmungen wird unterstützt und das Wissen der Organisation geschützt. Zuverlässige Leistungen, Unternehmenserfolg und der gute Ruf werden gefördert. Eine Zertifizierung nach ISO/IEC 27701 erleichtert den Nachweis eines angemessenen Sicherheits- und Datenschutzniveaus weltweit, reduziert mehrfache Auditaufwände und macht den Einsatz nach außen sichtbar. Das Vertrauen wird gestärkt.

 

Dr.techn. Margareth Stoll, Email: margareth.stoll@cis-cert.com, hat langjährige Erfahrung in Digitalisierung, Informationssicherheit, Cybersecurity, Datenschutz, integrierten Managementsystemen u.a.. Sie ist berufene Auditorin für u.a. Informationssicherheit ISO/IEC 27001, ISO/IEC 27701, ISO/IEC 27018, NIS-G, sowie für ISO 22301 Business Continuity, ISO 20000-1 IT Servicemanagement, ISO 9001 Qualitätsmanagement und Autorin zahlreicher Publikationen.
 

___________________________

Herausgeber des CIS-Newsletters:

CIS - Certification & Information Security Services GmbH, www.cis-cert.com, office@cis-cert.com

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Datenschutz Impressum

AGB