Erläuterung von Abschnitt 27701 der ISO 5.6: Wichtige Betriebsanforderungen
ISO 27701 Abschnitt 5.6 befasst sich mit der Praxis der Steuerung der Prozesse, Kontrollen und Verfahren, die für den Betrieb eines robusten Datenschutzplans und eines Datenschutzinformationsmanagementsystems erforderlich sind.
Die operative Planung deckt ein breites Themenspektrum ab – von strukturierten Change-Management-Aktivitäten bis hin zu Risikobewertungen zum Schutz der Privatsphäre und Risikobehandlungsplänen Verbessern Sie die Sicherheit personenbezogener Daten innerhalb der Grenzen des Netzwerks der Organisation.
Was in ISO 27701 Abschnitt 5.6 behandelt wird
ISO 27701 Abschnitt 5.6 enthält drei Unterabschnitte Verlassen Sie sich auf die begleitenden Leitlinien innerhalb der ISO 27001:
- ISO 27701 5.6.1 – Betriebsplanung und -steuerung (Referenzen ISO 27001 Control 8.1)
- ISO 27701 5.6.2 – Risikobewertung der Informationssicherheit (Referenzen ISO 27001 Control 8.2)
- ISO 27701 5.6.3 – Behandlung von Informationssicherheitsrisiken (Referenzen ISO 27001 Control 8.3)
ISO 27701 5.6 enthält keine weiteren Leitlinien, die sich speziell mit der Implementierung eines PIMS befassen, sondern konzentriert sich vielmehr auf den Schutz der Privatsphäre in Organisationen und enthält auch keine angrenzenden Punkte Datenschutz Artikel.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 5.6.1 – Betriebsplanung und -kontrolle
Referenzen ISO 27001-Steuerung 8.1
ISO 27701 Control 5.6.1 beschreibt den umfassenderen Ansatz der ISO zur Planung des Datenschutzes. Organisationen sollten interne Verfahren oder Prozesse „planen, implementieren und kontrollieren“, die für den Schutz der Privatsphäre sowie die Speicherung und Verarbeitung personenbezogener Daten relevant sind (siehe ISO 27001 6.1 und 6.2).
Die ISO verlangt von Organisationen außerdem, dokumentierte Informationen aufzubewahren, die die Einhaltung und Änderung aller organisatorischen Datenschutzkontrollen, einschließlich aller ausgelagerten Aktivitäten, belegen.
Die Planung erstreckt sich auch auf das Änderungsmanagement. Die ISO verlangt von Organisationen, alle internen Änderungen zu verwalten, um das Risiko für personenbezogene Daten zu minimieren und alle unbeabsichtigten Folgen zu bewerten, die sich aus absichtlichen oder unbeabsichtigten Änderungen ergeben.
Relevante ISO 27001-Kontrollen
- 6.1 – Maßnahmen zur Bewältigung von Risiken und Chancen
- 6.1.2 – Risikobewertung der Informationssicherheit
- 6.2 – Informationssicherheitsziele und Planung zu deren Erreichung
ISO 27701 Abschnitt 5.6.2 – Bewertung des Informationssicherheitsrisikos
Referenzen ISO 27001-Steuerung 8.2
Unternehmen müssen in wichtigen Phasen des Betriebs – beispielsweise bei einer größeren Änderung oder unmittelbar nach einem Sicherheitsvorfall – regelmäßig Risikobewertungen für den Datenschutz durchführen.
Wie bei allen PII-bezogenen Aktivitäten sollten Organisationen jede Risikobewertung gründlich dokumentieren, um ihren gesamten Informationssicherheitsbetrieb zu verbessern und den Rechts- und Regulierungsbehörden bei Bedarf ausreichende Beweise vorlegen zu können.
Relevante ISO 27001-Kontrollen
- 6.1.2 – Risikobewertung der Informationssicherheit
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Abschnitt 5.6.3 – Behandlung von Informationssicherheitsrisiken
Referenzen ISO 27001-Steuerung 8.3
Zusätzlich zu regelmäßigen Risikobewertungen sollten Organisationen auch einen „Risikobehandlungsplan“ zum Schutz der Privatsphäre erlassen, der Empfehlungen enthalten sollte, die die Wahrscheinlichkeit und/oder die Auswirkungen von Risiken verringern, die mit der Speicherung und Verarbeitung personenbezogener Daten verbunden sind.
Unterstützende Kontrollen von ISO 27001 und DSGVO
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | ISO 27001-Anforderung | Zugehörige DSGVO-Artikel |
|---|---|---|---|
| 5.6.1 | Operative Planung und Kontrolle |
8.1 – Betriebsplanung und -kontrolle für ISO 27001 |
Non |
| 5.6.2 | Risikobewertung der Informationssicherheit |
8.2 – Bewertung des Informationssicherheitsrisikos für ISO 27001 |
Non |
| 5.6.3 | Behandlung von Informationssicherheitsrisiken |
8.3 – Behandlung von Informationssicherheitsrisiken für ISO 27001 |
Non |
Wie ISMS.online hilft
Da Ihr PIMS für interessierte Parteien sofort zugänglich ist, war es noch nie so einfach, mit einem Klick sowohl die ISO 27001 als auch die ISO 27701 zu überwachen, zu berichten und zu prüfen.
Finden Sie heraus, wie viel Zeit und Geld Sie auf Ihrem Weg zu einer kombinierten ISO 27001- und 27701-Zertifizierung mit ISMS.online sparen.
Erleben Sie es live mit ISMS.online von eine Demo buchen.
