Klausel 6.3 verstehen: Informationssicherheit effektiv organisieren
Der Datenschutz sollte als verwaltet werden konzeptsowie eine betriebliche Realität.
Unternehmen sollten den Schutz der Privatsphäre nicht nur im Hinblick auf die Systeme berücksichtigen, die sie zum Schutz von Daten verwenden, sondern auch in Bezug auf die Art und Weise, wie sie die Personen verwalten, die auf personenbezogene Daten zugreifen, und wie der Schutz der Privatsphäre zusammen mit anderen Geschäftsfunktionen wie dem Projektmanagement behandelt wird.
ISO 27701 6.3 beschreibt, wie Unternehmen den Datenschutz als End-to-End-Prozess verwalten können, der die oben genannten Faktoren umfasst.
Was in ISO 27701 Abschnitt 6.3 behandelt wird
ISO 27701 6.3 enthält drei Unterabschnitte, die datenschutzspezifische Leitlinien enthalten, angepasst an drei unterstützende Klauseln in ISO 27002:
- ISO 27701 6.3.1.1 – Rollen und Verantwortlichkeiten im Bereich Informationssicherheit (Referenzen ISO 27002 Kontrolle 5.2)
- ISO 27701 6.3.1.2 – Aufgabentrennung (Referenzen ISO 27002 Kontrolle 5.3)
- ISO 27701 6.3.1.5 – Informationssicherheit im Projektmanagement (Referenzen ISO 27002 Kontrolle 5.8)
Weitere PIMS-spezifische Leitlinien zur Verarbeitung personenbezogener Daten finden Sie in Abschnitt 6.3.1.1, der auch mit Artikeln in der DSGVO-Gesetzgebung verknüpft ist.
Bitte beachten Sie, dass DSGVO-Zitate nur zu Informationszwecken dienen. Organisationen sollten die Gesetzgebung prüfen und selbst beurteilen, welche Teile des Gesetzes für sie gelten.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 6.3.1.1 – Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit
Referenzen ISO 27002-Steuerung 5.2
Organisationen sollten Rollen und Verantwortlichkeiten definieren, die spezifisch für einzelne Funktionen sind, die in ihrer Datenschutzrichtlinie enthalten sind – sowohl in ihrer allgemeinen Richtlinie als auch in themenspezifischen Richtlinien.
Personen mit besonderen Verantwortlichkeiten sollten über ausreichende Qualifikationen für die Durchführung datenschutzbezogener Aufgaben verfügen und kontinuierliche Unterstützung erhalten, die ein akzeptables Kompetenzniveau gewährleistet.
Zu den Verantwortungsbereichen sollten gehören:
- Der Schutz personenbezogener Daten und aller datenschutzbezogenen Vermögenswerte.
- Durchführung von Verfahren zum Schutz der Privatsphäre.
- PII-bezogene Risikomanagementaktivitäten, einschließlich Abhilfemaßnahmen.
- Jeder, der die Informationen und Daten der Organisation nutzt, einschließlich der Nutzung von IKT-Ressourcen.
- Personen mit höchster Verantwortung für den Datenschutz, die Aufgaben an andere delegieren.
ISO erkennt an, dass jede Organisation in der Art und Weise, wie sie Informationen verarbeitet, einzigartig ist. Die oben genannten Verantwortungsbereiche sollten von standort- und einrichtungsspezifischen Richtlinien begleitet werden, die reale Faktoren berücksichtigen, die sich auf den PII-Verarbeitungsvorgang einer Organisation auswirken.
Alle oben genannten Verantwortlichkeiten und Sicherheitsbereiche sollten klar dokumentiert und allen relevanten Mitarbeitern zugänglich gemacht werden.
Zusätzliche PIMS-spezifische Anleitung
Organisationen sollten eine Person benennen, die Kunden (und externen Behörden) als dedizierter Ansprechpartner für alle PII-bezogenen Angelegenheiten nutzen kann (siehe ISO 27701 7.3.2).
Darüber hinaus sollten Organisationen die Verantwortung für den Aufbau eines organisatorischen Datenschutz-Governance-Programms, das die Einhaltung lokaler und nationaler PII-Gesetze und -Vorschriften unterstützt, an eine oder mehrere Personen delegieren.
Anwendbare DSGVO-Artikel
- Artikel 27 – (1), (2)(a), (2)(b), (3), (4), (5)
- Artikel 37 – (1)(a), (1)(b), (1)(c), (2), (3), (4), (5), (6), (7)
- Artikel 38 – (1), (2), (3), (4), (5), (6)
- Artikel 39 – (1)(a), (1)(b), (1)(c), (1)(d), (1)(e), (2)
Unterstützende Klauseln
- ISO 27701 Abschnitt 7.3.2
ISO 27701 Abschnitt 6.3.1.2 – Aufgabentrennung
Referenzen ISO 27002-Steuerung 5.3
In einer Organisation mit vielen verschiedenen datenschutzbezogenen Rollen können Verantwortlichkeiten und Pflichten oft in Konflikt miteinander geraten.
Einzelpersonen können oft Rollen ausüben, die das Potenzial haben, personenbezogene Daten zu gefährden, weil sie entweder die alleinige Autorität haben oder keine Kontrolle durch das Management haben.
Die Zuständigkeiten sollten getrennt werden, um einen robusteren Datenschutz zu gewährleisten. Beispiele für Rollen, die Konflikte enthalten können, sind:
- Beantragen, Genehmigen oder Implementieren einer Änderung am PIMS.
- Änderungen an Zugriffsrechten vornehmen, einschließlich RBAC.
- Code schreiben oder ändern oder irgendeine Art von Anwendungsentwicklung durchführen.
- Nutzung von Anwendungen oder Datenbanken, die sich mit der Verarbeitung und/oder Speicherung personenbezogener Daten befassen.
- Ausarbeitung, Genehmigung und/oder Überprüfung von Datenschutzmaßnahmen.
Bei der Entwicklung von Segregationskontrollen sollten verschiedene Faktoren berücksichtigt werden:
- Absprachen verhindern.
- Konflikte erkennen.
- Überwachungsaktivitäten.
- Audit-Trails erstellen.
- Automatisierung des Prozesses zur Identifizierung von Konflikten.
Die ISO erkennt an, dass es für kleinere Organisationen aufgrund ihrer begrenzten Ressourcen schwierig sein kann, die Rollen zu trennen. Dennoch sollte das gesamte Konzept der Trennung so weit verfolgt werden, wie es kommerziell und operativ möglich ist.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Abschnitt 6.3.1.5 – Informationssicherheit im Projektmanagement
Referenzen ISO 27002-Steuerung 5.8
Neben der Generierung täglich wiederkehrender Einnahmen sollte sich der Schutz der Privatsphäre auch auf Projektumsetzungs- und Managementaktivitäten erstrecken.
Projekte beinhalten häufig die Migration, Erstellung und Änderung großer Mengen personenbezogener Daten und sollten daher angemessen berücksichtigt werden, damit Organisationen die Einhaltung lokaler und nationaler Datenschutzgesetze und behördlicher Richtlinien gewährleisten können.
Ein „Projekt“ kann jede Aktivität sein, die eine Standardarbeitsweise verändert oder neue Prozesse und/oder Geräte und Anwendungen in einer Organisation einführt.
Projektmanagementaktivitäten sollten Folgendes sicherstellen:
- Datenschutzrisiken und -anforderungen werden frühzeitig im Projekt berücksichtigt und über den gesamten Projektlebenszyklus hinweg aufrechterhalten (siehe ISO 27002, Abschnitte 5.32 und 8.26).
- Der Schutz der Privatsphäre wird kontinuierlich überwacht und umgesetzt – durch formelle Evaluierungen durch geeignete Personen oder Leitungsgremien und strukturierte Tests.
- Alle Rollen im Zusammenhang mit dem projektspezifischen Datenschutz sind klar definiert.
- Alle im Rahmen des Projekts zu liefernden Produkte oder Dienstleistungen sollten in Übereinstimmung mit den veröffentlichten Datenschutzstandards der Organisation erstellt werden.
- Der Schutz der Privatsphäre wird durch Methoden wie Bedrohungsmodellierung, Vorfallüberprüfungen, Schwachstellenschwellenwerte und Notfallplanung gestärkt.
Bemühungen zum Schutz der Privatsphäre sollten nicht auf IKT-Projekte beschränkt sein. Organisationen sollten eine Reihe von Faktoren berücksichtigen, wenn sie spezifische PII-bezogene Anforderungen festlegen, darunter:
- Die einzigartigen Informationsvariablen, einschließlich der konkreten Daten, ihrer Sicherheitsanforderungen und der Folgen eines Verstoßes oder Missbrauchs.
- Die Zusicherungen, die in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit eingeholt werden müssen.
- Die Bereitstellung von Zugriffsrechten und Berechtigungsprotokollen für internes und externes Personal (einschließlich Kunden).
- Setzen Sie klare Erwartungen, die die Nutzer über ihre Pflichten informieren.
- Die Anforderungen anderer interner Sicherheitskontrollen.
- Alle systembezogenen Aktionen, die aufgrund betrieblicher Aktivitäten erforderlich sind (z. B. Transaktionsprotokollierung).
- Einhaltung gesetzlicher, behördlicher und vertraglicher Anforderungen.
- Vertragliche Verpflichtungen Dritter, die an den eigenen Datenschutzstandards der Organisation ausgerichtet sind.
Relevante ISO 27002-Kontrollen
- ISO 27002 5.32
- ISO 27002 8.26
Unterstützende Kontrollen von ISO 27002 und DSGVO
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | ISO 27002-Anforderung | Zugehörige DSGVO-Artikel |
|---|---|---|---|
| 6.3.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
5.2 – Informationssicherheitsrollen und Verantwortlichkeiten für ISO 27002 |
Artikel (27), (37), (38), (39) |
| 6.3.1.2 | Aufgabentrennung |
5.3 – Aufgabentrennung für ISO 27002 |
Keine Präsentation |
| 6.3.1.5 | Informationssicherheit im Projektmanagement |
5.8 – Informationssicherheit im Projektmanagement für ISO 27002 |
Keine Präsentation |
Wie ISMS.online hilft
Unsere ISMS.online-Lösungen erleichtern Organisationen die Projektüberwachung und stellen sicher, dass die Richtlinien und Verfahren für Datenverantwortliche und -verarbeiter dem ISO-Standard entsprechen.
Unser Online-System stellt außerdem sicher, dass Systemimplementierer einen einzigen Ort für Referenz und Zusammenarbeit haben.
Mit unserer Assured Results Method (ARM) können Sie sicher sein, dass Sie alle Kriterien erfüllen, die Sie zur Einhaltung des Standards benötigen.
Erfahren Sie mehr und erhalten Sie eine praktische Vorführung von eine Demo buchen.
