Was erfordert die Kontrolle A.3.3?
Richtlinien zur Informationssicherheit im Zusammenhang mit der Verarbeitung personenbezogener Daten müssen definiert, von der Geschäftsleitung genehmigt, veröffentlicht, den relevanten Mitarbeitern und relevanten Interessengruppen mitgeteilt und von diesen zur Kenntnis genommen sowie in geplanten Abständen und bei wesentlichen Änderungen überprüft werden.
Dies ist die erste Kontrolle in der gemeinsame Sicherheitskontrollen (Tabelle A.3Diese Normen gelten für Organisationen, die als Verantwortliche für die Verarbeitung personenbezogener Daten (PII), als Auftragsverarbeiter für PII oder beides fungieren. Sie erweitern die Anforderungen der ISO 27001 an Informationssicherheitsrichtlinien, um den Schutz der Privatsphäre und personenbezogener Daten explizit abzudecken.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.3.3) enthält folgende Hinweise:
- Entwickle separate Datenschutzrichtlinien oder bestehende Informationssicherheitsrichtlinien zu erweitern, um den Anforderungen an die Verarbeitung personenbezogener Daten gerecht zu werden
- Enthalten a Engagement für Compliance unter Berücksichtigung der geltenden Gesetze zum Schutz personenbezogener Daten und der Vertragsbedingungen
- Berücksichtigen Sie die rechtlichen Anforderungen bei der Entwicklung, Genehmigung und laufenden Pflege von Richtlinien.
- Die Richtlinien sollten der Art, dem Umfang und dem Kontext der Verarbeitung personenbezogener Daten angemessen sein.
- Überprüfen Sie die Richtlinien in geplanten Abständen und bei wesentlichen Änderungen, wie z. B. neuen Gesetzen, neuen Verarbeitungstätigkeiten oder Umstrukturierungen des Unternehmens.
- Web Link A.3.13: Rechtliche und regulatorische Anforderungen für damit zusammenhängende Anforderungen
- Web Link A.3.15: Unabhängige Überprüfung der Informationssicherheit für damit zusammenhängende Anforderungen
Die Leitlinien bieten Organisationen Flexibilität bei der Gestaltung ihrer Richtlinien. Eine einzige, integrierte Richtlinie, die sowohl Informationssicherheit als auch Datenschutz abdeckt, ist ebenso zulässig wie eine Reihe separater, aber miteinander verknüpfter Dokumente. Entscheidend ist, dass die Verarbeitung personenbezogener Daten explizit geregelt ist und die Richtlinien nachweislich kommuniziert und anerkannt werden.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.3.3 ist zugeordnet zu Datenschutz Artikel 5 Absatz 1 Buchstabe f (Grundsatz der Integrität und Vertraulichkeit) und Artikel 32 Absatz 2 (Verpflichtung zur Durchführung geeigneter technischer und organisatorischer Maßnahmen). Datenschutz schreibt keine genaue Form der Sicherheitsrichtlinien vor, erwartet aber, dass Organisationen dokumentierte Maßnahmen ergriffen haben, die dem Risiko angemessen sind.
Diese DSGVO-Artikel sind der breiteren Gruppe der gemeinsamen Kontrollen B.3.5–B.3.16 zugeordnet und spiegeln wider, dass die Richtlinien die Grundlage bilden, von der alle anderen Sicherheitsmaßnahmen abgeleitet werden.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Als gemeinsame Sicherheitskontrolle unterstützt A.3.3 den umfassenderen Rahmen von ISO 29100 Prinzipien. Gut definierte Informationssicherheitsrichtlinien, die die Verarbeitung personenbezogener Daten regeln, bilden die Grundlage für die Umsetzung von Prinzipien wie Informationssicherheit, Verantwortlichkeit und Compliance.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.3.3 achten die Prüfer typischerweise auf Folgendes:
- Genehmigte Richtliniendokumente — Informationssicherheitsrichtlinien, die die Verarbeitung personenbezogener Daten explizit regeln und den Nachweis der Genehmigung durch das Management enthalten (Unterschriften, Protokolle des Aufsichtsrats, Genehmigungsnachweise)
- Kommunikationsaufzeichnungen — Nachweis, dass die Richtlinien veröffentlicht und allen relevanten Mitarbeitern und Interessenten mitgeteilt wurden
- Empfangsbestätigungen — Unterzeichnete oder elektronische Bestätigungen der Mitarbeiter, dass sie die Richtlinien gelesen und verstanden haben.
- Akten prüfen — Nachweise über geplante Überprüfungen mit Datum, Prüfern und etwaigen vorgenommenen Änderungen
- Verpflichtung zur Einhaltung der Gesetze — Eine ausdrückliche Erklärung in den Richtlinien, die die Einhaltung der geltenden Gesetze zum Schutz personenbezogener Daten und der Vertragsbedingungen sichert.
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.3.4 Rollen und Verantwortlichkeiten im Bereich Informationssicherheit | Richtlinien definieren Erwartungen; Rollen und Verantwortlichkeiten stellen sicher, dass jemand für deren Umsetzung verantwortlich ist. |
| A.3.5 Klassifizierung von Informationen | Die Klassifizierungsrichtlinien sollten personenbezogene Daten (PII) gemäß Abschnitt A.3.3 explizit berücksichtigen. |
| A.3.6 Kennzeichnung von Informationen | Die Kennzeichnungsverfahren setzen die Richtlinienvorgaben für die Identifizierung personenbezogener Daten um. |
| A.3.7 Informationstransfer | Die Übertragungsregeln sollten auf der übergeordneten Sicherheitspolitik basieren. |
| A.1.2.9 Aufzeichnungen über die Verarbeitung personenbezogener Daten | Richtlinien legen den Rahmen für die Verwaltung von Verarbeitungsdaten fest. |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 war diese Anforderung auf die Abschnitte 6.2.1.1 und 6.2.1.2 aufgeteilt. Abschnitt 6.2.1.1 behandelte die allgemeine Anforderung, dass Informationssicherheitsrichtlinien die Verarbeitung personenbezogener Daten berücksichtigen müssen, während Abschnitt 6.2.1.2 die Verpflichtung des Managements regelte. Die Ausgabe von 2025 fasst diese in einer einzigen Kontrollmaßnahme (A.3.3) mit einheitlichen Implementierungshinweisen in Abschnitt B.3.3 zusammen. Der Inhalt bleibt gleich, die Struktur ist jedoch übersichtlicher. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Warum sollten Sie sich ISMS.online zur Verwaltung von Informationssicherheitsrichtlinien?
ISMS.online bietet Ihnen alles, was Sie benötigen, um konforme Richtlinien zu erstellen, zu kommunizieren und aufrechtzuerhalten:
- Vorgefertigte Richtlinienvorlagen — Beginnen Sie mit Vorlagen, die an ISO 27001 und ISO 27701 ausgerichtet sind, und passen Sie diese dann an die PII-Verarbeitungsaktivitäten Ihrer Organisation an.
- Versionskontrolle — Verfolgen Sie jede Änderung an jeder Richtlinie mit vollständiger Versionshistorie, sodass Sie immer wissen, was wann in Kraft war.
- Bestätigungsverfolgung — Richtlinien Mitarbeitern zuweisen und nachverfolgen, wer sie gelesen und bestätigt hat, mit automatischen Erinnerungen für ausstehende Bestätigungen
- Geplante Überprüfungen — Legen Sie für jede Richtlinie einen Überprüfungstermin fest und erhalten Sie Benachrichtigungen, wenn eine Überprüfung fällig ist, damit Ihre Richtlinien nie veralten.
- Verknüpfte Beweise — Richtlinien mit den zugehörigen Kontrollmechanismen verknüpfen und so einen transparenten Prüfpfad von der Richtlinie bis zur Umsetzung schaffen.
Häufig gestellte Fragen
Sollen wir eine separate Datenschutzrichtlinie erstellen oder bestehende Sicherheitsrichtlinien aktualisieren?
Der Standard lässt beide Vorgehensweisen zu. Eine separate Datenschutzerklärung eignet sich gut für Organisationen mit komplexer Verarbeitung personenbezogener Daten, da sie datenschutzspezifische Themen detailliert behandeln kann. Die Ergänzung bestehender Richtlinien ist für kleinere Organisationen oder solche mit einfacheren Verarbeitungstätigkeiten praktischer. Die wichtigste Voraussetzung ist, dass die Verarbeitung personenbezogener Daten explizit und angemessen geregelt wird, unabhängig von der gewählten Vorgehensweise.
Wer muss die Richtlinien zur Kenntnis nehmen?
Alle relevanten Mitarbeiter und relevanten Interessengruppen. „Relevante Mitarbeiter“ sind alle Personen, die personenbezogene Daten verarbeiten oder Zugriff auf Systeme haben, die personenbezogene Daten verarbeiten. „Relevante Interessengruppen“ können Auftragnehmer, Zeitarbeitskräfte, Drittanbieter oder auch Kunden sein, sofern vertragliche Verpflichtungen die Kenntnis der Sicherheitsrichtlinien des Unternehmens erfordern. Der Geltungsbereich sollte im Kontext des jeweiligen Unternehmens definiert werden.
Wie oft sollten Richtlinien überprüft werden?
In geplanten Abständen (in der Regel jährlich) und bei wesentlichen Änderungen. Wesentliche Änderungen umfassen neue Verarbeitungstätigkeiten personenbezogener Daten, Änderungen geltender Gesetze, Umstrukturierungen, Sicherheitsvorfälle, die Lücken in den Richtlinien aufdecken, oder Änderungen der IT-Umgebung. Eine jährliche Überprüfung in Kombination mit einem ereignisbasierten Überprüfungsprozess ist der gängigste Ansatz.
CISOs, die für die Governance der Datenschutzrichtlinien verantwortlich sind, sollten unsere lesen CISO-Leitfaden zu ISO 27701:2025.
Ihre Erklärung zur Anwendbarkeit sollten die Richtlinien referenzieren, die die einzelnen ausgewählten Kontrollmaßnahmen unterstützen.
