ISO 27701, Abschnitt 5.7 – Leistungsbewertung

ISO 27701-Kontrollen und -Klauseln erklärt

Live-Demo buchen

Geschäft, Besprechung, in einem modernen Büro

Ein wesentlicher Bestandteil der Arbeit mit einer Reihe wasserdichter Datenschutzkontrollen ist die Anerkennung der Notwendigkeit, die Einhaltung durch die Organisation kontinuierlich zu überwachen, zu bewerten und zu verbessern
PII-bezogene Ziele und rechtliche/regulatorische Anforderungen.

ISO 27701 Control 5.7 legt eine klare Reihe von Richtlinien fest, die Organisationen darüber informieren, wie sie ihre eigene Leistung bewerten und, was ebenso wichtig ist, wie sie sinnvolle Änderungen umsetzen können, damit der Schutz der Privatsphäre im Vordergrund ihrer umfassenderen Informationssicherheitspolitik bleibt.

Was in ISO 27701 Abschnitt 5.7 behandelt wird

ISO 27701 Abschnitt 5.7 enthält drei Unterabschnitte, die sich mit den drei Hauptbestandteilen der Datenschutzbewertung befassen – Überwachung, Prüfung und Überprüfung.

Jeder Unterabschnitt ist verknüpft mit einem begleitenden Satz von Informationssicherheitsrichtlinien von ISO 27001:

  • ISO 27701 5.7.1 – Überwachung, Messung, Analyse und Bewertung (Referenzen ISO 27001 Control 9.1)
  • ISO 27701 5.7.2 – Internes Audit (Referenzen ISO 27001 Control 9.2)
  • ISO 27701 5.7.3 – Managementbewertung (Referenzen ISO 27001 Control 9.3)

Abschnitt 5.7 enthält weder zusätzliche Anleitungen zur Anwendung von Leistungsbewertungsrichtlinien im Kontext eines PIMs noch enthält er Anleitungen im Rahmen von DSGVO.

Erreichen Sie den ISO 27701-Erfolg

Erleben Sie unsere Plattform in Aktion mit einer maßgeschneiderten praktischen Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.

Buchen Sie Ihre Demo
img

ISO 27701 Abschnitt 5.7.1 – Überwachung, Messung, Analyse und Bewertung

Referenzen ISO 27001-Steuerung 9.1

Unternehmen müssen ihre Leistung im Hinblick auf den Datenschutz ständig überwachen und bewerten und wie effizient ihr PIMS im Rahmen ihrer erklärten Ziele ist.

Dabei müssen Organisationen Folgendes festlegen:

  1. Welche Bereiche ihres Betriebs genau überwacht werden müssen;
  2. Wie sie diese Überwachung durchführen und welche Mechanismen sie zur Analyse der erhaltenen Daten verwenden werden;
  3. Wann Überwachungstätigkeiten durchgeführt werden sollen;
  4. Welche Mitarbeiter werden an den Überwachungsaktivitäten beteiligt sein?
  5. Der Zeitraum, in dem die Ergebnisse nach etwaigen Überwachungsaktivitäten analysiert werden sollen.

Wie bei allen anderen Datenschutz- und PII-bezogenen Aktivitäten muss eine gründliche Aufzeichnung aller Überwachungsaktivitäten in Form einer offiziellen Dokumentation geführt werden.

ISO 27701 Abschnitt 5.7.2 – Internes Audit

Referenzen ISO 27001-Steuerung 9.2

Organisationen müssen sich ihrer Verantwortung gegenüber ihren eigenen Daten und Prozessen bewusst sein, indem sie in angemessenen Abständen geplante Audits durchführen.

Bei Audits muss Folgendes festgestellt werden:

  • Ob das PIMS mit den Datenschutzanforderungen der Organisation und relevanten ISO-Standards übereinstimmt;
  • Dass PIMS korrekt implementiert wurde und angemessen gewartet wurde.

Um diese Ziele zu erreichen, sollten Organisationen:

  1. Planen, erstellen und pflegen Sie ein Auditprogramm, das mehrere wichtige Details berücksichtigt:
    • Audithäufigkeit;
    • Prüfungsmethode;
    • Interne Rollen und Verantwortlichkeiten;
    • Anforderungen vor der Implementierung und Planung;
    • Berichterstattung über Prüfdaten.
  2. Legen Sie den Umfang jedes einzelnen Audits fest.
  3. Betonen Sie die Notwendigkeit der Unparteilichkeit und eines objektiven Ansatzes bei der Datenanalyse, unabhängig davon, wer für die Durchführung der Prüfung ausgewählt wurde, sei es internes oder externes Personal.
  4. Stellen Sie sicher, dass die Auditergebnisse die richtigen internen Kanäle (leitendes Management usw.) erreichen, damit bei Bedarf sinnvolle Maßnahmen zur Verbesserung des Informationssicherheitsmanagementsystems der Organisation ergriffen werden können.
  5. Führen Sie eine gründliche Aufzeichnung aller Prüfaktivitäten in Form dokumentierter Informationen.

Entdecken Sie unsere Plattform

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Wir sind kostengünstig und schnell

Entdecken Sie mit ISMS.online, wie einfach ISO 27701 ist
Holen Sie sich Ihr Angebot

ISO 27701 Abschnitt 5.7.3 – Managementbewertung

Referenzen ISO 27001-Steuerung 9.3

Die Geschäftsleitung spielt eine Schlüsselrolle bei der Sicherstellung der Durchführbarkeit und Wirksamkeit jeder Datenschutzrichtlinie oder PIMS-Implementierung.

Bei der Überprüfung der organisatorischen Einhaltung von PII-bezogenen Kontrollen, Richtlinien und Verfahren sollte das Management Folgendes berücksichtigen:

  1. Alle verbleibenden Aktionen aus der vorherigen Überprüfung.
  2. Alle Änderungen am Betrieb der Organisation, die möglicherweise Auswirkungen auf den Schutz der Privatsphäre oder die Verarbeitung und/oder Speicherung personenbezogener Daten haben.
  3. Rückmeldungen aus allen relevanten Quellen zum Datenschutz, darunter auffällige Trends in:
    • Nichteinhaltung und Korrekturmaßnahmen;
    • Alle aus Überwachungsaktivitäten gewonnenen Daten;
    • Die Ergebnisse aktueller Audits;
    • Wie die Organisation ihre erklärten Datenschutzziele erreicht.
  4. Feedback von allen relevanten Mitarbeitern (intern oder extern).
  5. Die Ergebnisse aller Datenschutz-Risikobewertungen und wie diese mit einem speziellen Risikobehandlungsplan angegangen werden sollen.
  6. Wie die Organisation ihre Datenschutzmaßnahmen weiterentwickeln und verbessern will, einschließlich etwaiger Änderungen, die vorgenommen werden müssen.

Alle Überprüfungen sollten für zukünftige Analysen gründlich dokumentiert werden und um die Kontinuität von einer Überprüfung zur nächsten sicherzustellen.

Unterstützende Kontrollen von ISO 27001 und DSGVO

ISO 27701-KlauselkennungName der ISO 27701-KlauselISO 27001-AnforderungZugehörige DSGVO-Artikel
5.7.1Überwachung, Messung, Analyse und Bewertung9.1 – Überwachung, Messung, Analyse und Bewertung für ISO 27001Keine
5.7.2Interne Anhörung9.2 – Internes Audit für ISO 27001Keine
5.7.3Managementbewertung9.3 – Managementbewertung für ISO 27001Keine

Wie ISMS.online hilft

Die ISMS.online-Plattform verfügt über eine integrierte Anleitung für jeden Schritt in Kombination mit unserem Implementierungsansatz „Adopt, Adapt, Add“, sodass der Aufwand zur Erreichung von ISO 27701 erheblich reduziert wird.

Sie profitieren außerdem von einer Reihe leistungsstarker zeitsparender Funktionen.

Entdecken Sie die Vorteile mit ISMS.online von eine Demo buchen.

Sehen Sie, wie wir Ihnen helfen können

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Uns fällt kein Unternehmen ein, dessen Service mit ISMS.online mithalten kann.
Vivian Kroner
Leitender Implementierer von ISO 27001, 27701 und DSGVO Aperian Global
100 % unserer Benutzer bestehen die Zertifizierung beim ersten Mal
Buchen Sie Ihre Demo

Optimieren Sie Ihren Workflow mit unserer neuen Jira-Integration! Hier erfahren Sie mehr.