SPRECHEN SIE MIT UNS

ISO 27701 als Ergänzung für das ISMS auf Basis der ISO 27001

ISO27701

Der Datenschutz war schon immer ein Bestandteil eines Informationssicherheits-Managementsystems (ISMS); schließlich sind personenbezogene Daten auch Teil der Informationssicherheit und der verarbeitenden Systeme. Durch die Erweiterung werden Datenschutzkriterien in ein ISMS integriert und sind zukünftig auch zertifizierbar. Hierdurch entsteht ein ganzheitliches Managementsystem für „Informationssicherheit und Datenschutz“. Ziel ist es, ein PIMS (Privacy Information Management System) einzurichten, umzusetzen, aufrechtzuerhalten und kontinuierlich zu verbessern. 

Die ISO 27701 bietet einen Rahmenwerk, um personenbezogene Daten der Unternehmen zu schützen, basierend auf einer bestehenden ISO 27001 Zertifizierung. Zusätzlich beinhaltet die ISO 27701 auch Ergänzungen zur ISO 27002, dem Leitfaden zur Umsetzung der Maßnahmen aus dem Annex A der ISO 27001. 

 Anhand des Asset-Registers, sollte jedes Asset im Risikomanagement Risiko bewertet werden.  
Das Risikomanagement beinhaltet zukünftig auch die Risikobetrachtung aus Sicht des Datenschutzes. Das heißt, dass man sich Gedanken machen sollte, ob ein Asset Personen bezogenen Daten verarbeitet. 

Asset Inventory inkl. Datenschutzbewertung

Hierdurch werden mögliche Risiken systematisch erfasst, analysiert und bewertet. Darüber hinaus werden risikominimierende Maßnahmen definiert und erneut auf deren Wirksamkeit hin überprüft. 

Weitere Vorteile entstehen durch die klare Zuordnung von Verantwortlichkeiten, durch klar formulierte Richtlinien, die Einbeziehung der Belegschaft durch entsprechende Schulungen und ein einheitliches Incident-Management. 

Darüber hinaus unterstützt die ISO 27701 bei der Umsetzung des „Privacy by Design“ grundsätzlich und schafft hierdurch einen Compliance-konformen Datenschutz – ein wesentlicher Bestandteil einer gesetzes-konformen Kunden-, Lieferantenbeziehung. 

Durch die Erweiterung der ISO 27001 um die ISO 27701 können Unternehmen eine weitgehend datenschutzkonforme Informationssicherheit und eine Grundlage für ein späteres DSGVO-Audit gemäß Art. 42 etablieren. Aus diesem Grund macht es ggf. Sinn bei der Umsetzung der ISO 27001 auch direkt die ISO 27701 zu berücksichtigen.