ISO 27701, Abschnitt 6.2, Informationssicherheitsrichtlinien

ISO 27701 – Abschnitt 6.2 – Informationssicherheitsrichtlinien

Der Abschnitt 27701 von ISO 6.2 betont die Notwendigkeit der Erstellung, Aufrechterhaltung und regelmäßigen Überprüfung von Informationssicherheitsrichtlinien zum Schutz personenbezogener Daten (PII), um eine Übereinstimmung mit der Geschäftsstrategie und die Einhaltung der ISO 27002-Kontrolle 5.1 sicherzustellen.

Kernelemente von Abschnitt 6.2: Richtlinienrahmen für den PII-Schutz

Datenschutzrichtlinien bieten einen operativen Rahmen für Unternehmen, um sich als verantwortungsbewusster Datenverantwortlicher zu verhalten und Mitarbeiter über ihre täglichen Pflichten in Bezug auf PII aufzuklären.

Die Richtliniendokumentation muss von der Geschäftsleitung gebilligt und den Mitarbeitern mitgeteilt werden, damit alle in der Organisation auf die gleichen PII-bezogenen Leitprinzipien hinarbeiten.

Was in ISO 27701 Abschnitt 6.2 behandelt wird

ISO 27701 6.2 enthält zwei Unterabschnitte, die spezifische Leitlinien zum Schutz der Privatsphäre bieten:

ISO 27701 6.2.1.1 – Richtlinien zur Informationssicherheit (Referenzen ISO 27002 Control 5.1)
ISO 27701 6.2.1.2 – Überprüfung der Richtlinien zur Informationssicherheit (Referenzen ISO 27002 Control 5.1)

Wie auch bei anderen Klauseln in der Norm gilt: ISO 27701 Abschnitt 6.2 verweist auf ISO 27002 wenn dargelegt wird, wie Organisationen mit PII- und PIMS-bezogenen Informationen umgehen sollten.

Der Wortlaut von ISO 27701 6.2 enthält Verweise auf ISO 27002:2013, diese Norm wurde jedoch nun durch eine aktuellere Version – ISO 27002:2022 – ersetzt. Wenn auf Abschnitte in ISO 27002:2013 verwiesen wird, haben wir die Zitate mit den aktualisierten Versionen in ISO 27002:2022 abgeglichen.

Zu diesem Zweck wird ISO 27701 6.2 mit zwei Standards aus ISO 27002:2013 (5.1.1 und 5.1.2) verknüpft, die in ISO 27002:2022 (5.1) zu einem einzigen Standard zusammengeführt wurden.

ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s

ISO 27701 Abschnitt 6.2.1.1 – Richtlinien zur Informationssicherheit

Referenzen ISO 27002-Steuerung 5.1

ISO befürwortet einen zweigleisigen Ansatz zum Schutz der Privatsphäre von Unternehmen, der Folgendes umfasst:

Eine allgemeine Datenschutzrichtlinie.
Themenspezifische Datenschutzrichtlinien.

Beide Arten von Richtlinien können entweder in einem Dokument zusammengefasst oder nach Ermessen der Organisation getrennt werden.

Richtlinien sollten an alle relevanten Mitarbeiter (und gegebenenfalls an externes Personal) weitergegeben werden, um die kontinuierliche Einhaltung interner und externer Datenschutzanforderungen sicherzustellen.

Jeder, der eine Police erhält, sollte gebeten werden, vorzugsweise schriftlich zu bestätigen, dass er versteht, was von ihm verlangt wird, und bereit ist, diese zu erfüllen.

Richtlinien sollten überprüft werden, wenn Änderungen vorgenommen werden an:

Geschäftsstrategie.
Betriebspraktiken/technische Umgebungen.
Alle Gesetze (einschließlich DSGVO), behördliche Bestimmungen oder allgemeine PII-bezogene Richtlinien, für deren Einhaltung die Organisation verantwortlich ist.
Risikoniveaus für den Datenschutz und die vorherrschende/prognostizierte Bedrohungslandschaft.

Themenspezifische Richtlinien

Ein themenspezifischer Ansatz zum Schutz der Privatsphäre gibt Organisationen die Freiheit, einzelne Elemente ihrer Datenverarbeitung/Informationssicherheit themenbezogen zu behandeln und für jedes Thema eine eigene Richtlinie festzulegen.

Themenspezifische Bereiche können IKT-Funktionen wie Zugangskontrolle, Netzwerksicherheit, BUDR-Planung und Verschlüsselungsprozesse umfassen.

Jede themenspezifische Richtlinie sollte im Einklang mit der übergeordneten Datenschutzrichtlinie der Organisation erstellt und von Abteilungsmitarbeitern (nicht unbedingt der Geschäftsleitung) entworfen werden, die über das entsprechende Maß an Fachwissen und Kompetenz in dem zu berücksichtigenden Bereich verfügen.

Allgemeine Datenschutzrichtlinien

Die Geschäftsleitung sollte eine Datenschutzrichtlinie auf höchster Ebene festlegen, in der die Prozesse und praktischen Schritte klar dargelegt sind, die zum Schutz personenbezogener Daten ergriffen werden. Die Datenschutzrichtlinien einer Organisation sollten Informationen enthalten von: und relevant bleiben für:

Die gesamte Geschäftsstrategie.
Alle geltenden behördlichen, gesetzlichen oder vertraglichen Anforderungen.
Alle klaren und gegenwärtigen Datenschutzrisiken.

Datenschutzrichtlinien sollten Folgendes definieren:

Operative Definition des Datenschutzes.
Erklärte Datenschutzziele.
Umfangreichere Grundsätze zum Schutz personenbezogener Daten.
Engagement für die Erreichung ihrer PII-bezogenen Ziele und deren kontinuierliche Verbesserung.
Ansatz zur Delegierung der Verantwortung für die Datenschutzrichtlinie ganz oder teilweise an die entsprechenden Rollentypen.
Ansatz zum Umgang mit Ausnahmen von der Richtlinie.
Pläne für die Prüfung und Genehmigung von Änderungen durch die Geschäftsleitung.

Zusätzliche PII-spezifische Anleitung

Organisationen sollten Richtlinien und Verfahren implementieren, die sich speziell mit allen geltenden PII-bezogenen Gesetzen, behördlichen Richtlinien oder vertraglichen Vereinbarungen befassen. Wenn Drittorganisationen beteiligt sind, sollten die Richtlinien die PII-Verantwortlichkeiten auf beiden Seiten klar darlegen.

Anwendbare DSGVO-Artikel

Artikel 24 – (24)(2)

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo

ISO 27701 Abschnitt 6.2.1.2 – Überprüfung der Richtlinien zur Informationssicherheit

Referenzen ISO 27002-Steuerung 5.1

ISO 27701 Abschnitt 6.2.1.2 enthält genau die gleichen Leitlinien wie ISO 27701 Abschnitt 6.2.1.1, ohne zusätzliche PII-bezogene Anforderungen.

Unterstützende Kontrollen von ISO 27002 und DSGVO

ISO 27701-Klauselkennung	Name der ISO 27701-Klausel	ISO 27002-Anforderung	Zugehörige DSGVO-Artikel
6.2.1.1	Richtlinien zur Informationssicherheit	5.1 – Richtlinien zur Informationssicherheit für ISO 27002	Artikel (24)
6.2.1.2	Überprüfung der Richtlinien zur Informationssicherheit	5.1 – Richtlinien zur Informationssicherheit für ISO 27002	Keine Präsentation

Wie ISMS.online hilft

Es kann schwierig sein, zu wissen, wo man mit ISO 27701 anfangen soll, insbesondere wenn Sie so etwas noch nie zuvor tun mussten. Hier kommt ISMS.online ins Spiel!

Unsere ISO 27701-Lösungen bieten Frameworks, die es Ihrem Unternehmen ermöglichen, die Einhaltung von ISO 27701 nachzuweisen.

Unsere Informationssicherheitsexperten können mit Ihnen zusammenarbeiten, um sicherzustellen, dass Sie einen logischen Implementierungsprozess entwickeln, der mit dem Online-Dokumentationsrahmen übereinstimmt.

Erfahren Sie mehr und erhalten Sie eine praktische Vorführung von eine Demo buchen.

Toby Cane

Partner Customer Success Manager

Toby Cane ist Senior Partner Success Manager bei ISMS.online. Er arbeitet seit fast vier Jahren für das Unternehmen und hat dort verschiedene Aufgaben wahrgenommen, unter anderem als Moderator von Webinaren. Vor seiner Tätigkeit im SaaS-Bereich war Toby Sekundarschullehrer.

ISO 27701-Klauseln

Wir sind führend auf unserem Gebiet