Es mag naheliegend erscheinen, neben dem Datenschutz auch die Informationssicherheit zu berücksichtigen, aber was genau sieht die neue, kommende Datenschutz-Grundverordnung (DSGVO) vor?
Eigentlich enthält die DSGVO keine spezifischen Sicherheitsanforderungen. Gemäß Artikel 32 mit der Überschrift „Sicherheit", nur 135 Wörter beschreiben sie:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen haben der Verantwortliche und der Auftragsverarbeiter vorzugehen.“ angemessen umsetzen technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Sicherheitsniveaus auf das Risiko, einschließlich unter anderem gegebenenfalls:
(a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
(b) die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste sicherzustellen;
(c) die Möglichkeit, die Verfügbarkeit und den Zugriff auf wiederherzustellen Daten rechtzeitig im Falle eines physischen oder technischen Vorfalls;
(d) ein Verfahren zum regelmäßigen Testen, Bewerten und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit von das Verarbeiten."
Das Wort „angemessen“ kommt hier dreimal vor. Dies bietet zwar ein gewisses Maß an Flexibilität bei der Festlegung der Organisationsziele Sicherheitskontrollenbirgt es auch das Risiko, dass die Ansicht einer Aufsichtsbehörde in Bezug auf die von Ihnen ergriffenen Sicherheitsmaßnahmen von Ihrer abweichen könnte.
Das bedeutet, dass Sie darauf vorbereitet sein müssen Demonstrieren und verteidigen Sie Ihren Ansatz und die betriebliche Wirksamkeit der vorhandenen Sicherheitskontrollen.
Chris Zoladz*, Gründer von Information & Privacy Advisors, Navigate LLC und ehemaliger Vorsitzender der International Association of Privacy Professionals (IAPP), bietet…
Mit ISMS.online sparen Sie Zeit und Geld bei der ISO 27001-Zertifizierung und vereinfachen die Wartung.
Informationssicherheitsmanager, Honeysuckle Health
Wir haben angefangen, Tabellenkalkulationen zu verwenden, und es war ein Albtraum. Mit der ISMS.online-Lösung wurde die ganze harte Arbeit erleichtert.
1. Verwenden Sie ein anerkanntes Sicherheitsrahmen — Wenn Ihre Organisation nicht bereits ein Sicherheitsframework wie ISO 27001/2 verwendet Um Ihr Sicherheitsprogramm zu leiten, wählen Sie ein Framework oder eine Kombination bekannter Frameworks aus, die die Komponenten des gesamten Sicherheitsprogramms informieren.
2. Sicherheit verwaltenRisiko — Nicht alle Sicherheitsrisiken sind gleich und nicht alle Risiken können oder sollten beseitigt werden. Es ist einfach nicht realistisch, kosteneffektiv oder notwendig. Zum Glück ist das DSGVO erkennt diese Realität. Allerdings müssen Sie das trotzdem tun Sicherheitsrisiken einschätzen und angemessene Schritte unternehmen, um erhebliche Risiken zu mindern, kompensierende Kontrollen einzuführen oder zu begründen, warum ein ungemindertes Risiko akzeptiert wird. Jede Organisation sollte ein Risikorahmenwerk verwenden und über einen Prozess zur Bewertung und Steuerung von Risiken verfügen. Wenn Ihre Organisation derzeit nicht über einen formellen Prozess zur Identifizierung, Dokumentation und Sicherheit verwalten Um Risiken zu vermeiden, nutzen Sie ISO 27001, NIST oder ein anderes Framework, um Verbesserungen vorzunehmen. Dies bedeutet nicht, dass Ihr Organisationsbedürfnisse Es dient nicht dazu, jedes Element in einem bestimmten Rahmen zu implementieren, sondern dient stattdessen als Ausgangspunkt oder Referenz, um sicherzustellen, dass die notwendigen Elemente des Risikomanagements berücksichtigt werden.
3. Dokumentation ist Ihr Freund — Wenn es ein Problem gibt, das eine Untersuchung oder Prüfung nach sich zieht, hängt der Erfolg der Verteidigung der Organisation direkt von der Stärke des „Show and Tell“ ab, das der Aufsichtsbehörde oder dem Prüfer vorgelegt wird. Die Dokumentation ist der „Vorzeige“-Teil der Verteidigung, der verwendet werden kann, um nachzuweisen, dass Sicherheitskontrollen vorhanden sind (z. B. eine Liste aller Mitarbeiter, die die Sicherheitsschulung abgeschlossen haben) und effektiv funktionieren (z. B. die Zutrittskontrolle Protokolle zeigen, dass unberechtigte Zugriffsversuche auf ein System mit personenbezogenen Daten identifiziert und untersucht wurden). Sorgen Sie für eine angemessene Dokumentation, um die vorhandenen Sicherheitskontrollen nachzuweisen und zu verteidigen.
4. Kontinuierlich „lesen und reagieren“ — Technologie, Geschäftsanforderungen und rechtliche Anforderungen werden sich im Laufe der Zeit kontinuierlich ändern. Dadurch entstehen neue Risiken und es werden neue oder andere Sicherheitskontrollen erforderlich. Dies wird ein endloser Kreislauf sein und erfordert, dass die Organisation ihre Prozesse kontinuierlich anpasst und verfeinert Sicherheitslage, um auf neue Risiken reagieren zu können. Sicherheit ist ebenso wie Datenschutz ein fortlaufender Prozess und kein einmaliges Projekt.
Eine maßgeschneiderte praktische Sitzung, basierend auf Ihren Bedürfnissen und Zielen
Standards wie ISO 27001:2013 fördern die Kontinuität Verbesserung. Durch externe WirtschaftsprüfungMit einer unabhängigen Zertifizierung geben Sie Ihren Kunden das Vertrauen, das sie benötigen, um zu sehen, dass Sie das ISMS einhalten und die Anforderungen an regelmäßige Überprüfungen und fortlaufendes Management erfüllen.
Da Kunden wahrscheinlich auch unterschiedliche Ansichten darüber vertreten, welche Sicherheitskontrollen angemessen sind, kann die Implementierung eines anerkannten Standards dazu beitragen, zu vermeiden, dass sie in unterschiedliche Richtungen gezogen werden.
ISMS.online macht es einfach, Ihren Datenschutz zu beschreiben, zu demonstrieren und zu schützen und Informationssicherheitspraktiken und Kontrollen.
Nutzen Sie unsere vorgefertigten DSGVO- und ISO 27001-Frameworks, ISO 27001-Richtlinien und -Kontrollen Zusammen mit Risikomanagement-Tools und Werkzeuge zur Verwaltung anderer Arbeitsprozesse von der DSGVO gefordert.
100 % unserer Benutzer erreichen beim ersten Mal die ISO 27001-Zertifizierung