Erreichen der Konformität mit ISO 27701 Abschnitt 6.15: Ein vollständiger Überblick
Compliance ist ein wesentlicher Bestandteil jeder Datenschutzmaßnahme – Unternehmen müssen nachweisen können, dass sie ihren Verpflichtungen gegenüber personenbezogenen Daten und den Systemen nachkommen, die zum Speichern und Verarbeiten von datenschutzbezogenem Material verwendet werden.
Was in ISO 27701 Abschnitt 6.15 behandelt wird
ISO 27701 6.15 befasst sich mit der Compliance in zwei Hauptbereichen – Einhaltung gesetzlicher und vertraglicher Anforderungen und Überprüfungen der Informationssicherheit (Letzteres ist das wichtigste Instrument zur Aufdeckung von Verstößen und zur Lösung datenschutzbezogener Probleme).
- ISO 27701 6.15.1.1 – Identifizierung der geltenden Gesetze und vertraglichen Anforderungen (ISO 27002 Steuerung 5.31)
- ISO 27701 6.15.1.2 – Geistige Eigentumsrechte (ISO 27002 Control 5.32)
- ISO 27701 6.15.1.3 – Schutz von Aufzeichnungen (ISO 27002 Control 5.33)
- ISO 27701 6.15.1.4 – Privatsphäre und Schutz personenbezogener Daten (ISO 27002 Control 5.34)
- ISO 27701 6.15.1.5 – Regulierung kryptografischer Kontrollen (ISO 27002 Control 5.31)
- ISO 27701 6.15.2.2 – Einhaltung von Sicherheitsrichtlinien und -standards (ISO 27002 Control 5.36)
- ISO 27701 6.15.2.3 – Überprüfung der technischen Konformität (ISO 27002 Control 5.36)
Vier Unterabschnitte enthalten Informationen, die für das Vereinigte Königreich relevant sind Datenschutz Gesetzgebung – zur Vereinfachung haben wir die Artikelverweise unter jedem Unterabschnitt bereitgestellt:
- ISO 27701 6.15.1.1
- ISO 27701 6.15.1.3
- ISO 27701 6.15.2.1
- ISO 27701 6.15.2.3
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
ISO 27701 Abschnitt 6.15.1.1 – Identifizierung der anwendbaren Gesetze und vertraglichen Anforderungen
Referenzen ISO 27002-Steuerung 5.31
Organisationen sollten die gesetzlichen, gesetzlichen, behördlichen und vertraglichen Anforderungen einhalten, wenn:
- Ausarbeitung und/oder Änderung von Datenschutzverfahren zur Informationssicherheit.
- Informationen kategorisieren.
- Durchführung von Risikobewertungen im Zusammenhang mit Datenschutz- und Informationssicherheitsaktivitäten.
- Aufbau von Lieferantenbeziehungen, einschließlich etwaiger vertraglicher Verpflichtungen entlang der gesamten Lieferkette.
Gesetzliche und regulatorische Faktoren
Organisationen sollten Verfahren befolgen, die ihnen dies ermöglichen identifizieren, analysieren kombiniert mit einem nachhaltigen Materialprofil. verstehen Sie erfüllen gesetzliche und behördliche Verpflichtungen – insbesondere solche, die sich auf den Schutz der Privatsphäre und personenbezogene Daten beziehen – wo auch immer sie tätig sind.
Organisationen sollten sich stets ihrer Datenschutzverpflichtungen bewusst sein, wenn sie neue Vereinbarungen mit Dritten, Lieferanten und Auftragnehmern abschließen.
Cryptography
Beim Einsatz von Verschlüsselungsmethoden zur Verbesserung des Datenschutzes und zum Schutz personenbezogener Daten sollten Unternehmen Folgendes tun:
- Beachten Sie alle Gesetze, die den Import und Export von Hardware oder Software regeln, die das Potenzial haben, eine kryptografische Funktion zu erfüllen.
- Bereitstellung des Zugriffs auf verschlüsselte Informationen gemäß den Gesetzen der Gerichtsbarkeit, in der sie tätig sind.
- Nutzen Sie drei Schlüsselelemente der Verschlüsselung:
- Digitale Signaturen.
- Dichtungen.
- Digitale Zertifikate.
Anwendbare DSGVO-Artikel
- Artikel 5 – (1)(f)
- Artikel 28 – (1), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3)(f), ( 3)(g), (3)(h)
- Artikel 30 – (2)(d)
- Artikel 32 – (1)(b)
Relevante ISO 27002-Kontrollen
- ISO 27002 5.20
ISO 27701 Abschnitt 6.15.1.2 – Rechte an geistigem Eigentum
Referenzen ISO 27002-Steuerung 5.32
Um alle Daten, Software oder Vermögenswerte zu schützen, die als geistiges Eigentum (IP) gelten könnten, sollten Unternehmen:
- Halten Sie sich an eine „themenspezifische“ Richtlinie, die sich mit IP-Rechten befasst und IP von Fall zu Fall berücksichtigt.
- Halten Sie sich an Verfahren, die festlegen, wie die IP-Integrität bei der Nutzung von Unternehmenssoftware und -produkten gewahrt werden kann.
- Nutzen Sie zum Erwerb von Software nur seriöse Quellen, wenn Sie Software und Software-Abonnements kaufen, mieten oder leasen.
- Bewahren Sie Eigentumsnachweise (elektronisch oder physisch) auf.
- Halten Sie sich an die Software-Nutzungsbeschränkungen.
- Führen Sie regelmäßige Softwareüberprüfungen durch, um die Verwendung nicht autorisierter oder potenziell schädlicher Anwendungen zu vermeiden.
- Stellen Sie sicher, dass die Softwarelizenzen gültig und aktuell sind und dass die Fair-Use-Richtlinien eingehalten werden.
- Entwerfen Sie Verfahren, die die sichere und konforme Entsorgung von Softwareressourcen gewährleisten.
- (Bei kommerziellen Aufnahmen stellen Sie sicher, dass kein Teil der Aufnahme mit unautorisierten Mitteln extrahiert, kopiert oder konvertiert wird.
- Stellen Sie sicher, dass Textdaten neben digitalen Medien berücksichtigt werden.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Abschnitt 6.15.1.3 – Schutz von Aufzeichnungen
Referenzen ISO 27002-Steuerung 5.33
Unternehmen sollten die Datensatzverwaltung in vier Schlüsselbereichen in Betracht ziehen:
- Authentizität
- Zuverlässigkeit
- Integrität
- Benutzerfreundlichkeit
Um ein funktionierendes Aufzeichnungssystem aufrechtzuerhalten, das personenbezogene Daten und datenschutzbezogene Informationen schützt, sollten Unternehmen:
- Veröffentlichen Sie Richtlinien, die sich mit Folgendem befassen:
- Lagerung.
- Handhabung (Chain of Custody).
- Entsorgung.
- Manipulation verhindern.
- Beschreiben Sie, wie lange jeder Datensatztyp aufbewahrt werden soll.
- Beachten Sie alle Gesetze, die sich mit der Führung von Aufzeichnungen befassen.
- Berücksichtigen Sie die Erwartungen der Kunden hinsichtlich der Art und Weise, wie Unternehmen mit ihren Unterlagen umgehen sollten.
- Vernichten Sie Datensätze, sobald sie nicht mehr benötigt werden.
- Klassifizieren Sie Datensätze nach ihrem Sicherheitsrisiko, z. B.:
- Buchhaltung.
- Geschäftliche Transaktionen.
- Persönliche Rekorde.
- Rechtliches
- Stellen Sie sicher, dass sie in der Lage sind, Aufzeichnungen innerhalb eines akzeptablen Zeitraums abzurufen, wenn sie von einem Dritten oder einer Strafverfolgungsbehörde dazu aufgefordert werden.
- Halten Sie sich bei der Speicherung oder Handhabung von Aufzeichnungen auf elektronischen Medienquellen stets an die Richtlinien des Herstellers.
Anwendbare DSGVO-Artikel
- Artikel 5 – (2)
- Artikel 24 – (2)
ISO 27701 Klausel 6.15.1.4 – Privatsphäre und Schutz personenbezogener Daten
Referenzen ISO 27002-Steuerung 5.34
Organisationen sollten personenbezogene Daten als solche behandeln themenspezifisch Konzept, das im Rahmen zahlreicher unterschiedlicher Geschäftsfunktionen angegangen werden muss.
Zuallererst sollten Organisationen Richtlinien implementieren, die drei Hauptaspekte der PII-Verarbeitung und -Speicherung berücksichtigen:
- Erhaltung
- Datenschutz
- Schutz
Unternehmen sollten sicherstellen, dass sich alle Mitarbeiter ihrer Pflichten im Umgang mit PII bewusst sind, und nicht nur diejenigen, die im Rahmen ihrer Arbeit täglich damit in Berührung kommen.
Datenschutzbeauftragte
Organisationen sollten einen Datenschutzbeauftragten ernennen, dessen Aufgabe darin besteht, Mitarbeiter und Drittorganisationen zum Thema PII zu beraten und dem oberen Management Ratschläge zu geben, wie die Integrität und Verfügbarkeit von Datenschutzinformationen gewahrt bleiben kann.
ISO 27701 Abschnitt 6.15.1.5 – Regulierung kryptografischer Kontrollen
Referenzen ISO 27002-Steuerung 5.31
Siehe ISO 27701 Abschnitt 6.15.1.1
ISO 27701 Abschnitt 6.15.2.1 – Unabhängige Überprüfung der Informationssicherheit
Referenzen ISO 27002-Steuerung 5.35
Organisationen sollten Prozesse entwickeln, die eine unabhängige Überprüfung ihrer Datenschutzpraktiken zur Informationssicherheit ermöglichen, einschließlich sowohl themenspezifischer als auch allgemeiner Richtlinien.
Überprüfungen sollten durchgeführt werden von:
- Interne Auditoren.
- Unabhängige Abteilungsleiter.
- Spezialisierte Drittorganisationen.
Überprüfungen sollten unabhängig sein und von Personen durchgeführt werden, die über ausreichende Kenntnisse der Datenschutzrichtlinien und der eigenen Verfahren der Organisation verfügen.
Prüfer sollten feststellen, ob die Datenschutzpraktiken zur Informationssicherheit den „dokumentierten Zielen und Anforderungen“ der Organisation entsprechen.
Neben strukturierten regelmäßigen Überprüfungen müssen Unternehmen möglicherweise auch Ad-hoc-Überprüfungen durchführen, die durch bestimmte Ereignisse ausgelöst werden, darunter:
- Nach Änderungen interner Richtlinien, Gesetze, Richtlinien und Vorschriften, die sich auf den Datenschutz auswirken.
- Nach größeren Vorfällen, die Auswirkungen auf den Datenschutz haben.
- Immer wenn ein neues Unternehmen gegründet wird oder größere Änderungen am aktuellen Unternehmen vorgenommen werden.
- Nach der Einführung eines neuen Produkts oder einer neuen Dienstleistung, die sich in irgendeiner Weise mit dem Schutz der Privatsphäre befasst.
Anwendbare DSGVO-Artikel
- Artikel 32 – (1)(d), (2)
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 6.15.2.2 – Einhaltung von Sicherheitsrichtlinien und -standards
Referenzen ISO 27002-Steuerung 5.36
Unternehmen müssen sicherstellen, dass das Personal in der Lage ist, Datenschutzrichtlinien im gesamten Spektrum des Geschäftsbetriebs einzusehen.
Das Management sollte technische Methoden für die Berichterstattung über die Einhaltung der Datenschutzvorschriften entwickeln (einschließlich Automatisierung und maßgeschneiderter Tools). Berichte sollten aufgezeichnet, gespeichert und analysiert werden, um die Bemühungen zur PII-Sicherheit und zum Schutz der Privatsphäre weiter zu verbessern.
Wenn Compliance-Probleme entdeckt werden, sollten Unternehmen:
- Stellen Sie die Ursache fest.
- Entscheiden Sie sich für eine Korrekturmaßnahme zum Schließen und Schließen von Compliance-Lücken.
- Überprüfen Sie das Problem nach einer angemessenen Zeit erneut, um sicherzustellen, dass das Problem behoben ist.
Es ist von entscheidender Bedeutung, so schnell wie möglich Korrekturmaßnahmen zu ergreifen. Wenn Probleme bis zum Zeitpunkt der nächsten Überprüfung nicht vollständig gelöst sind, sollten zumindest Nachweise vorgelegt werden, die belegen, dass Fortschritte erzielt werden.
ISO 27701 Abschnitt 6.15.2.3 – Technische Compliance-Überprüfung
Referenzen ISO 27002-Steuerung 5.36
Siehe ISO 27701 Abschnitt 6.15.2.2
Anwendbare DSGVO-Artikel
- Artikel 32 – (1)(d), (2)
Unterstützende Kontrollen von ISO 27002 und DSGVO
Wie ISMS.online hilft
ISO 27701 ist nicht nur ein Rahmenwerk, das Organisationen übernehmen können; Es bedeutet, die Art und Weise anzupassen, wie Menschen Daten verstehen, mit ihnen interagieren und mit ihnen interagieren.
Bei ISMS.online haben wir unser System so konzipiert, dass Sie und Ihre Mitarbeiter unsere benutzerfreundliche Oberfläche zur Dokumentation Ihrer ISO-Reise nutzen können.
Wir stellen außerdem Videoressourcen und Zugang zu Informationssicherheitsexperten zur Verfügung, um Sie bei der Integration von Standards in Ihr Unternehmen zu unterstützen.
Erfahren Sie mehr von Buchen Sie eine praktische Demo.
