Unternehmen sollten ein Informationssicherheitsmanagementsystem (ISMS) einführen, um ein hohes Datenschutzniveau zu gewährleisten. Die Norm ISO 27001 kann ein solches ISMS zertifizieren. Die Vorteile einer solchen Zertifizierung sowie die Unterscheidung zwischen ISO 27001 und ISO 27701.
ISO 27001 ist eine Norm der Internationalen Organisation für Normung (ISO), die die Standards für ein Informationssicherheitsmanagementsystem (ISMS) für Unternehmen, Behörden und gemeinnützige Organisationen festlegt. Ein ISMS definiert die Prozesse und Richtlinien für die Verwaltung und den Schutz von Informationen (einschließlich personenbezogener Daten).
Die Aufgaben eines ISMS sind zum Beispiel:
Nach Artikel 32 der Datenschutz-Grundverordnung sind Unternehmen bereits verpflichtet, ein Verwaltungssystem für die Verarbeitung personenbezogener Daten einzurichten. Um die Produktivität zu verbessern, ist es sinnvoll, ein Verwaltungssystem für alle Informationen, ob personenbezogen oder nicht, digital oder auf Papier, einzuführen.
ISO 27001 listet etwa 150 Standards und Maßnahmen für ein ISMS auf, die für jedes Unternehmen oder jede Organisation angepasst werden können. Diese Standards und Maßnahmen können geändert werden, um sie an die Bedürfnisse des jeweiligen Unternehmens oder der jeweiligen Organisation anzupassen.
Was sind die Vorteile einer ISO 27001-Zertifizierung?
Wenn die Anforderungen der Norm erfüllt sind, besteht die Möglichkeit der Zertifizierung durch eine unabhängige Zertifizierungsstelle. Sie können sich direkt nach ISO 27001 zertifizieren lassen oder eine „ISO 27001-Zertifizierung auf Basis von IT-Grundschutz“ durchführen lassen. Die zweite Möglichkeit ist komplizierter, aber auch sinnvoller.
Die Unternehmen profitieren von der Zertifizierung auf folgende Weise:
Was genau ist die Erweiterung ISO 27701?
Die Normen ISO 27001 und ISO 27701 unterscheiden sich im Namen nur durch eine Zahl und sind auch ständig miteinander verbunden. ISO 27701 ist eine Erweiterung von ISO 27001, die auch den Datenschutz einbezieht. Sie befasst sich nicht mehr nur mit der Informationssicherheit, sondern auch mit dem Datenschutz.
ISO 27701 bezieht sich also auf die Verarbeitung personenbezogener Daten. Um die ISO 27701 zu erfüllen, müssen alle Kriterien der ISO 27001 erfüllt sein. Dies verdeutlicht die enge Beziehung zwischen Informationssicherheit und Datenschutz.
Ist ISO 27701 für den Datenschutz zertifizierbar?
Ist die ISO 27701-Zertifizierung die lang erwartete Bestätigung der Einhaltung der Datenschutzvorschriften? Artikel 42 der Datenschutz-Grundverordnung fordert die Einführung einer Zertifizierung, um sicherzustellen, dass die Datenschutzvorschriften am Arbeitsplatz eingehalten werden.
Deshalb fordern die Datenschutzbehörden seit der Umsetzung der DSGVO einen länderübergreifenden Zertifizierungsmechanismus mit Standardbewertung.
Leider wird ISO 27701 das Problem nicht vollständig lösen, da die Norm nicht mit der gesamten Datenschutz-Grundverordnung verglichen werden kann. Obwohl die Datenschutz-Grundverordnung erhebliche Auswirkungen auf ISO 27701 hat, ist sie weniger umfassend. Mit anderen Worten: ISO 27701 könnte als ein wichtiger Schritt in Richtung eines praktischen und durchsetzbaren Datenschutzes angesehen werden, aber es ist vielleicht nicht der einzige.