Verstehen der Führungsverantwortung in ISO 27701 Abschnitt 5.3
Organisationsführung und -management sind ein wiederkehrendes Thema in allen verschiedenen ISO-Standards für Informationssicherheitsmanagementsysteme.
Richtlinien und Verfahren sind nur wirksam, wenn sie anerkannt und einheitlich eingehalten werden. Dabei spielt die Geschäftsleitung eine Schlüsselrolle PII und PIMS-bezogene Aktivitäten erhalten das Maß an Respekt und Professionalität, das ihrer Rolle bei der Minimierung von Risiken und der allgemeinen Verbesserung der Informationssicherheit gerechtfertigt ist.
Was in ISO 27701 Abschnitt 5.3 behandelt wird
Abschnitt 5.3 befasst sich direkt mit der Rolle der Geschäftsleitung bei der Einrichtung eines PIMS, das die externen Verpflichtungen und PII-Anforderungen einer Organisation von Grund auf erfüllt, und zwar in drei wichtigen operativen Bereichen:
- Führung und Engagement.
- Politik.
- Organisatorische Rollen, Verantwortlichkeiten und Befugnisse.
Um dies zu erreichen, enthält ISO 27701-5.3 drei Unterabschnitte Referenzleitfaden von 27001:2013.
Alle diese Klauseln sollten unter dem Gesichtspunkt der Einrichtung und Aufrechterhaltung eines PIMS, der PII-Sicherheit und des Schutzes der Privatsphäre betrachtet werden und nicht allgemein auf die Informationssicherheit als Konzept angewendet werden.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Abschnitt 5.3.1 – Führung und Engagement
Referenzen ISO 27001-Steuerung 5.1
ISO 27001:2013-5.1 enthält 7 Hauptleitpunkte, die dem Top-Management dabei helfen, „Führungsstärke und Engagement“ bei der Ausarbeitung einer Informationssicherheitsrichtlinie in Bezug auf PII zu demonstrieren.
Während des gesamten Prozesses der Einrichtung eines PIMS sollte das Top-Management:
- Behalten Sie die operativen Ziele des Managementsystems als Ganzes im Auge und stellen Sie sicher, dass PIMS-bezogene Aktivitäten mit den Zielen des Unternehmens übereinstimmen;
- Stellen Sie sicher, dass das PIMS der Organisation in die Informationssicherheitsprozesse des Unternehmens eingebettet ist.
- Stellen Sie eine ausreichende Menge an Ressourcen zur Verfügung, um ein funktionierendes PIMS zu implementieren – einschließlich Budgetraum und der richtigen Anzahl von Mitarbeitern, um es zu implementieren und aufrechtzuerhalten;
- Präsentieren Sie die Vorteile eines PIMS allen Mitarbeitern innerhalb der Organisation – nicht nur denen, die direkt damit interagieren –, um die Zustimmung der Mitarbeiter zu maximieren und die Einhaltung zu verbessern;
- Vereinbaren Sie klare Ergebnisse, um die Leistung eines PIMS und seine Auswirkungen auf die PII-Sicherheit zu messen.
- Bieten Sie allen Mitarbeitern, die eine Rolle bei der Verbesserung der Leistung des PIMS spielen, Führung und Unterstützung und pflegen Sie eine proaktive Haltung zum Schutz personenbezogener Daten.
- Bieten Sie Mitgliedern des Junior-Management-Teams Anleitung und Unterstützung in Bereichen ihrer Arbeit, die sich direkt auf PIMS-bezogene Aktivitäten und PII-Sicherheit beziehen.
ISO 27701 Abschnitt 5.3.2 – Richtlinie
Referenzen ISO 27001-Steuerung 5.2
Informationsrichtlinien sind das A und O der umfassenderen Bemühungen einer Organisation zum Schutz der Privatsphäre.
Die Geschäftsleitung nutzt Protokolle und Verfahren nicht nur zur Verbesserung des Informationssicherheits-Risikomanagements als Ganzes, sondern auch als Instrument zur Messung der Mitarbeiterleistung und zum Nachweis gegenüber Rechts- und Regulierungsbehörden, dass die Organisation ihren PII-Pflichten nachkommt.
Informationssicherheitsrichtlinien in Bezug auf Datenschutz, PII und PIMS sollten:
- Bleiben Sie relevant und angemessen für die individuellen kommerziellen und ressourcenbezogenen Bedürfnisse der Organisation;
- Skizzieren Sie eine Reihe klarer PII-bezogener Ziele. Wenn dies nicht relevant ist, können Sie einen Rahmen für die Festlegung zukünftiger Sicherheits- und Datenschutzziele festlegen (siehe ISO 27001 Abschnitt 6.2*);
- Beachten Sie alle spezifischen organisatorischen Anforderungen im Zusammenhang mit personenbezogenen Daten, einschließlich derjenigen von Rechts-, Beratungs- und Regulierungsbehörden Dritter.
- Fördern Sie einen proaktiven Ansatz für die laufende Bewertung des PIMS der Organisation, einschließlich der möglichen Verbesserungen.
Sobald Richtlinien festgelegt sind, sollten sie allen relevanten Mitarbeitern als versionierte Dokumente leicht zugänglich gemacht und in der gesamten Organisation umfassend kommuniziert werden – entweder zum Zeitpunkt der Erstellung oder wenn Änderungen vorgenommen werden, die möglicherweise Auswirkungen auf die PII-Sicherheit haben.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 5.3.3 – Organisatorische Rollen, Verantwortlichkeiten und Befugnisse
Referenzen ISO 27001-Steuerung 5.3
In der gesamten Familie der Informationssicherheitsstandards verweist die ISO kontinuierlich auf rollenbasierte Aktivitäten, die auf der Art der Tätigkeit und den zugewiesenen Verantwortlichkeiten einer Person basieren.
ISO 27701-5.3.3 verlangt von Organisationen, sicherzustellen, dass jeder, der PII verwendet, mit einem PIMS interagiert oder für den Datenschutz verantwortlich ist, eine klar definierte Rolle hat und genau versteht, wofür er verantwortlich ist (einschließlich der des oberen Managements selbst).
Die Geschäftsleitung sollte sicherstellen, dass alle PIMS- und PII-bezogenen Verfahren den ISO 27001-Standards entsprechen, und die Berichtsverantwortung an Mitarbeiter delegieren, die in regelmäßigen Abständen die Leistung des PIMS der Organisation analysieren.
Unterstützende Kontrollen von ISO 27001 und DSGVO
*Steuerung 6.2 – Informationssicherheitsziele und Planung zu deren Erreichung (siehe ISO 27701 Abschnitt 5.3.2)
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | ISO 27001-Anforderung | Zugehörige DSGVO-Artikel |
|---|---|---|---|
| 5.3.1 | Führung und Engagement |
5.1 – Führung und Engagement für ISO 27001 |
Keine Präsentation |
| 5.3.2 | Politik |
5.2 – Informationssicherheitsrichtlinie für ISO 27001 |
Keine Präsentation |
| 5.3.3 | Organisatorische Rollen, Verantwortlichkeiten und Befugnisse |
5.3 – Organisatorische Rollen, Verantwortlichkeiten und Befugnisse für ISO 27001 |
Keine Präsentation |
Wie ISMS.online helfen kann
Mit unserem vorkonfigurierten PIMS können Sie Kunden-, Lieferanten- und Mitarbeiterinformationen schnell und einfach organisieren und verwalten, um vollständig der ISO 27701 zu entsprechen.
Wir machen die Datenzuordnung zu einer einfachen Aufgabe. Es ist einfach, alles aufzuzeichnen und zu überprüfen, indem Sie die Details Ihrer Organisation zu unserem vorkonfigurierten dynamischen Tool zur Aufzeichnung von Verarbeitungsaktivitäten hinzufügen.
Sie müssen nachweisen, wie gut Sie mit Data Subject Rights Requests (DRR) umgehen. Unser sicherer DRR-Bereich hält alles an einem Ort und unterstützt es durch automatisierte Berichte und Einblicke.
Wir haben eine integrierte Risikobank und eine Reihe weiterer praktischer Tools erstellt, die Sie bei jedem Teil des Risikobewertungs- und -managementprozesses unterstützen.
Erfahren Sie mehr von eine Demo buchen.
