Ein wesentlicher Unterschied zum Datenschutz – dem Schutz personenbezogener Daten (pbD) – ist, dass die Anforderungen der Anspruchsgruppe „Betroffene“ klar im Vordergrund stehen. Dies birgt Konfliktpotenzial.
Ist Ihnen der gelebte Datenschutz in Ihrer Organisation wichtig?
Dann ist die ISO 27701- Zertifizierungsfähigkeit für Ihr Unternehmen ein MUSS!
ISO 27701 wurde entwickelt, um einen Standard für Datenschutzkontrollen zu schaffen, der es einer Organisation in Verbindung mit einem ISMS (Information Security Management System) ermöglicht, ein effektives Datenschutzmanagement nachzuweisen.
Die ISO 27701 legt die Parameter für ein PIMS (Privacy Information Management System) in Bezug auf den Schutz der Privatsphäre und die Verarbeitung personenbezogener Daten fest. Die ISO 27701 kann als Ergänzung und Erweiterung zur ISO 27001 betrachtet werden.
Unterschied gegenüber pbD
Konfliktlösung
Ein Ausweg kann es sein, die klassischen Informationssicherheitsziele um ein viertes Ziel – den Schutz personenbezogener Daten – zu erweitern und es in allen relevanten Aspekten mit zu berücksichtigen.
Relevante Aspekte
Dies reicht von Sicherheitspolitik über alle etablierten Sicherheitsprozesse, alle relevanten organisatorischen und technischen Sicherheitsmaßnahmen bis hin zur Ausgestaltung von Vertragsbeziehungen zu Unterauftragnehmern oder Kunden.
Die neue 2. Norm ISO 27701
Wie diese Erweiterung systematisch umgesetzt werden kann und so zur Ausbalancierung der Anforderungskategorien Informationssicherheit und Datenschutz beiträgt, beschreibt die relativ neue 2 Norm ISO 27701.
Auch in Deutschland möglich
Eine Zertifizierung des erweiterten Managementsystems nach ISO 27701 auf Basis der ISO 27001/27002 ist mittlerweile auch in Deutschland möglich.
Die neue 2. Norm ISO 27701
Wie diese Erweiterung systematisch umgesetzt werden kann und so zur Ausbalancierung der Anforderungskategorien Informationssicherheit und Datenschutz beiträgt, beschreibt die relativ neue 2 Norm ISO 27701.
Auch in Deutschland möglich
Eine Zertifizierung des erweiterten Managementsystems nach ISO 27701 auf Basis der ISO 27001/27002 ist mittlerweile auch in Deutschland möglich.
ISO 27001 und ISO 27701 – im Kontext
Grundsätzlich erweitert die ISO 27701 ein bestehendes (nicht notwendigerweise zertifiziertes) Informationsmanagementsystem nach ISO 27001 und seine technische und organisatorische Umsetzung nach ISO 277024 zur Schaffung eines integrierten Managementsystems für Informationssicherheit und Datenschutz.
Um die Anforderungen zum Schutz personenbezogener Daten in ein bestehendes ISMS zu integrieren, sind zwei Ergänzungen im Managementrahmen nötig; ein gutes Drittel von Sicherheitsmaßnahmen erfährt Erweiterungen und bis zu 49 spezifische Maßnahmen können zusätzlich nötig werden. Muss-Anforderungen finden sich nur im Kern des Managementsystems der ISO 27001. Alle anderen Anforderungen sind Soll-Anforderungen, die bei entsprechender Begründung/mangelnder Relevanz entfallen.