Erweiterung der Normen ISO/IEC 27001 und ISO/IEC 27002 um Datenschutzkriterien durch die Norm ISO/IEC 27701
Was ist die ISO/IEC 27701?
Die Norm ISO/IEC 27701 erweitert die beiden Normen ISO/IEC 27001 und ISO/IEC 27002, die Leitlinien für Informationssicherheit-Managementsysteme (ISMS) beinhalten. Diese Erweiterung umfasst Leitlinien für den Schutz der Privatsphäre betroffener Personen, die durch die Verarbeitung von personenbezogenen Daten möglicherweise beeinträchtigt ist. Somit dient diese Norm als Grundlage für ein Datenschutz-Managementsystem (auch Privacy Information Management System – kurz PIMS – genannt), das den angemessenen Umgang sowohl mit Informationssicherheit als auch mit personenbezogenen Daten gewährleistet. Man spricht nicht mehr nur von „Informationssicherheit“, sondern von „Informationssicherheit und Datenschutz“.
Warum wurde die ISO/IEC 27701 veröffentlicht?
Spätestens seit der Einführung der Datenschutz-Grundverordnung (DSGVO) ist das Thema Datenschutz für Unternehmen von großer Wichtigkeit. Weil die Bereiche der Informationssicherheit und des Datenschutzes eng miteinander verwoben sind, baut die Norm ISO/IEC 27701 auf den beiden bestehenden Normen zu ISMS auf. Der Inhalt der ISO/IEC 27701 ist dabei rein ergänzender Natur und bezieht sich somit auch auf Managementsysteme und die Anforderungen, die diese erfüllen müssen.
Weil die ISO/IEC 27701 nicht für sich steht, sondern ihre Einhaltung gänzlich auf der Einhaltung der ISO/IEC 27001 aufbaut, kann sie auch nur in Verbindung mit einem ISMS nach ISO/IEC 27001 zertifiziert werden. Dabei beziehen sich die erweiternden Anforderungen insbesondere auch auf den Aspekt „Planung“. Hier wird vor allem der Rahmen für die Risikobehandlung präzisiert. Zudem wird gefordert, dass Unternehmen nicht besondere personenbezogene Daten vernachlässigen dürfen, um sich die Erreichung der Normkonformität zu erleichtern.
Über diesen zertifizierbaren Teil hinaus erhält die ISO/IEC 27701 ergänzende Leitlinien für die ISO/IEC 27002, die ebenfalls vorrangig den Datenschutz betreffen. Dazu gehören unter anderem Leitlinien zur Protokollierung von Zugriffen und Veränderungen oder zur Verschlüsselung bestimmter personenbezogener Daten. Es werden Hinweise zur Überprüfung von Sicherheitsvorfällen auf Datenschutzverletzungen und zur Berücksichtigung des „Privacy by Design“-Grundsatzes gegeben.
Zusätzliche Anforderungen für verantwortliche Stellen und für Auftragsverarbeiter
- Etabliert neben dem Informationssicherheit Managementsystem ein umfassendes Privacy Information Managementsystem und minimiert Risiken rund um personenbezogene Daten.
- Bringt Transparenz in die Verwendung von persönlich identifizierbaren Informationen und die zugehörigen Prozesse.
- Stellt einen verantwortungsvollen Umgang mit anvertrauten Daten sicher und stellt die kontinuierliche Verbesserung sicher.
- Dient als Grundlage für eine künftige Zertifizierung nach der EU-DSGVO.
Sollten Sie Fragen zu den genannten Normen, deren Zertifizierungen oder zu anderen Bereichen der Informationssicherheit oder dem Datenschutz haben, helfen wir Ihnen gerne weiter. Sprechen Sie uns einfach an.