Ende 2022 haben wir den Prozess der gleichzeitigen Erlangung der Zertifizierung durchlaufen ISO 27701, des Datenschutzstandards und Re-Zertifizierung für ISO 27001 , der Informationssicherheitsstandard. Letzteres Zertifikat besitzen wir seit über zehn Jahren erfolgreich. Und wir freuen uns nun, Ihnen mitteilen zu können, dass wir beide Zertifizierungen erfolgreich und ohne Abweichungen erhalten haben.
Warum haben wir versucht, zwei der anspruchsvollsten Standards gleichzeitig zu liefern und zu erreichen? Wir hören Ihre Frage! Wir haben beschlossen, unseren Worten Taten folgen zu lassen und unser neues Plattformangebot SPoT zu nutzen. Wir haben SPoT entwickelt, um die Implementierung von ISO 27001 und ISO 27701 durch die nahtlose Kombination eines Informationssicherheits-Managementsystems (ISMS) und eines Datenschutz-Informationsmanagementsystems (PIMS) zu einem „Single Point of Truth“, kurz SPoT, zu vereinfachen. Mehr über SPoT erfahren Sie in unserem früherer Blog.
Während der Projektabwicklung und Prüfung führte unser Team Tagebücher über seine Erfahrungen und Gedanken zur Einrichtung des PIMS und zur Rezertifizierung unseres ISMS, daher haben wir beschlossen, diese Erfahrungen mit Ihnen zu teilen. Wir hoffen, dass Sie es hilfreich und aufschlussreich finden. Wenn Sie Fragen haben, wenden Sie sich bitte an uns. Wir unterhalten uns gerne über alles, was mit Compliance zu tun hat.
Was ist ISO 27701?
Bevor wir uns mit den gelebten Erfahrungen des Aufbaus, der Vorbereitung und der Prüfung eines ISMS und PIMS befassen, ist es am besten, die Rahmenbedingungen festzulegen und genau aufzuschlüsseln, was ISO 27701 ist.
ISO 27701 ist eine Datenschutzerweiterung des ISO 27001-Standards, einem international anerkannten Rahmenwerk für das Informationssicherheitsmanagement. Der ISO 27701-Standard bietet Richtlinien und Anforderungen für die Implementierung und Aufrechterhaltung eines Privacy Information Management Systems (PIMS) innerhalb eines bestehenden Informationssicherheits-Managementsystems (ISMS).
Warum sollten Unternehmen die Implementierung von ISO 27701 in Betracht ziehen?
Obwohl es in der Szene relativ neu ist – es wurde im August 2019 eingeführt – erfreut es sich weltweit einer rasanten Popularität, und viele Organisationen haben sich dafür entschieden, den Standard anstelle geografisch regionaler Vorschriften wie z Datenschutz und POPIA, die weitgehend in die ISO 27701-Kontrollen integriert werden können.
Einfacher ausgedrückt hat die Wachstumsrate der digitalen Transformation dazu geführt, dass sensiblere Informationen online gespeichert und weitergegeben werden als je zuvor. Da diese Datenmengen immer weiter zunehmen, werden sie sowohl zu einem lukrativen Ziel für Cyberkriminelle als auch zu einem wichtigen Anliegen für Verbraucher und Unternehmen, ihre Sicherheit zu gewährleisten. Im gleichen Atemzug nimmt die Zunahme globaler Vorschriften wie DSGVO, CCPA usw. zu HIPAAbedeutet, dass Unternehmen auch gesetzlich dazu verpflichtet sind, die privaten Daten ihrer Kunden zu schützen. Insgesamt gibt es eine offensichtliche Entwicklung hin zu einer Compliance-Landschaft, in der es ohne Datenschutz keine Informationssicherheit mehr gibt.
Die Vorteile der Einführung von ISO 27701 gehen darüber hinaus über die Unterstützung von Organisationen bei der Erfüllung gesetzlicher und Compliance-Anforderungen hinaus. Dazu gehören die Demonstration von Verantwortlichkeit und Transparenz gegenüber Stakeholdern, die Verbesserung des Vertrauens und der Loyalität der Kunden, die Verringerung des Risikos von Datenschutzverletzungen und der damit verbundenen Kosten sowie die Steigerung der Wettbewerbsfähigkeit auf dem globalen Markt.
Wie wir uns effektiv auf unser ISO 27701-Audit vorbereitet haben
Wie bei jedem Projekt ist die Vorbereitung von entscheidender Bedeutung. Der Großteil Ihrer Aktivitäten in dieser Phase als Organisation wird den Erfolg Ihres abschließenden Zertifizierungsaudits beeinflussen. Sam Peters, unser Datenschutzbeauftragter, wusste das, nachdem er sich über zehn Jahre lang auf ISO 27001-Audits vorbereitet und diese durchgeführt hatte. Die Einführung einer neuen Norm, ISO 27701, und die gleichzeitige Neuzertifizierung für ISO 27001 waren jedoch Neuland für ihn und die Organisation , dem Auditor und der Zertifizierungsstelle. Sam gibt freimütig zu: „Das war nervenaufreibend.“
Jede Reise beginnt mit einem ersten Schritt
Der erste Schritt für Sam bestand darin, sich auf einen Zeitplan für das Projekt und ein Budget zu einigen. Für uns war es ein Zeitrahmen von sechs Monaten und ein knapper Turnaround, der aber auch sicherstellte, dass unser Führungsteam, das das Projekt initiiert hatte, von Anfang an voll involviert war und die Bedeutung der Einhaltung des Datenschutzes von Anfang an im Unternehmen verankerte . Es wurde auch davon ausgegangen, dass die Organisation während des Projekts weiterhin „Business as Usual“ liefern musste. Die Einrichtung eines ISMS und PIMS muss keine Vollzeitbeschäftigung sein, insbesondere wenn die richtige Technologieplattform Ihre Mitarbeiter und Prozesse auf diesem Weg unterstützt.
Die Entdeckungsphase
Der nächste Schritt für uns bestand darin, die neuen Kontrollen für ISO 27701 in unser bestehendes ISMS zu integrieren. Wir haben nicht bei Null angefangen, weil wir unser Produkt mit allen darin enthaltenen Standardinhalten verwendet haben. Es war unkompliziert, diesen Inhalt an die Bedürfnisse unserer spezifischen Organisation anzupassen. Einer der wesentlichen Vorteile der Arbeit mit der ISMS.online-Plattform besteht darin, dass Sie mit den darin enthaltenen Tools sofort einen Vorsprung haben.
Anschließend begannen wir ausführliche Gespräche mit allen relevanten Teams in unserem Unternehmen, von Personalwesen, Finanzen und Marketing bis hin zu Vertrieb und Erfolg, um zu verstehen, welche Daten wir hatten, wie sie sich im Unternehmen bewegten und welche Systeme verwendet wurden. Da wir bereits über ein ISMS verfügten, verfügten wir über eine Bestandsaufnahme der Vermögenswerte, die ein sehr nützliches Instrument war, um Gespräche mit jedem Team zu beginnen. Da wir auch bereits DSGVO-konform waren, hatten wir eine Aktivität zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten (ROPA) abgeschlossen, was uns wiederum bei Gesprächen mit allen Teams innerhalb des Unternehmens geholfen hat und uns klargestellt hat, dass unser ROPA unter ISO 27701 gelten würde Wir benötigen mehr Details als bisher, sodass wir einen klaren Arbeitsablauf haben, auf den wir uns sofort konzentrieren können.
Die internen Gespräche haben uns geholfen, fast sofort Bereiche zu identifizieren, in denen wir Verbesserungen vornehmen und Prozesse rationalisieren und vereinfachen können, beispielsweise wo wir Daten gespeichert haben und welche Systeme wir für den Zugriff und die Nutzung dieser Daten verwendet haben. Dies hat uns auch die zusätzlichen Vorteile der Verwendung von Frameworks wie ISO 27701 deutlich vor Augen geführt, da der Prozess zu einer Rationalisierung der Arbeitsabläufe führte und unsere betriebliche Effizienz noch weiter verbesserte.
Das Akronymbit
Der aktualisierte ROPA aus dieser Arbeit ermöglichte es uns, mit den Datenschutz-Folgenabschätzungen (DPIA) fortzufahren, wo wir diese anhand der von uns eingeführten Prozesse umsetzten. Dies führte zu einigen nützlichen Erkenntnissen darüber, wie wir dies als Organisation getan haben, da dies nicht etwas ist, was Menschen häufig tun. Uns wurde klar, dass es für den Erfolg von entscheidender Bedeutung ist, dass jeder, der dazu verpflichtet ist, die Vorlage nutzen und mit begrenzter Erfahrung eine umsetzbare und wertvolle Datenschutz-Folgenabschätzung erstellen kann. Dies würde auch demokratisieren, wer sie durchführen könnte, und die Arbeitsbelastung für unsere breiteren Infosec-Teammitglieder verringern.
Für Sam wurde durch diesen Prozess auch deutlich, wie wichtig es ist, so früh wie möglich über den Datenschutz innerhalb einer Arbeit oder eines Projekts nachzudenken. Es ist weitaus einfacher, unter Berücksichtigung des Datenschutzes zu planen, als hinterher noch einmal zu versuchen, etwas zu ändern oder zu reparieren, wenn sich die Informationen möglicherweise bereits in einem System befinden oder Sie möglicherweise einen Vertrag mit einem Lieferanten unterzeichnet haben.
Die Idee des „Privacy by Design“ ist für jedes Unternehmen von wesentlicher Bedeutung, das eine Kultur des Datenschutzes und der Einhaltung der wachsenden Zahl von Datenschutzgesetzen verankern möchte. Es ist jetzt Teil der ISO 27001- und 27701-Kontrollen.
Power to the People
Die bisherige Arbeit führte uns natürlich in die Mitarbeiterschulung. Das ISO 27701-Framework dient ebenso wie das ISO 27001-Framework mehr als nur der Gewährleistung technischer Schutzmaßnahmen. Ziel ist es, eine Kultur der Privatsphäre und Sicherheit innerhalb einer Organisation zu verankern. Und in der Tat, wenn Sie sich die Arbeit machen, ein PIMS zu erstellen, würde Ihnen ein erheblicher Trick entgehen, um nicht sicherzustellen, dass Ihre Mitarbeiter ihre Rolle bei der Bereitstellung eines effektiven Datenschutzes verstehen. Es ist auch wahrscheinlich, dass Sie bei einem Audit durchfallen, wenn der Prüfer einen Mitarbeiter zur Teilnahme auffordert und dieser Fragen zu den Prozessen, die Sie mit Ihrem PIMS einrichten, nicht sicher beantworten kann.
Für Sam war es ein wesentlicher Erfolgsfaktor, den Datenschutz für die Mitarbeiter und ihre Rollen relevant zu machen. Es war wichtig, den Mitarbeitern die Möglichkeit zu geben, zu erkennen, welche Verantwortung sie für den Datenschutz tragen und welche Auswirkungen er darauf hat. Die Kontextualisierung der Richtlinien und Verfahren der Organisation zur Verwaltung von Datenschutzinformationen und zur Wahrung von Vertraulichkeit und Datenschutz innerhalb bestimmter Rollen war eine Arbeit, die zwar zeitaufwändig war, aber das Verständnis und die Umsetzung im gesamten Unternehmen verbesserte. Diese Aktivität erstreckte sich dann auf externe Schulungen, die Aktualisierung unserer Datenschutzrichtlinien und die Erstellung spezifischer Datenschutzrichtlinien für Mitarbeiter und potenzielle Kandidaten während der Einstellung.
Sagen Sie uns, was Sie wirklich denken
Der vorletzte Schritt, den wir vor dem Audit unternommen haben, war die Durchführung eines interne Anhörung unseres PIMS. Dieser Prozess war von entscheidender Bedeutung, um sicherzustellen, dass das PIMS wie vorgesehen funktionierte, die Anforderungen der Norm ISO 27701 erfüllte und vor dem Zertifizierungsaudit Bereiche für weitere Verbesserungen identifizierte. Unser Datenschutzbeauftragter, Sam, forderte den internen Prüfer auf, besonders streng mit uns umzugehen, und das war er auch. Dies war eine unschätzbar wertvolle Gelegenheit, alle Probleme auszuräumen, sodass wir mit Zuversicht an das Zertifizierungsaudit herangehen konnten, mit dem Wissen, dass unser PIMS die strengen Anforderungen erfüllte und das liefern würde, was der Auditor erwarten würde.
Schließlich haben wir in Vorbereitung auf das Audit genau darüber nachgedacht, wie wir unser PIMS dem Auditor präsentieren und wie wir bei Bedarf andere Personen aus dem Unternehmen in das Audit einbeziehen würden, um sicherzustellen, dass wichtige Mitglieder verfügbar sind, und um die breite Öffentlichkeit zu informieren Informieren Sie das Unternehmen darüber, was von ihm erwartet wird, und stellen Sie sicher, dass es sich informiert und vorbereitet fühlt, falls es dazu aufgefordert wird.
Was Sie bei einem ISO 27701-Audit erwarten können
Während des Audits möchte der Prüfer einige Schlüsselbereiche Ihres PIMS überprüfen, wie zum Beispiel:
- Die Richtlinien, Verfahren und Prozesse Ihrer Organisation zur Verwaltung personenbezogener Daten
- Bewerten Sie Ihre Datenschutzrisiken und geeigneten Kontrollen, um zu beurteilen, ob Ihre Kontrollen die identifizierten Risiken wirksam mindern.
- Bewerten Sie Ihre Privatsphäre Vorfallmanagement. Ist Ihre Fähigkeit, Datenschutzvorfälle zu erkennen, zu melden, zu untersuchen und darauf zu reagieren, ausreichend?
- Untersuchen Sie Ihr Datenschutzmanagement für Drittanbieter, um sicherzustellen, dass angemessene Kontrollen zur Bewältigung der Risiken Dritter vorhanden sind
- Überprüfen Sie, ob Ihr Datenschutzschulungsprogramm Ihre Mitarbeiter ausreichend in Datenschutzfragen schult
- Überprüfen Sie die Leistungskennzahlen Ihrer Organisation, um zu bestätigen, ob sie die Datenschutzziele erfüllen.
Neben diesen konsistenten Bereichen, die überprüft werden müssen, gibt es noch weitere Punkte zu berücksichtigen, beispielsweise die Art und Weise, wie Sie mit dem Prüfer zusammenarbeiten. Sie sind da, um die Einhaltung der Vorschriften zu ermitteln, und Sie sind da, um ihnen zu zeigen, wie Sie diese Anforderungen erfüllen. Daher wird es für den Prüfer hilfreich sein, das Gespräch zu leiten und ihn durch die Schlüsselbereiche zu führen und ihm zu ermöglichen, die zusätzlichen Routen und Aktivitäten zu identifizieren, die er überprüfen möchte. Es sollte ein gemeinschaftlicher Prozess sein.
Warum ISO 27701 niemals ein Tick-Box-Prozess sein sollte
Ein Teil des ISMS.online Der Ethos ist, dass einfache, nachhaltige Informationssicherheit und Datenschutz durch Menschen, Prozesse und Technologie erreicht werden. Ein reiner Technologieansatz wird niemals erfolgreich sein.
Compliance allein ist kein Garant für ein wirksames Datenschutzmanagement. Bei einem reinen Technologieansatz liegt der Schwerpunkt auf der Erfüllung der Mindestanforderungen des Standards und nicht auf der langfristigen effektiven Bewältigung von Datenschutzrisiken. Mit Ihren Mitarbeitern und Prozessen sowie einem robusten Technologie-Setup sind Sie der Konkurrenz einen Schritt voraus und verbessern die Effektivität Ihres Datenschutzes im Vergleich zu denen, die auf Technologie für eine schnelle, aber vorübergehende Lösung angewiesen sind, erheblich.
Was man als Tick-Box-Ansatz bezeichnen könnte, führt oft zu Folgendem:
- Nehmen Sie eine oberflächliche Risikobewertung vor, bei der möglicherweise erhebliche Datenschutzrisiken außer Acht gelassen werden
- Ignorieren Sie die Datenschutzbedenken wichtiger Stakeholder
- Bieten Sie allgemeine Datenschutzschulungen an, die nicht auf die spezifischen Bedürfnisse der Organisation zugeschnitten sind
- Führen Sie eine eingeschränkte Überwachung und Überprüfung der Datenschutzkontrollen durch, was zu unerkannten Datenschutzvorfällen führen kann
All dies setzt Unternehmen potenziell schädlichen Verstößen, finanziellen Strafen und Reputationsschäden aus.
ISO 27701-Roadmap – Jetzt herunterladen
Wir haben eine praktische einseitige Roadmap erstellt, die in fünf Hauptschwerpunkte unterteilt ist, um ISO 27701 in Ihrem Unternehmen zu erreichen und zu erreichen. Es muss kein Formular ausgefüllt werden. Laden Sie das PDF noch heute herunter, um einen einfachen Kickstarter auf Ihrem Weg zu einem effektiveren Datenschutz zu erhalten.
Laden Sie den WHS jetzt kostenlos herunter
Nutzen Sie unseren ISO 27701-Compliance-Vorteil gleich zum ersten Mal
Für uns hier bei ISMS.online war es ein bedeutender Moment, die Zertifizierung nach ISO 27701 und die erneute Zertifizierung nach ISO 27001 zum ersten Mal zu erreichen, ohne dass es zu Abweichungen kam. Wir hatten nicht nur eine Branchenneuheit erreicht, sondern waren auch mit unserem brandneuen Plattformangebot SPoT erfolgreich.
Aber in diesem Prozess ging es nicht nur um uns. Es ging um unser „Warum“. Warum tun wir, was wir tun? Einfache, sichere und nachhaltige Sicherheit soll für alle möglich sein. Deshalb. Gibt es also einen besseren Weg, jedem da draußen, der einen effektiveren Datenschutz und eine bessere Informationssicherheit erreichen möchte, zu zeigen, dass dies möglich ist, als durch Maßnahmen? Wir haben den Prozess miterlebt und möchten diese Erfahrungen, Erkenntnisse und Werkzeuge mit anderen teilen.
Wir könnten auf die vielen Möglichkeiten eingehen, wie SPoT uns alle Materialien und Werkzeuge zur Verfügung gestellt hat, die wir für unseren Erfolg brauchten, angefangen bei seinem 81-prozentigen Vorsprung, der „Assured Results Method“, dem Katalog von Dokumentationen, die übernommen, angepasst oder hinzugefügt werden können Unser virtueller Coach steht Ihnen jederzeit zur Verfügung. Stattdessen laden wir Sie ein, sich selbst davon zu überzeugen und die Vorteile aus erster Hand zu erkennen. Fordern Sie noch heute einen Anruf bei einem unserer Experten an.
