Sicherstellung sicherer Informationsübertragungen: Erläuterung von Abschnitt 27701 der ISO 6.10.2
Am anfälligsten sind Informationen oft dann, wenn sie von einem Ort an einen anderen übertragen werden – sei es physisch, digital oder mündlich.
Unternehmen müssen personenbezogene Daten während der Übertragung schützen und Mitarbeitern und Lieferanten klare Richtlinien für das Verhalten bei der Übertragung von Informationen von einer Quelle zu einer anderen zur Verfügung stellen.
Was in ISO 27701 Abschnitt 6.10.2 behandelt wird
ISO 27701 Abschnitt 6.10.2 enthält 4 Unterabschnitte, die sich mit dem Schutz der Privatsphäre im Rahmen von Informationsübertragungen befassen. Jeder Unterabschnitt ist auf Leitlinieninformationen von angewiesen ISO 27002 :
- ISO 27701 6.10.2.1 – Richtlinien und Verfahren zur Informationsübertragung (ISO 27002 Control 5.14).
- ISO 27701 6.10.2.2 – Vereinbarungen zur Informationsübertragung (ISO 27002 Control 5.14).
- ISO 27701 6.10.2.3 – Elektronische Nachrichtenübermittlung (ISO 27002 Control 5.14).
- ISO 27701 6.10.2.4 – Vertraulichkeits- oder Geheimhaltungsvereinbarungen (ISO 27002 Control 6.6).
Zwei Unterabschnitte enthalten Leitlinien, die im Vereinigten Königreich gelten Datenschutz Gesetzgebung – (Absätze 6.10.2.1 und 6.10.2.4), ohne dass über die bereits genannten allgemeinen Leitlinien hinaus zusätzliche PIMS- oder PII-bezogene Leitlinien angeboten werden.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Abschnitt 6.10.2.1 – Richtlinien und Verfahren zur Informationsübertragung
Referenzen ISO 27002-Steuerung 5.14
Informationsübertragungsvorgänge sollten:
- Konzentrieren Sie sich auf Kontrollen, die das verhindern Abfangen, unautorisierter Zugriff, Kopieren, Modifikation, Fehlleitung, Zerstörung kombiniert mit einem nachhaltigen Materialprofil. Verweigerung des Dienstes von PII und datenschutzbezogenen Informationen (siehe ISO 27002 Control 8.24).
- Stellen Sie sicher, dass Informationen nachvollziehbar sind.
- Kategorisieren Sie eine Liste von Kontakten – z. B. Eigentümer, Risikoeigentümer usw.
- Beschreiben Sie die Verantwortlichkeiten im Falle eines Sicherheitsvorfalls.
- Integrieren Sie klare und prägnante Kennzeichnungssysteme (siehe ISO 27002 Control 5.13).
- Sorgen Sie für eine zuverlässige Übertragungsmöglichkeit, einschließlich themenspezifischer Richtlinien zur Datenübertragung (siehe ISO 27002 Control 5.10).
- Skizzieren Sie Aufbewahrungs- und Entsorgungsrichtlinien, einschließlich regionaler oder branchenspezifischer Gesetze und Richtlinien.
Elektronische Übertragung
Bei der Nutzung elektronischer Übertragungsmöglichkeiten sollten Organisationen:
- Versuchen Sie, Schadprogramme zu erkennen und davor zu schützen (siehe ISO 27002 Control 8.7).
- Konzentrieren Sie sich auf den Schutz von Anhängen.
- Seien Sie sehr vorsichtig, wenn Sie Informationen an die richtige Adresse senden.
- Vorschreiben eines Genehmigungsprozesses, bevor Mitarbeiter Informationen über „externe öffentliche Dienste“ (z. B. Instant Messaging) übermitteln können, und eine stärkere Kontrolle über solche Methoden.
- Vermeiden Sie nach Möglichkeit die Nutzung von SMS-Diensten und Faxgeräten.
Physische Übertragungen (einschließlich Speichermedien)
Bei der Übertragung physischer Medien (einschließlich Papierdokumente) zwischen Räumlichkeiten oder externen Standorten sollten Organisationen:
- Legen Sie klare Verantwortlichkeiten für Versand und Empfang fest.
- Geben Sie bei der Eingabe der korrekten Adressdaten große Sorgfalt ein.
- Verwenden Sie eine Verpackung, die Schutz vor physischer Beschädigung oder Manipulation bietet.
- Arbeiten Sie mit einer Liste autorisierter Kuriere und Drittversender, einschließlich strenger Identifizierungsstandards.
- Führen Sie gründliche Protokolle aller physischen Übertragungen, einschließlich Empfängerdetails, Datum und Uhrzeit der Übertragungen sowie aller physischen Schutzmaßnahmen.
Mündliche Übertragungen
Die mündliche Übermittlung sensibler Informationen stellt ein besonderes Sicherheitsrisiko dar, insbesondere wenn es um personenbezogene Daten und den Schutz der Privatsphäre geht.
Organisationen sollten ihre Mitarbeiter daran erinnern:
- Vermeiden Sie solche Gespräche an einem öffentlichen Ort oder an einem ungesicherten internen Ort.
- Vermeiden Sie es, Voicemail-Nachrichten zu hinterlassen, die vertrauliche oder eingeschränkte Informationen enthalten.
- Stellen Sie sicher, dass die Person, mit der Sie sprechen, über die entsprechenden Kenntnisse verfügt, um diese Informationen zu erhalten, und informieren Sie sie darüber, was gesagt werden soll, bevor Sie Informationen preisgeben.
- Achten Sie auf die Umgebung und stellen Sie sicher, dass die Raumkontrollen eingehalten werden.
Anwendbare DSGVO-Artikel
- Artikel 5 – (1)(f)
Relevante ISO 27002-Kontrollen
- ISO 27002 5.13
- ISO 27002 8.7
- ISO 27002 8.24
ISO 27701 Abschnitt 6.10.2.2 – Vereinbarungen zur Informationsübertragung
Referenzen ISO 27002-Steuerung 5.14
Siehe ISO 27701 Abschnitt 6.10.2.1
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 6.10.2.3 – Elektronische Nachrichtenübermittlung
Referenzen ISO 27002-Steuerung 5.14
Siehe ISO 27701 Abschnitt 6.10.2.1
ISO 27701 Klausel 6.10.2.4 – Vertraulichkeits- oder Geheimhaltungsvereinbarungen
Referenzen ISO 27002-Steuerung 6.6
Organisationen sollten Geheimhaltungsvereinbarungen (NDAs) und Vertraulichkeitsvereinbarungen nutzen, um die vorsätzliche oder versehentliche Weitergabe sensibler Informationen an unbefugtes Personal zu schützen.
Bei der Ausarbeitung, Umsetzung und Aufrechterhaltung solcher Vereinbarungen sollten Organisationen:
- Bieten Sie eine Definition für die Informationen an, die geschützt werden sollen.
- Geben Sie die voraussichtliche Laufzeit der Vereinbarung klar an.
- Geben Sie alle erforderlichen Maßnahmen klar an, sobald eine Vereinbarung beendet wurde.
- Alle Verantwortlichkeiten, die von bestätigten Unterzeichnern vereinbart wurden.
- Eigentum an Informationen (einschließlich geistigem Eigentum und Geschäftsgeheimnissen).
- Wie Unterzeichner die Informationen nutzen dürfen.
- Beschreiben Sie klar und deutlich das Recht der Organisation, vertrauliche Informationen zu überwachen.
- Alle Konsequenzen, die sich aus der Nichteinhaltung ergeben.
- Überprüfen Sie regelmäßig ihre Vertraulichkeitsbedürfnisse und passen Sie zukünftige Vereinbarungen entsprechend an.
Vertraulichkeitsgesetze variieren von Gerichtsbarkeit zu Gerichtsbarkeit, und Organisationen sollten bei der Ausarbeitung von NDAs und Vertraulichkeitsvereinbarungen ihre eigenen gesetzlichen und behördlichen Verpflichtungen berücksichtigen (siehe ISO 27002-Kontrollen 5.31, 5.32, 5.33 und 5.34).
Anwendbare DSGVO-Artikel
- Artikel 5 – (1)
- Artikel 25 – (1)(f)
- Artikel 28 – (3)(b)
- Artikel 38 – (5)
Relevante ISO 27002-Kontrollen
- ISO 27002 5.31
- ISO 27002 5.32
- ISO 27002 5.33
- ISO 27002 5.34
Unterstützende Kontrollen von ISO 27002 und DSGVO
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | ISO 27002-Anforderung | Zugehörige DSGVO-Artikel |
|---|---|---|---|
| 6.10.2.1 | Richtlinien und Verfahren zur Informationsübertragung |
5.14 – Informationsübertragung für ISO 27002 |
Artikel (5) |
| 6.10.2.2 | Vereinbarungen zur Informationsübertragung |
5.14 – Informationsübertragung für ISO 27002 |
Non |
| 6.10.2.3 | Elektronische Nachrichtenübermittlung |
5.14 – Informationsübertragung für ISO 27002 |
Non |
| 6.10.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
6.6 – Vertraulichkeits- oder Geheimhaltungsvereinbarungen für ISO 27002 |
Artikel (5), (25), (28), (38) |
Wie ISMS.online hilft
Egal, ob Sie gerade erst anfangen, sich mit Datenschutz zu befassen, oder ein Experte sind, der mehrere Standards und Vorschriften integrieren möchte, unsere Funktionen sind einfach zu verwenden und Sie werden sofort nach der Anmeldung Fortschritte machen.
- Eingebaute Risikobank
- ROPA leicht gemacht
- Sicherer Platz für DRR
Erfahren Sie mehr von eine Demo buchen.
