Schutz personenbezogener Daten: Best Practices aus ISO 27002 Control 5.34
Personenbezogenen Daten (PII) ist jede Information, die die Identität einer Person bestätigt.
Zu den personenbezogenen Daten einer Person können gehören:
- Adresse
- Sozialversicherungsnummer oder Sozialversicherungsnummer
- Führerschein
- Finanzinformationen, einschließlich Bankkonten
- Krankenakten
PII sind ein wichtiger Bestandteil der Data-Governance-Strategie einer Organisation und bergen eine Reihe einzigartiger regulatorischer, gesetzgeberischer und vertraglicher Risiken.
Control 5.34 behandelt PII auf drei verschiedene Arten:
- Erhaltung
- Datenschutz
- Schutz
Zweck der Kontrolle 5.34
Kontrolle 5.34 ist ein vorbeugende Kontrolle zur Abwicklung, Integrierung, Speicherung und hält das Risiko aufrecht durch die Erstellung von Richtlinien und Verfahren, die die gesetzlichen, satzungsmäßigen, behördlichen und vertraglichen Anforderungen einer Organisation in Bezug auf das erfüllen Lagerung, Datenschutz und Sicherheit von PII in all seinen Formen.
Kontrollattribute 5.34
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Identifizieren | #Informationsschutz | #Schutz |
| #Integrität | #Schützen | #Recht und Compliance | ||
| #Verfügbarkeit |
Verschaffen Sie sich einen Vorsprung von 81 %
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Eigentum an der Kontrolle 5.34
Control 5.34 benennt ausdrücklich den delegierten Datenschutzbeauftragten einer Organisation (oder ein entsprechendes Organisationsäquivalent) als die Person, die die Einhaltung personenbezogener Daten überwachen soll.
Allgemeine Leitlinien zur Kontrolle 5.34
Organisationen sollten PII als themenspezifische Geschäftsfunktion behandeln und Richtlinien entwickeln, die für ihre Organisation einzigartig sind, sowie die Kategorien von PII, die in ihrem täglichen Betrieb am häufigsten vorkommen.
Zuallererst sollte die Organisation eine Reihe von Richtlinien entwerfen, entwickeln und umsetzen, die auf die Bewahrung, den Datenschutz und den Schutz personenbezogener Daten abzielen, und sicherstellen, dass diese allen Mitarbeitern, die personenbezogene Daten verarbeiten, mitgeteilt und von diesen genutzt werden – nicht nur denen, die dazu verpflichtet sind beschäftigen sich im Rahmen ihrer beruflichen Tätigkeit damit.
PII müssen strukturiert, klar und prägnant verwaltet werden. Um dies zu erreichen, fragt Control 5.34 Organisationen dazu auffordern, Richtlinien zu entwerfen, die individuelle Rollen und Verantwortlichkeiten berücksichtigen und Datenkontrollen in der gesamten Organisation.
Der einfachste und effizienteste Weg, dies zu erreichen, ist ein Top-Down-Ansatz mit einem Datenschutzbeauftragten, dessen Aufgabe es ist, Mitarbeiter und Drittorganisationen zum Thema PII zu beraten und die Geschäftsleitung diesbezüglich zu beraten wie man den Verpflichtungen der Organisation nachkommt.
Neben regulatorischen, gesetzlichen und vertraglichen Richtlinien, u. a Die Organisation sollte auch technische und betriebliche Maßnahmen umsetzen die sich mit der praktischen Handhabung personenbezogener Daten befassen, während diese im Unternehmen gespeichert werden und durch das Unternehmen fließen.
Ergänzende Anleitung
Die PII-Gesetzgebung variiert von Land zu Land, selbst innerhalb von Gebieten mit dezentralen Verwaltungen oder nicht-bundesstaatlichen Regierungen.
Organisationen sollten prüfen ihre PII-Verarbeitungsanforderungen und berücksichtigen alle grenzüberschreitenden Auswirkungen, die sich aus der Erhebung, Verarbeitung oder Verteilung von PII innerhalb verschiedener Gerichtsbarkeiten ergeben.
Während der ISO 27002:2022 bietet keine zusätzliche Anleitung, wie dies erreicht werden kann, eine Reihe von ISO-Dokumenten gehen jedoch detaillierter auf die Angelegenheit ein, darunter:
- ISO/IEC 29100 (Schutz personenbezogener Daten in IKT-Systemen)
- ISO/IEC 27701 (Datenschutz-Informationsmanagementsysteme)
- ISO/IEC 27018 (PII innerhalb der öffentlichen Cloud-Infrastruktur)
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.
Änderungen und Unterschiede zu ISO 27002:2013
27002:2022-5.34 ersetzt 27002:2013-18.1.4 (Datenschutz und Schutz personenbezogener Daten).
27002:2022-5.34 ist bis auf zwei bemerkenswerte Ausnahmen fast eine Kopie seines Vorgängers aus dem Jahr 2013.
- 27002:2022-5.34 fordert Organisationen auf, bei der Formulierung und Umsetzung von PII-Richtlinien und -Verfahren eine themenspezifische Richtlinie zu berücksichtigen.
- 27002:2022-5.34 legt mehr Wert auf die Erhaltung von PII (wie im Kontrolltitel angegeben) sowie standardmäßige Datenschutz- und Datenschutzrichtlinien.
Neue ISO 27002-Kontrollen
Neue Steuerelemente
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
Organisatorische Kontrollen
Menschenkontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Schirmungsmaß |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Physikalische Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Technologische Kontrollen
Wie ISMS.online hilft
Unsere cloudbasierte Plattform bietet Ihnen ein robustes Rahmenwerk für Informationssicherheitskontrollen, damit Sie dies tun können Machen Sie unterwegs eine Checkliste für Ihren ISMS-Prozess um sicherzustellen, dass es die Anforderungen für ISO 27k erfüllt. Richtig verwendet, ISMS. online kann unterstützen Sie bei der Erlangung der Zertifizierung mit einem Minimum an Zeit und Ressourcen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Zum Thema springen
Lassen Sie sich bis zu 5 x schneller zertifizieren
Füllen Sie einfach die Lücken aus.
Beratung buchen Angebotsanfrage
