Erweiterung der Normen ISO/IEC 27001 und ISO/IEC 27002 um Datenschutzkriterien durch die Norm ISO/IEC 27701

Was ist die ISO/IEC 27701?

Die Norm ISO/IEC 27701 erweitert die beiden Normen ISO/IEC 27001 und ISO/IEC 27002, die Leitlinien für Informationssicherheit-Managementsysteme (ISMS) beinhalten. Diese Erweiterung umfasst Leitlinien für den Schutz der Privatsphäre betroffener Personen, die durch die Verarbeitung von personenbezogenen Daten möglicherweise beeinträchtigt ist. Somit dient diese Norm als Grundlage für ein Datenschutz-Managementsystem (auch Privacy Information Management System – kurz PIMS – genannt), das den angemessenen Umgang sowohl mit Informationssicherheit als auch mit personenbezogenen Daten gewährleistet. Man spricht nicht mehr nur von „Informationssicherheit“, sondern von „Informationssicherheit und Datenschutz“.

Warum wurde die ISO/IEC 27701 veröffentlicht?

Spätestens seit der Einführung der Datenschutz-Grundverordnung (DSGVO) ist das Thema Datenschutz für Unternehmen von großer Wichtigkeit. Weil die Bereiche der Informationssicherheit und des Datenschutzes eng miteinander verwoben sind, baut die Norm ISO/IEC 27701 auf den beiden bestehenden Normen zu ISMS auf. Der Inhalt der ISO/IEC 27701 ist dabei rein ergänzender Natur und bezieht sich somit auch auf Managementsysteme und die Anforderungen, die diese erfüllen müssen.

Weil die ISO/IEC 27701 nicht für sich steht, sondern ihre Einhaltung gänzlich auf der Einhaltung der ISO/IEC 27001 aufbaut, kann sie auch nur in Verbindung mit einem ISMS nach ISO/IEC 27001 zertifiziert werden. Dabei beziehen sich die erweiternden Anforderungen insbesondere auch auf den Aspekt „Planung“. Hier wird vor allem der Rahmen für die Risikobehandlung präzisiert. Zudem wird gefordert, dass Unternehmen nicht besondere personenbezogene Daten vernachlässigen dürfen, um sich die Erreichung der Normkonformität zu erleichtern.

Über diesen zertifizierbaren Teil hinaus erhält die ISO/IEC 27701 ergänzende Leitlinien für die ISO/IEC 27002, die ebenfalls vorrangig den Datenschutz betreffen. Dazu gehören unter anderem Leitlinien zur Protokollierung von Zugriffen und Veränderungen oder zur Verschlüsselung bestimmter personenbezogener Daten. Es werden Hinweise zur Überprüfung von Sicherheitsvorfällen auf Datenschutzverletzungen und zur Berücksichtigung des „Privacy by Design“-Grundsatzes gegeben.

Zusätzliche Anforderungen für verantwortliche Stellen und für Auftragsverarbeiter

  • Etabliert neben dem Informationssicherheit Managementsystem ein umfassendes Privacy Information Managementsystem und minimiert Risiken rund um personenbezogene Daten.
  • Bringt Transparenz in die Verwendung von persönlich identifizierbaren Informationen und die zugehörigen Prozesse.
  • Stellt einen verantwortungsvollen Umgang mit anvertrauten Daten sicher und stellt die kontinuierliche Verbesserung sicher.
  • Dient als Grundlage für eine künftige Zertifizierung nach der EU-DSGVO.


Sollten Sie Fragen zu den genannten Normen, deren Zertifizierungen oder zu anderen Bereichen der Informationssicherheit oder dem Datenschutz haben, helfen wir Ihnen gerne weiter. Sprechen Sie uns einfach an.

Ähnliche Beiträge

25. Oktober 2021

Case Study: dhpg begleitet GOPA Group Service GmbH bei ISO/IEC-27001-Zertifizierung

Die ISO/IEC-27001-Zertifizierung ist der weltweit führende Standard für die Informationssicherheit. Sie beschreibt die Anforderungen an die Umsetzung und die Dokumentation eines Informationssicherheits-Managementsystems (ISMS). Die dhpg hat die GOPA Group Service GmbH bei dieser Zertifizierung begleitet. Hier erfahren Sie, wie ein solcher Prozess abläuft.
Zertifizierungen
Cyber Security
IT-Sicherheit
IT-Prüfung und Beratung
19. November 2021

Case Study: IT-Zertifizierung der Telekommunikations-Software MiFID-II-Option für die vio:networks GmbH

Ziel war es, im Auftrag der vio:networks GmbH deren neu eingeführte Telefonie-Software MiFID-II-Option zu zertifizieren. In diesem Rahmen war zu prüfen, ob MiFID-II-Option die Anforderungen der Aufzeichnungspflichten nach Richtlinie 2014/65/EU über Märkte für Finanzinstrumente und zur EU-Datenschutz-Grundverordnung (DSGVO) im Unternehmen erfüllt. Mit hinreichender Sicherheit sollte beurteilt werden, ob die Software in der aktuellen Version bei sachgerechter Anwendung der Richtlinie entspricht.
IT-Prüfung und Beratung
Zertifizierungen
Datenschutz
Zurück

Markus Müller

Diplom-Wirtschaftsinformatiker, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE)

Zum Profil von Markus Müller

René Manz

IT-Prüfer und Berater

Zum Profil von René Manz

Fabrice Voigt

IT-Prüfer/Berater, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE), ISO 27001-Certified Inform. Security Auditor

Zum Profil von Fabrice Voigt

EU-DSGVO IT-Sicherheit IT-Prüfung und Beratung Zertifizierungen

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
YouTube Video laden
Permalink