ISO 27701, Abschnitt 5.4 – Planung

ISO 27701 Abschnitt 5.4.1.1 – Allgemein

Referenzen ISO 27001-Steuerung 6.1.1

Im Allgemeinen müssen Organisationen bei der Planung eines PIMS einen risikospezifischen Ansatz verfolgen, der:

1. Arbeitet am Aufbau eines PIMS, das eine Reihe spezifischer Datenschutzziele erreicht.
2. Ziel ist es, etwaige nachteilige Auswirkungen entweder vollständig zu beseitigen oder zu minimieren.
3. Strebt nach der kontinuierlichen Weiterentwicklung und schrittweisen Verbesserung von PII- und Datenschutzaktivitäten.

Bei der Ausarbeitung eines Plans müssen Organisationen Folgendes tun:

1. Berücksichtigen Sie die spezifischen Maßnahmen, die zur Bewältigung etwaiger Risiken erforderlich sind, und implementieren Sie diese in ein PIMS.
2. Bewerten Sie ihren Ansatz ständig.

Relevante ISO 27001-Kontrollen

Die in ISO 27701 5.4.1.1 enthaltenen Leitlinien stehen in engem Zusammenhang mit der Fähigkeit einer Organisation, ihre Anforderungen sowie die Erwartungen interner und externer Mitarbeiter und PII-Personen, deren Daten die Organisation verwaltet, zu verstehen.

• ISO 27001 4.1 – Die Organisation und ihren Kontext verstehen.
• ISO 27001 4.2 – Verständnis der Bedürfnisse und Erwartungen interessierter Parteien.

ISO 27701 Abschnitt 5.4.1.2 – Bewertung des Informationssicherheitsrisikos

Referenzen ISO 27001-Steuerung 6.1.2

Organisationen sollten einen Risikobewertungsprozess für den Datenschutz entwerfen und implementieren, der:

• Enthält Risikoakzeptanzkriterien für die Durchführung von Datenschutzbewertungen.
• Bietet einen Rahmen für die vergleichbare Analyse aller Datenschutzbewertungen.
• Identifiziert Datenschutzrisiken (und deren Eigentümer).
• Berücksichtigt die Gefahren und Risiken, die mit dem Verlust der „Vertraulichkeit, Verfügbarkeit und Integrität“ personenbezogener Daten verbunden sind.
• Analysiert Datenschutzrisiken anhand von drei Faktoren:
• Ihre möglichen Konsequenzen.
• Die Wahrscheinlichkeit, dass sie auftreten.
• Ihre Schwere.
• Analysiert und priorisiert alle identifizierten Risiken entsprechend ihrer Risikostufe.

Zusätzliche PIMS- und PII-Anleitungen

Organisationen sollten Risikobewertungsaktivitäten konzentrieren, die nicht nur die Informationssicherheit betreffen, sondern auch die Implementierung eines PIMS sowie die Verarbeitung und Speicherung personenbezogener Daten ergänzen.

Organisationen sollten nicht nur die Konsequenzen für das Unternehmen selbst, sondern auch für alle PII-Prinzipien im Auge behalten, wenn Probleme auftreten.

Anwendbare DSGVO-Artikel

• Artikel 32 – Sicherheit der Verarbeitung
• Anwendbare Abschnitte – (1)(b), (2)

ISO 27701 Abschnitt 5.4.1.3 – Behandlung von Informationssicherheitsrisiken

Referenzen ISO 27001-Steuerung 6.1.3

Organisationen sollten einen Datenschutz-/PII-„Risikobehandlungsprozess“ entwerfen und implementieren, der:

1. einen „Risikobehandlungsplan“ zum Schutz der Privatsphäre umsetzen.
2. legt anhand einer Reihe von Bewertungsergebnissen fest, wie ein PIMS mit einzelnen Risikostufen umgehen soll.
3. hebt eine Reihe von Kontrollen hervor, die zur Umsetzung der Behandlung von Datenschutzrisiken erforderlich sind.
4. Vergleichen Sie alle identifizierten Kontrollen mit der umfassenden Liste der ISO in Anhang A von ISO 27001.
5. Dokumentieren und begründen Sie die Verwendung aller verwendeten Kontrollen in einer formellen „Anwendbarkeitserklärung“.
6. Holen Sie die Zustimmung aller Risikoeigentümer ein, bevor Sie einen Plan zur Behandlung von Datenschutzrisiken fertigstellen, der alle „verbleibenden“ Datenschutz- und PII-Risiken umfasst.

Anwendbare DSGVO-Artikel

• Artikel 32 – Sicherheit der Verarbeitung
• Anwendbare Abschnitte – (1)(b), (2)

ISO 27701 Abschnitt 5.4.2 – Informationssicherheitsziele und Planung zu deren Erreichung

Referenzen ISO 27001-Steuerung 6.2

Organisatorische Datenschutzziele sollten:

• Halten Sie sich an andere Richtlinien zur Informationssicherheit.
• Für Berichts- und Bewertungszwecke quantifizierbar sein.
• Integrieren Sie Daten aus Risikobewertungen und Risikobehandlungen.
• Sie müssen allen relevanten Mitarbeitern und betroffenen Personen zur Verfügung gestellt werden.
• Kontinuierliche Verbesserung und Aktualisierung entsprechend den Betriebsergebnissen und realen Ereignissen.
• Seien Sie dokumentiert.

Während des gesamten Planungsprozesses müssen Organisationen Folgendes festlegen:

1. Alle Ressourcen, die benötigt werden.
2. Wem wird das Eigentum an den Zielen ganz oder teilweise übertragen?
3. Wenn die erklärten Ziele einer Organisation erreicht werden.
4. Wie Daten analysiert werden sollen.

Unterstützende Kontrollen von ISO 27001 und DSGVO

Wie ISMS.online hilft

Sie müssen ein Datenschutz-Informationsmanagementsystem (PIMS) erstellen, um ISO 27701 zu erfüllen. Mit unserem vorgefertigten Datenschutz-Informationsmanagementsystem (PIMS) können Sie Kunden-, Lieferanten- und Mitarbeiterinformationen schnell und effizient organisieren und verwalten, um die ISO 27701-Anforderungen zu erfüllen.

Datenschutzbewertungen können ganz einfach eingerichtet und durchgeführt werden und reichen von Datenschutz-Folgenabschätzungen bis hin zu Prüfungen zur Regulierungs- oder Compliance-Bereitschaft.

Sehen Sie sich unser gesamtes Funktionsspektrum an eine Demo buchen.