So weisen Sie die Einhaltung von Artikel 32 der DSGVO nach

Technischer Kommentar

Artikel 32 der DSGVO verlangt von Organisationen, bei der Datenverarbeitung einen risikobasierten Ansatz zu verfolgen, der mehrere Schlüsselvariablen berücksichtigt:

• Eine gründliche Risikobewertung, die die versehentliche oder unrechtmäßige Zerstörung oder Änderung personenbezogener Daten, den Zugriff auf Daten und die Art und Weise der Datenverwaltung berücksichtigt.
• Erforschung technischer Maßnahmen, die das Risiko im gesamten Unternehmen mindern.
• Implementierung von Techniken und Maßnahmen zur Bewältigung etwaiger Risiken am wahrscheinlichsten auftreten.
• Verhaltenskodizes, die die Organisation und die darin tätigen Personen für ihr Handeln im Umgang mit Daten zur Rechenschaft ziehen.
• Garantiert den betroffenen Personen, dass jeder, der mit ihren Daten interagiert, dies auf angemessene und rechtmäßige Weise tut.

ISO 27701 Abschnitt 5.2.1 (Die Organisation und ihren Kontext verstehen) und EU-DSGVO Artikel 32 (3)

Organisationen müssen sich einem Mapping unterziehen, das sowohl interne als auch externe Faktoren im Zusammenhang mit der Implementierung eines PIMS auflistet.

Die Organisation muss in der Lage sein, zu verstehen, wie sie ihre Datenschutzergebnisse erreichen will, und alle Probleme, die dem Schutz personenbezogener Daten im Wege stehen, sollten identifiziert und angegangen werden.

Bevor Organisationen versuchen, sich mit dem Schutz der Privatsphäre zu befassen und eine PII zu implementieren, müssen sie sich zunächst über ihre Pflichten als alleiniger oder gemeinsamer PII-Verantwortlicher und/oder -Verarbeiter informieren.

Dies beinhaltet:

• Überprüfung aller geltenden Datenschutzgesetze, -vorschriften oder „gerichtlichen Entscheidungen“.
• Berücksichtigung der einzigartigen Anforderungen der Organisation in Bezug auf die Art der von ihr verkauften Produkte und Dienstleistungen sowie unternehmensspezifischer Governance-Dokumente, Richtlinien und Verfahren.
• Alle administrativen Faktoren, einschließlich des Tagesgeschäfts des Unternehmens.
• Vereinbarungen oder Dienstleistungsverträge mit Dritten, die möglicherweise Auswirkungen auf personenbezogene Daten und den Schutz der Privatsphäre haben.

ISO 27701 Abschnitt 5.2.3 (Bestimmung des Umfangs des Informationssicherheits-Managementsystems) und EU-DSGVO Artikel 32 (2)

ISO empfiehlt eine gründliche Scoping-Übung, damit Unternehmen in der Lage sind, ein PIMS zu erstellen, das erstens seine Datenschutzanforderungen erfüllt und zweitens nicht in Bereiche des Unternehmens eindringt, die keiner Aufmerksamkeit bedürfen.

Organisationen sollten Folgendes festlegen und dokumentieren:

1. Alle externen oder internen Probleme, wie in ISO 27001 4.1 beschrieben.
2. Anforderungen Dritter gemäß ISO 27001 4.2.
3. Wie die Organisation sowohl mit sich selbst als auch mit externen Stellen interagiert (z. B. Kundenkontaktpunkte, IKT-Schnittstellen).

Alle Scoping-Übungen, die eine PIMS-Implementierung abbilden, sollten eine gründliche Bewertung der PII-Verarbeitungs- und Speicheraktivitäten umfassen.

ISO 27701 Abschnitt 5.2.4 (Informationssicherheits-Managementsystem) und EU-DSGVO Artikel 32 (2)

Organisationen sollten versuchen, ein Privacy Information Management System (PIMS) im Einklang mit veröffentlichten ISO-Standards zu implementieren, zu verwalten und zu optimieren.

ISO 27701 Abschnitt 5.4.1.2 (Risikobewertung der Informationssicherheit) und EU-DSGVO Artikel 32 (1)(b) und 32 (2)

Organisationen sollten einen Risikobewertungsprozess für den Datenschutz entwerfen und implementieren, der:

• Enthält Risikoakzeptanzkriterien für die Durchführung von Datenschutzbewertungen.
• Bietet einen Rahmen für die vergleichbare Analyse aller Datenschutzbewertungen.
• Identifiziert Datenschutzrisiken (und deren Eigentümer).
• Berücksichtigt die Gefahren und Risiken, die mit dem Verlust der „Vertraulichkeit, Verfügbarkeit und Integrität“ personenbezogener Daten verbunden sind.
• Analysiert Datenschutzrisiken anhand von drei Faktoren:
• Ihre möglichen Konsequenzen.
• Die Wahrscheinlichkeit, dass sie auftreten.
• Ihre Schwere.
• analysiert und priorisiert alle identifizierten Risiken entsprechend ihrer Risikostufe.

ISO 27701 Abschnitt 5.4.1.3 (Behandlung von Informationssicherheitsrisiken) und EU-DSGVO Artikel (32)(1)(b)

Organisationen sollten einen Datenschutz-/PII-„Risikobehandlungsprozess“ entwerfen und implementieren, der:

• Implementieren Sie einen „Risikobehandlungsplan“ zum Schutz der Privatsphäre.
• Legt fest, wie ein PIMS anhand einer Reihe von Bewertungsergebnissen mit einzelnen Risikostufen umgehen soll.
• Hebt eine Reihe von Kontrollen hervor, die zur Implementierung der Behandlung von Datenschutzrisiken erforderlich sind.
• Vergleichen Sie alle identifizierten Kontrollen mit der umfassenden Liste der ISO in Anhang A von ISO 27001.
• Dokumentieren und begründen Sie die Verwendung aller verwendeten Kontrollen in einer formellen „Anwendbarkeitserklärung“.
• Holen Sie die Genehmigung aller Risikoverantwortlichen ein, bevor Sie einen Plan zur Behandlung von Datenschutzrisiken fertigstellen, der alle „verbleibenden“ Datenschutz- und PII-Risiken umfasst.

ISO 27701 Abschnitt 6.11.1.2 (Sicherheit in Entwicklungs- und Supportprozessen) und EU-DSGVO Artikel 32 (1)(a)

Anwendungssicherheitsverfahren sollten parallel zu umfassenderen Datenschutzrichtlinien entwickelt werden, in der Regel über eine strukturierte Risikobewertung, die mehrere Variablen berücksichtigt.

Zu den Anforderungen an die Anwendungssicherheit sollten Folgendes gehören:

• Die allen Netzwerkeinheiten innewohnenden Vertrauensniveaus (siehe ISO 27002 Kontrollen 5.17, 8.2 und 8.5).
• Die Klassifizierung der Daten, für deren Verarbeitung die Anwendung konfiguriert ist (einschließlich personenbezogener Daten).
• Eventuelle Trennungsanforderungen.
• Schutz vor internen und externen Angriffen und/oder böswilliger Nutzung.
• Alle geltenden gesetzlichen, vertraglichen oder behördlichen Anforderungen.
• Robuster Schutz vertraulicher Informationen.
• Daten, die während der Übertragung geschützt werden sollen.
• Alle kryptografischen Anforderungen.
• Sichere Ein- und Ausgabekontrollen.
• Minimaler Einsatz uneingeschränkter Eingabefelder – insbesondere solcher, die das Potenzial zur Speicherung personenbezogener Daten bergen.
• Der Umgang mit Fehlermeldungen, einschließlich klarer Kommunikation von Fehlercodes.

Transaktionsdienste, die den Fluss von Datenschutzdaten zwischen der Organisation und einer Drittorganisation oder Partnerorganisation erleichtern, sollten:

1. Stellen Sie ein angemessenes Maß an Vertrauen zwischen den Identitäten der Organisation her.
2. Integrieren Sie Mechanismen, die die Vertrauenswürdigkeit zwischen etablierten Identitäten prüfen (z. B. Hashing und digitale Signaturen).
3. Skizzieren Sie robuste Verfahren, die regeln, welche Mitarbeiter wichtige Transaktionsdokumente verwalten dürfen.
4. Enthalten Dokumenten- und Transaktionsmanagementverfahren, die die Vertraulichkeit, Integrität, Versand- und Empfangsnachweise wichtiger Dokumente und Transaktionen abdecken.
5. Fügen Sie spezifische Anleitungen zur Wahrung der Vertraulichkeit von Transaktionen hinzu.

Für alle Anwendungen, die elektronische Bestellungen und/oder Zahlungen beinhalten, sollten Organisationen:

• Legen Sie strenge Anforderungen an den Schutz von Zahlungs- und Bestelldaten fest.
• Überprüfen Sie die Zahlungsinformationen, bevor Sie eine Bestellung aufgeben.
• Speichern Sie transaktions- und datenschutzbezogene Daten sicher und für die Öffentlichkeit unzugänglich.
• Nutzen Sie bei der Implementierung digitaler Signaturen vertrauenswürdige Autoritäten und achten Sie stets auf den Schutz der Privatsphäre.

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.17
• ISO 27002 8.2
• ISO 27002 8.5

ISO 27701 Klausel 6.12.1.2 (Adressierung der Sicherheit in Lieferantenvereinbarungen) und EU-DSGVO Artikel 32 (1)(b)

Beim Thema Sicherheit innerhalb von Lieferantenbeziehungen sollten Organisationen sicherstellen, dass beide Parteien sich ihrer Verpflichtungen in Bezug auf die Sicherheit von Datenschutzinformationen und untereinander bewusst sind.

Dabei sollten Organisationen:

• Bieten Sie eine klare Beschreibung an, in der detailliert beschrieben wird, auf welche Datenschutzinformationen zugegriffen werden muss und wie auf diese Informationen zugegriffen werden soll.
• Klassifizieren Sie die Datenschutzinformationen, auf die zugegriffen werden soll, gemäß einem anerkannten Klassifizierungsschema (siehe ISO 27002-Kontrollen 5.10, 5.12 und 5.13).
• Berücksichtigen Sie angemessen das eigene Klassifizierungssystem des Lieferanten.
• Kategorisieren Sie Rechte in vier Hauptbereiche – gesetzlich, gesetzlich, behördlich und vertraglich – mit einer detaillierten Beschreibung der Pflichten pro Bereich.
• Stellen Sie sicher, dass jede Partei verpflichtet ist, eine Reihe von Kontrollen einzuführen, mit denen die Risikostufen für die Sicherheit von Datenschutzinformationen überwacht, bewertet und verwaltet werden.
• Erläutern Sie die Notwendigkeit, dass Lieferantenpersonal die Informationssicherheitsstandards einer Organisation einhalten muss (siehe ISO 27002 Control 5.20).
• Ermöglichen Sie ein klares Verständnis darüber, was sowohl eine akzeptable als auch eine inakzeptable Nutzung von Datenschutzinformationen sowie physischen und virtuellen Vermögenswerten beider Parteien darstellt.
• Setzen Sie Autorisierungskontrollen ein, die für Mitarbeiter auf Lieferantenseite erforderlich sind, um auf die Datenschutzinformationen einer Organisation zuzugreifen oder diese anzuzeigen.
• Berücksichtigen Sie, was im Falle einer Vertragsverletzung oder der Nichteinhaltung einzelner Bestimmungen geschieht.
• Skizzieren Sie ein Vorfallmanagementverfahren, einschließlich der Art und Weise, wie wichtige Ereignisse kommuniziert werden.
• Stellen Sie sicher, dass das Personal eine Schulung zum Sicherheitsbewusstsein erhält.
• (Wenn es dem Lieferanten gestattet ist, Subunternehmer einzusetzen) fügen Sie Anforderungen hinzu, um sicherzustellen, dass Subunternehmer denselben Sicherheitsstandards für Datenschutzinformationen unterliegen wie der Lieferant.
• Überlegen Sie, wie Lieferantenpersonal überprüft wird, bevor es mit Datenschutzinformationen interagiert.
• Legen Sie die Notwendigkeit von Bescheinigungen Dritter fest, die die Fähigkeit des Lieferanten belegen, die organisatorischen Datenschutzanforderungen an die Informationssicherheit zu erfüllen.
• Sie haben das vertragliche Recht, die Verfahren eines Lieferanten zu prüfen.
• Fordern Sie Lieferanten auf, Berichte vorzulegen, in denen die Wirksamkeit ihrer eigenen Prozesse und Verfahren detailliert beschrieben wird.
• Konzentrieren Sie sich darauf, Maßnahmen zu ergreifen, um die rechtzeitige und gründliche Lösung etwaiger Mängel oder Konflikte zu erreichen.
• Stellen Sie sicher, dass Lieferanten mit einer angemessenen BUDR-Richtlinie arbeiten, um die Integrität und Verfügbarkeit personenbezogener Daten und datenschutzbezogener Vermögenswerte zu schützen.
• Fordern Sie eine Änderungsmanagementrichtlinie auf Lieferantenseite an, die die Organisation über alle Änderungen informiert, die möglicherweise Auswirkungen auf den Datenschutz haben.
• Implementieren Sie physische Sicherheitskontrollen, die proportional zur Sensibilität der gespeicherten und verarbeiteten Daten sind.
• (Wo Daten übertragen werden sollen) Bitten Sie Lieferanten, sicherzustellen, dass Daten und Vermögenswerte vor Verlust, Beschädigung oder Korruption geschützt sind.
• Erstellen Sie eine Liste der von beiden Parteien im Falle einer Kündigung zu ergreifenden Maßnahmen.
• Bitten Sie den Lieferanten, darzulegen, wie er die Datenschutzinformationen nach der Kündigung vernichten will oder ob die Daten nicht mehr benötigt werden.
• Ergreifen Sie Maßnahmen, um eine minimale Betriebsunterbrechung während der Übergabezeit sicherzustellen.

Organisationen sollten außerdem eine Register der Vereinbarungen, in der alle mit anderen Organisationen getroffenen Vereinbarungen aufgeführt sind.

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 Abschnitt 6.15.2.1 (Unabhängige Überprüfung der Informationssicherheit) und EU-DSGVO Artikel 32

In diesem Abschnitt sprechen wir über die Artikel 32 (1)(b), 32 (1)(d), 32 (2) der DSGVO.

Organisationen sollten Prozesse entwickeln, die eine unabhängige Überprüfung ihrer Datenschutzpraktiken zur Informationssicherheit ermöglichen, einschließlich sowohl themenspezifischer als auch allgemeiner Richtlinien.

Überprüfungen sollten durchgeführt werden von:

• Interne Auditoren.
• Unabhängige Abteilungsleiter.
• Spezialisierte Drittorganisationen.

Überprüfungen sollten unabhängig sein und von Personen durchgeführt werden, die über ausreichende Kenntnisse der Datenschutzrichtlinien und der eigenen Verfahren der Organisation verfügen.

Prüfer sollten feststellen, ob die Datenschutzpraktiken zur Informationssicherheit den „dokumentierten Zielen und Anforderungen“ der Organisation entsprechen.

Neben strukturierten regelmäßigen Überprüfungen müssen Unternehmen möglicherweise auch Ad-hoc-Überprüfungen durchführen, die durch bestimmte Ereignisse ausgelöst werden, darunter:

• Nach Änderungen interner Richtlinien, Gesetze, Richtlinien und Vorschriften, die sich auf den Datenschutz auswirken.
• Nach größeren Vorfällen, die Auswirkungen auf den Datenschutz haben.
• Immer wenn ein neues Unternehmen gegründet wird oder größere Änderungen am aktuellen Unternehmen vorgenommen werden.
• Nach der Einführung eines neuen Produkts oder einer neuen Dienstleistung, die sich in irgendeiner Weise mit dem Schutz der Privatsphäre befasst.

ISO 27701 Abschnitt 6.15.2.3 (Technical Compliance Review) und EU-DSGVO Artikel 32 (1)(d) und (32)(2)

Unternehmen müssen sicherstellen, dass das Personal in der Lage ist, Datenschutzrichtlinien im gesamten Spektrum des Geschäftsbetriebs einzusehen.

Das Management sollte technische Methoden für die Berichterstattung über die Einhaltung der Datenschutzvorschriften entwickeln (einschließlich Automatisierung und maßgeschneiderter Tools). Berichte sollten aufgezeichnet, gespeichert und analysiert werden, um die Bemühungen zur PII-Sicherheit und zum Schutz der Privatsphäre weiter zu verbessern.

Wenn Compliance-Probleme entdeckt werden, sollten Unternehmen:

• Stellen Sie die Ursache fest.
• Entscheiden Sie sich für eine Korrekturmaßnahme zum Schließen und Schließen von Compliance-Lücken.
• Überprüfen Sie das Problem nach einer angemessenen Zeit erneut, um sicherzustellen, dass das Problem behoben ist.

Es ist von entscheidender Bedeutung, so schnell wie möglich Korrekturmaßnahmen zu ergreifen. Wenn Probleme bis zum Zeitpunkt der nächsten Überprüfung nicht vollständig gelöst sind, sollten zumindest Nachweise vorgelegt werden, die belegen, dass Fortschritte erzielt werden.

ISO 27701 Abschnitt 6.5.2.1 (Klassifizierung von Informationen) und EU-DSGVO Artikel (32)(2)

Anstatt alle gespeicherten Informationen gleichzustellen, sollten Organisationen die Informationen themenspezifisch klassifizieren.

Informationseigentümer sollten bei der Klassifizierung von Daten (insbesondere in Bezug auf PII) vier Schlüsselfaktoren berücksichtigen, die regelmäßig überprüft werden sollten, oder wenn sich solche Faktoren ändern:

1. Das Vertraulichkeit der Daten.
2. Das Integrität der Daten.
3. Datum Verfügbarkeit Ebenen.
4. Die der Organisation gesetzliche Verpflichtungen Richtung PII.

Um einen klaren operativen Rahmen zu schaffen, sollten Informationskategorien entsprechend der inhärenten Risikostufe benannt werden, falls Vorfälle auftreten, die einen der oben genannten Faktoren beeinträchtigen.

Um die plattformübergreifende Kompatibilität sicherzustellen, sollten Organisationen ihre Informationskategorien allen externen Mitarbeitern zugänglich machen, mit denen sie Informationen teilen, und sicherstellen, dass das eigene Klassifizierungsschema der Organisation von allen relevanten Parteien allgemein verstanden wird.

Organisationen sollten sich davor hüten, Daten entweder zu niedrig oder umgekehrt zu klassifizieren. Ersteres kann zu Fehlern bei der Gruppierung personenbezogener Daten in weniger sensible Datentypen führen, während Ersteres häufig zu zusätzlichen Kosten, einem größeren Risiko menschlicher Fehler und Verarbeitungsanomalien führt.

ISO 27701 Abschnitt 6.5.3.1 (Verwaltung von Wechselmedien) und EU-DSGVO Artikel 32 (1)(a)

Bei der Entwicklung von Richtlinien, die den Umgang mit Medienbeständen im Zusammenhang mit der Speicherung personenbezogener Daten regeln, sollten Organisationen Folgendes tun:

• Entwickeln Sie einzigartige themenspezifische Richtlinien basierend auf abteilungs- oder berufsbezogenen Anforderungen.
• Stellen Sie sicher, dass die entsprechende Genehmigung eingeholt und erteilt wird, bevor das Personal Speichermedien aus dem Netzwerk entfernen kann (einschließlich der Führung einer genauen und aktuellen Aufzeichnung dieser Aktivitäten).
• Lagern Sie Medien gemäß den Herstellerangaben und frei von Umweltschäden.
• Erwägen Sie den Einsatz von Verschlüsselung als Voraussetzung für den Zugriff oder die Implementierung zusätzlicher physischer Sicherheitsmaßnahmen, wenn dies nicht möglich ist.
• Minimieren Sie das Risiko, dass personenbezogene Daten beschädigt werden, indem Sie Informationen wie erforderlich zwischen Speichermedien übertragen.
• Führen Sie PII-Redundanz ein, indem Sie geschützte Informationen auf mehreren Assets gleichzeitig speichern.
• Genehmigen Sie die Verwendung von Speichermedien nur an genehmigten Eingängen (z. B. SD-Karten und USB-Anschlüsse) für jedes einzelne Gerät.
• Überwachen Sie die Übertragung personenbezogener Daten auf Speichermedien zu jedem Zweck genau.
• Berücksichtigen Sie die Risiken, die mit der physischen Übertragung von Speichermedien (und stellvertretend auch der darauf enthaltenen PII) verbunden sind, wenn Sie Vermögenswerte zwischen Personal oder Räumlichkeiten bewegen (siehe ISO 27002-Kontrolle 5.14).

Bei der Umnutzung, Wiederverwendung oder Entsorgung von Speichermedien sollten strenge Verfahren eingeführt werden, um sicherzustellen, dass personenbezogene Daten in keiner Weise beeinträchtigt werden, einschließlich:

• Formatieren Sie die Speichermedien und stellen Sie sicher, dass alle PII vor der Wiederverwendung entfernt werden (siehe ISO 27002 Control 8.10), einschließlich der Aufrechterhaltung einer angemessenen Dokumentation aller dieser Aktivitäten.
• Sichere Entsorgung aller Medien, für die die Organisation keine weitere Verwendung hat und die zur Speicherung personenbezogener Daten verwendet wurden.
• Wenn die Entsorgung die Einschaltung Dritter erfordert, sollten Organisationen große Sorgfalt darauf verwenden, sicherzustellen, dass sie ein geeigneter und geeigneter Partner für die Erfüllung dieser Aufgaben sind, im Einklang mit der Verantwortung der Organisation für personenbezogene Daten und den Schutz der Privatsphäre.
• Implementierung von Verfahren, die ermitteln, welche Speichermedien zur Wiederverwendung verfügbar sind oder entsprechend entsorgt werden können.

Wenn Geräte, die zur Speicherung personenbezogener Daten verwendet wurden, beschädigt werden, sollten Organisationen sorgfältig abwägen, ob es angemessener ist, diese Medien zu vernichten oder sie zur Reparatur einzusenden (wobei Ersteres einen Fehler macht).

ISO warnt Organisationen davor, unverschlüsselte Speichergeräte zu verwenden jedem PII-bezogene Aktivitäten.

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.14

ISO 27701 Abschnitt 6.5.3.3 (Physical Media Transfer) und EU-DSGVO Artikel 32 (1)(a)

Siehe Abschnitt oben zu ISO 27701 Abschnitt 6.5.3.1

Zusätzliche Angaben

Wenn Medien mit zuvor gespeicherten PII entsorgt werden sollen, sollten Organisationen Verfahren implementieren, die die Vernichtung PII und datenschutzrelevanter Daten dokumentieren, einschließlich der kategorischen Zusicherung, dass sie nicht mehr verfügbar sind.

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.14

ISO 27701 Abschnitt 6.7.1.1 (Richtlinie zur Verwendung kryptografischer Kontrollen) und EU-DSGVO Artikel 32 (1)(a)

Organisationen sollten Verschlüsselung verwenden, um die zu schützen Vertraulichkeit, Authentizität und Integrität von PII und datenschutzbezogenen Informationen sowie zur Einhaltung verschiedener vertraglicher, gesetzlicher oder behördlicher Verpflichtungen.

Verschlüsselung ist ein weitreichendes Konzept – es gibt keinen einheitlichen Ansatz. Unternehmen sollten ihre Bedürfnisse beurteilen und eine kryptografische Lösung wählen, die ihren individuellen kommerziellen und betrieblichen Zielen entspricht.

Organisationen sollten Folgendes berücksichtigen:

• Entwickeln Sie ein themenspezifisch Ansatz zur Kryptographie, der verschiedene abteilungsbezogene, rollenbasierte und betriebliche Anforderungen berücksichtigt.
• Das angemessene Schutzniveau (zusammen mit der Art der zu verschlüsselnden Informationen).
• Mobile Geräte und Speichermedien.
• Verwaltung kryptografischer Schlüssel (Speicherung, Verarbeitung usw.).
• Spezialisierte Rollen und Verantwortlichkeiten für kryptografische Funktionen, einschließlich Implementierung und Schlüsselverwaltung (siehe ISO 27002 Control 8.24).
• Die technischen Verschlüsselungsstandards, die übernommen werden sollen, einschließlich Algorithmen, Verschlüsselungsstärke und Best-Practice-Richtlinien.
• Wie Verschlüsselung zusammen mit anderen Cybersicherheitsbemühungen wie Malware-Schutz und Gateway-Sicherheit funktioniert.
• Grenz- und länderübergreifende Gesetze und Richtlinien (siehe ISO 27002 Control 5.31).
• Verträge mit externen Kryptografiepartnern, die Haftung, Zuverlässigkeit und Reaktionszeiten ganz oder teilweise abdecken.

Schlüsselverwaltung

Wichtige Verwaltungsverfahren sollten auf sieben Hauptfunktionen verteilt sein:

1. Generation.
2. Lagerung.
3. Archivierung.
4. Abruf.
5. Verteilung.
6. Ruhestand.
7. Zerstörung.

Organisatorische Schlüsselverwaltungssysteme sollten:

• Verwalten Sie die Schlüsselgenerierung für alle Verschlüsselungsmethoden.
• Implementieren Sie Public-Key-Zertifikate.
• Stellen Sie sicher, dass alle relevanten menschlichen und nichtmenschlichen Einheiten die erforderlichen Schlüssel erhalten.
• Schlüssel aufbewahren.
• Ändern Sie die Schlüssel nach Bedarf.
• Halten Sie Verfahren für den Umgang mit potenziell kompromittierten Schlüsseln bereit.
• Deaktivieren Sie Schlüssel oder entziehen Sie den Zugriff für jeden einzelnen Benutzer.
• Stellen Sie verlorene oder fehlerhafte Schlüssel wieder her, entweder aus Backups oder Schlüsselarchiven.
• Vernichten Sie nicht mehr benötigte Schlüssel.
• Verwalten Sie den Aktivierungs- und Deaktivierungslebenszyklus, sodass bestimmte Schlüssel nur für den Zeitraum verfügbar sind, in dem sie benötigt werden.
• Bearbeiten Sie offizielle Zugangsanfragen von Strafverfolgungsbehörden oder unter bestimmten Umständen von Aufsichtsbehörden.
• Enthalten Zugriffskontrollen, die den physischen Zugriff auf Schlüssel und verschlüsselte Informationen schützen.
• Berücksichtigen Sie vor der Implementierung die Authentizität öffentlicher Schlüssel (Zertifizierungsstellen und öffentliche Zertifikate).

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.31
• ISO 27002 8.24

ISO 27701 Klausel 6.9.3.1 (Informationssicherung) und EU-DSGVO Artikel 32 (1)(c)

Organisationen sollten themenspezifische Richtlinien entwerfen, die sich direkt damit befassen, wie die Organisation die relevanten Bereiche ihres Netzwerks sichert, um personenbezogene Daten zu schützen und die Widerstandsfähigkeit gegen datenschutzbezogene Vorfälle zu verbessern.

BUDR-Verfahren sollten entworfen werden, um das vorrangige Ziel zu erreichen, dies sicherzustellen alle Geschäftskritische Daten, Software und Systeme können anschließend wiederhergestellt werden Data Loss, Intrusion, Betriebsunterbrechung und Kritische Ausfälle.

Die BUDR-Pläne sollten vorrangig Folgendes umfassen:

• Skizzieren Sie Wiederherstellungsverfahren, die alle kritischen Systeme und Dienste abdecken.
• Sie sind in der Lage, funktionsfähige Kopien aller Systeme, Daten oder Anwendungen zu erstellen, die Teil eines Backup-Jobs sind.
• Den kommerziellen und betrieblichen Anforderungen der Organisation gerecht werden (siehe ISO 27002 Control 5.30).
• Speichern Sie Backups an einem umweltgeschützten Ort, der physisch von den Quelldaten getrennt ist (siehe ISO 27002 Control 8.1).
• Testen und bewerten Sie Backup-Jobs regelmäßig anhand der vom Unternehmen vorgeschriebenen Wiederherstellungszeiten, um die Datenverfügbarkeit zu gewährleisten.
• Verschlüsseln Sie alle PII-bezogenen Sicherungsdaten.
• Überprüfen Sie noch einmal, ob Daten verloren gegangen sind, bevor Sie einen Sicherungsauftrag ausführen.
• Nutzen Sie ein Berichtssystem, das die Mitarbeiter über den Status von Backup-Jobs informiert.
• Versuchen Sie, Daten von Cloud-basierten Plattformen, die nicht direkt von der Organisation verwaltet werden, in interne Backup-Jobs zu integrieren.
• Speichern Sie Backups gemäß einer geeigneten PII-Aufbewahrungsrichtlinie (siehe ISO 27002 Control 8.10).

Organisationen müssen separate Verfahren entwickeln, die sich ausschließlich mit personenbezogenen Daten befassen (auch wenn diese in ihrem Haupt-BUDR-Plan enthalten sind).

Regionale Unterschiede in den PII-BUDR-Standards (vertraglich, gesetzlich und behördlich) sollten berücksichtigt werden, wenn ein neuer Arbeitsplatz geschaffen, Arbeitsplätze geändert oder neue PII-Daten zur BUDR-Routine hinzugefügt werden.

Wenn nach einem BUDR-Vorfall die Notwendigkeit besteht, personenbezogene Daten wiederherzustellen, sollten Unternehmen große Sorgfalt darauf verwenden, die personenbezogenen Daten wieder in ihren ursprünglichen Zustand zu versetzen, und die Wiederherstellungsaktivitäten überprüfen, um etwaige Probleme mit den neuen Daten zu beheben.

Organisationen sollten ein Protokoll der Wiederherstellungsaktivitäten führen, einschließlich aller an der Wiederherstellung beteiligten Mitarbeiter sowie eine Beschreibung der wiederhergestellten personenbezogenen Daten.

Organisationen sollten sich bei allen Gesetzgebungs- oder Regulierungsbehörden erkundigen und sicherstellen, dass ihre PII-Wiederherstellungsverfahren mit den Erwartungen an sie als PII-Verarbeiter und -Controller übereinstimmen.

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.30
• ISO 27002 8.1
• ISO 27002 8.10

ISO 27701 Abschnitt 7.2.1 (Zweck identifizieren und dokumentieren) und EU-DSGVO Artikel 32 (4)

Organisationen müssen zuerst identifizieren und dann Rekord die spezifischen Gründe für die Verarbeitung der von ihnen verwendeten PII.

PII-Auftraggeber müssen mit den verschiedenen Gründen für die Verarbeitung ihrer PII vollständig vertraut sein.

Es liegt in der Verantwortung der Organisation, diese Gründe den PII-Leitern mitzuteilen, zusammen mit einer „klaren Erklärung“, warum sie ihre Informationen verarbeiten müssen.

Die gesamte Dokumentation muss klar, umfassend und für jeden PII-Auftraggeber, der sie liest, leicht verständlich sein – einschließlich aller Unterlagen im Zusammenhang mit der Einwilligung sowie Kopien interner Verfahren (siehe ISO 27701, Abschnitte 7.2.3, 7.3.2 und 7.2.8).

Unterstützung von ISO 27701-Kontrollen

• ISO 27701 7.2.3
• ISO 27701 7.3.2
• ISO 27701 7.2.8

ISO 27701 Klausel 7.4.5 (PII-Deidentifizierung und Löschung am Ende der Verarbeitung) und EU-DSGVO Artikel 32 (1)(a)

Organisationen müssen entweder alle PII, die keinen Zweck mehr erfüllen, vollständig vernichten oder sie so ändern, dass jede Form der Identifizierung des Auftraggebers verhindert wird.

Sobald die Organisation feststellt, dass personenbezogene Daten zu keinem Zeitpunkt in der Zukunft verarbeitet werden müssen, sollten die Informationen verarbeitet werden gelöscht or de-identifiziert, wie es die Umstände erfordern.

ISO 27701 Abschnitt 8.2.2 (Organisationszwecke) und EU-DSGVO Artikel 32 (4)

Die Verarbeitung personenbezogener Daten sollte von Beginn an ausschließlich nach den Weisungen des Kunden erfolgen.

Verträge sollten SLAs in Bezug auf gemeinsame Ziele und alle damit verbundenen Zeitrahmen enthalten, innerhalb derer sie abgeschlossen werden müssen.

Organisationen sollten ihr Recht anerkennen, die verschiedenen Methoden zur Verarbeitung personenbezogener Daten zu wählen, die rechtmäßig das erreichen, was der Kunde sucht, ohne jedoch detaillierte Genehmigungen dafür einholen zu müssen, wie die Organisation auf technischer Ebene vorgeht.

Unterstützende ISO 27701-Klauseln und ISO 27002-Kontrollen

Wie ISMS.online hilft

Die ISMS.online-Plattform verfügt über integrierte Anleitungen für jeden Schritt in Kombination mit unserem Implementierungsansatz „Adopt, Adapt, Add“, sodass der Aufwand für die Demonstration Ihres Ansatzes zur DSGVO erheblich reduziert wird. Du WILL Profitieren Sie von einer Reihe leistungsstarker zeitsparender Funktionen.

ISMS.online erleichtert Ihnen außerdem den direkten Einstieg in die Einhaltung der DSGVO und den Nachweis eines Schutzniveaus, das über „angemessen“ hinausgeht – und das alles an einem sicheren, stets verfügbaren Ort.

Erfahren Sie mehr von Buchen Sie eine kurze 30-minütige Demo.