ISO 27701 Abschnitt 6.5: Stärkung des Datenschutzes durch Asset Management
Die Vermögensverwaltung ist ein wesentlicher Bestandteil der Wahrung des Datenschutzes, sowohl auf physischer als auch auf digitaler Ebene.
Unternehmen müssen kristallklare Aufzeichnungen aller relevanten Vermögenswerte führen, um einen Top-Down-Überblick darüber zu erhalten, wie personenbezogene Daten und datenschutzbezogene Daten durch das Unternehmen fließen.
Personal, das Vermögenswerte innerhalb der IKT einer Organisation nutzt, die in der Lage sind, personenbezogene Daten zu speichern oder zu verarbeiten, sollte ausdrücklich darüber informiert werden, was von ihnen im Hinblick auf eine akzeptable Nutzung erwartet wird und wie diese Informationen während einer Offboarding-Phase verwaltet werden.
Was in ISO 27701 Abschnitt 6.5 behandelt wird
ISO 27701 6.5 enthält vier Unterabschnitte, die sich speziell mit dem Schutz der Privatsphäre im Kontext der Vermögensverwaltung befassen.
Jeder Unterabschnitt stützt sich auf die darin enthaltenen Leitlinien innerhalb verschiedener Unterabschnitte der ISO 27002, mit zwei Unterabschnitten, die genau die gleichen Leitlinien enthalten:
- ISO 27701 6.5.1.1 – Bestandsaufnahme der Vermögenswerte (Referenzen ISO 27002 Control 5.9).
- ISO 27701 6.5.1.2 – Eigentum an Vermögenswerten (Referenzen ISO 27002 Control 5.9).
- ISO 27701 6.5.1.3 – Akzeptable Nutzung von Vermögenswerten (Referenzen ISO 27002 Control 5.10).
- ISO 27701 6.5.1.4 – Rückgabe von Vermögenswerten (Referenzen ISO 27002 Control 5.11).
ISO bietet keine zusätzlichen Leitlinien für PIMS-bezogene Aktivitäten im Rahmen des Asset Managements, noch sind irgendwelche DSGVO-Auswirkungen zu berücksichtigen.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Abschnitt 6.5.1.1 – Inventar der Vermögenswerte
Referenzen ISO 27002-Steuerung 5.9
Kategorisieren von Beständen
Um den Schutz der Privatsphäre zu verbessern, sollten Organisationen eine genaue, aktuelle und dokumentierte Liste von Informationen und Vermögenswerten führen, einschließlich der Möglichkeit, auf Bestände im gesamten Unternehmen zu verweisen.
Es gibt verschiedene Möglichkeiten, wie Unternehmen ihren Lagerbestand verbessern können, darunter:
- Regelmäßige Überprüfung des Inhalts eines Inventars anhand der tatsächlichen Bestände der Organisation.
- Immer wenn ein Vermögenswert von der Organisation geändert, eingeführt oder entfernt wird, werden Verfahren implementiert, die den Bestand im Rahmen des Änderungsprozesses automatisch aktualisieren.
- Stellen Sie sicher, dass die Inventare ein Feld „Standort“ enthalten, um den Aufenthaltsort jedes Vermögenswerts leicht identifizieren zu können.
Bei den Inventaren muss es sich nicht um eine große Liste aller gehaltenen physischen und digitalen Vermögenswerte handeln. Stattdessen fordert die ISO Organisationen dazu auf, Bestände nach Kategorien zu trennen, einschließlich separater Bestände für:
- Informationsressourcen.
- Hard-und Software.
- Virtuelle Maschinen (VMs).
- Anlagenausstattung.
- Persönliche Rekorde.
Es ist wichtig zu beachten, dass bei bestimmten Vermögenswerten nicht alle Informationen regelmäßig gepflegt werden können und es nicht erforderlich ist, jeden einzelnen Vermögenswert in den gesamten physischen und digitalen Beständen der Organisation einzubeziehen – z. B. kurzlebige VMs einen einzelnen Zweck für kurze Zeit erfüllen, bevor es entfernt wird.
Impressum
Alle kategorisierten Vermögenswerte sollten einen offiziellen „Eigentümer“ erhalten – sei es eine Einzelperson oder eine Gruppe (siehe ISO 27002 5.12 und 5.13) – der sich ändern sollte, wenn die Aufgabenbereiche beginnen, enden oder geändert werden.
Vermögenseigentümer sollten Folgendes sicherstellen:
- Alle Vermögenswerte werden korrekt erfasst und in einem Inventar klassifiziert.
- Die Klassifizierungen unterliegen einer regelmäßigen Überprüfung.
- Alle Technologiekomponenten werden entsprechend und getrennt von physischen Vermögenswerten (z. B. DB-Komponenten) aufgeführt.
- Die Organisation hält sich an eine akzeptable Nutzungsrichtlinie (siehe ISO 27002-Steuerung 5.10).
- Bestimmte Vermögenswertklärungen unterliegen Einschränkungen und werden zu gegebener Zeit überprüft.
- Wann immer die Organisation Daten aus ihrem Bestand löschen oder entfernen muss, müssen diese Daten sicher entsorgt werden.
- Das Risikomanagement steht im Mittelpunkt aller Asset-Handling-Aktivitäten.
- Sie bieten allen Mitarbeitern, die sich mit Datenschutz und Informationsmanagement befassen, angemessene Unterstützung.
Relevante ISO 27002-Kontrollen
- ISO 27002 5.10
- ISO 27002 5.12
- ISO 27002 5.13
ISO 27701 Abschnitt 6.5.1.2 – Eigentum an Vermögenswerten
Referenzen ISO 27002-Steuerung 5.9
Siehe ISO 27701 Abschnitt 6.5.1.1
ISO 27701 Abschnitt 6.5.1.3 – Akzeptable Nutzung von Vermögenswerten
Referenzen ISO 27002-Steuerung 5.10
Alle Mitarbeiter innerhalb der Organisation, die mit Informationen oder physischen und digitalen Vermögenswerten umgehen, sollten ausdrücklich auf ihre Verantwortung für den Schutz der Privatsphäre aufmerksam gemacht werden, einschließlich aller allgemeinen oder themenspezifischen Sicherheitsanforderungen.
Richtlinien zur akzeptablen Nutzung sollten Folgendes klar darlegen:
- Wie die Organisation akzeptables und inakzeptables Verhalten im Rahmen des Datenschutzes einstuft.
- Wie Informationen (insbesondere PII) im gesamten Netzwerk verwendet werden dürfen.
- Wie die Organisation die Nutzung von Vermögenswerten überwachen will.
Es sollten Verfahren implementiert werden, die den gesamten Lebenszyklus von PII berücksichtigen, einschließlich:
- Zugriffsbeschränkungen, die für PII relevant sind.
- Eine klare und aktuelle Aufzeichnung darüber, wer unter welchen Umständen auf PII-Daten und zugehörige Vermögenswerte zugreifen darf.
- Angemessenes Sicherheits- und Speicherniveau für PII-Daten – einschließlich temporärer Kopien.
- Berücksichtigung der Herstellerempfehlungen bei der Aufbewahrung von Vermögenswerten im Zusammenhang mit dem Schutz der Privatsphäre (siehe ISO 27002 7.8).
- Deutliche Kennzeichnung aller Speichermedien mit den Angaben des berechtigten Benutzers/Empfängers (siehe ISO 27002 7.10).
- Wie PII-Daten und zugehörige Vermögenswerte aus dem Netzwerk entfernt und/oder gelöscht und entsorgt werden.
Relevante ISO 27002-Kontrollen
- ISO 27002 7.8
- ISO 27002 7.10
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 6.5.1.4 – Rückgabe von Vermögenswerten
Referenzen ISO 27002-Steuerung 5.11
Verfahren zur Vermögensverwaltung müssen auch explizite Richtlinien dazu enthalten, wie die Organisation die Rückgabe von Vermögenswerten verwaltet, die an der Verarbeitung oder Speicherung personenbezogener Daten und anderer datenschutzbezogener Informationen beteiligt waren.
Unabhängig davon, ob das Personal seine eigenen Geräte verwendet hat oder ein Organisationsvermögenswert zugewiesen wurde, müssen Prozesse eingerichtet werden, die personenbezogene Daten schützen, indem die Daten aus dem betreffenden Vermögenswert entfernt und die Informationen zurück an die Organisation übertragen werden.
Wenn für Mitarbeiter eine Kündigungsfrist gilt, sollten Unternehmen Maßnahmen ergreifen, um sicherzustellen, dass personenbezogene Daten durch den ausscheidenden Mitarbeiter in keiner Weise gefährdet werden – einschließlich unbefugter Weitergabe, Übertragung oder Löschung.
Organisationen sollten Arbeitsabläufe entwickeln, die die Rückgabe aller Vermögenswerte abdecken, die mit der Verarbeitung oder Speicherung personenbezogener Daten verbunden sind, einschließlich (aber nicht beschränkt auf):
- Geräte (Laptops, Mobiltelefone, Tablets usw.).
- USB-Laufwerke.
- Authentifizierungstools und -hardware (VPN-Validierungsressourcen und -Tokens, Tür-/Gebäudezugangsgeräte).
- Gedruckte Kopien von PII.
Unterstützende Kontrollen von ISO 27002 und DSGVO
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | ISO 27002-Anforderung | Zugehörige DSGVO-Artikel |
|---|---|---|---|
| 6.5.1.1 | Inventar der Vermögenswerte |
5.9 – Inventar der Informationen und anderer zugehöriger Vermögenswerte für ISO 27002 |
Non |
| 6.5.1.2 | Eigentum an Vermögenswerten |
5.9 – Inventar der Informationen und anderer zugehöriger Vermögenswerte für ISO 27002 |
Non |
| 6.5.1.3 | Akzeptable Nutzung von Vermögenswerten |
5.10 – Akzeptable Nutzung von Informationen und anderen zugehörigen Vermögenswerten gemäß ISO 27002 |
Non |
| 6.5.1.4 | Rückgabe von Vermögenswerten |
5.11 – Rückgabe von Vermögenswerten für ISO 27002 |
Non |
Wie ISMS.online hilft
Wie helfen wir?
Durch das Hinzufügen eines PIMS zu Ihrem ISMS auf der ISMS.online-Plattform bleibt Ihr Sicherheitsstatus an einem Ort und Sie vermeiden Doppelarbeit, wenn sich die Standards überschneiden.
Da Ihr PIMS für interessierte Parteien sofort zugänglich ist, war es noch nie so einfach, mit einem Klick sowohl die ISO 27002 als auch die ISO 27701 zu überwachen, zu berichten und zu prüfen.
Finden Sie heraus, wie viel Zeit und Geld Sie auf Ihrem Weg zu einer kombinierten ISO 27002- und 27701-Zertifizierung mit ISMS.online sparen.
Erfahren Sie mehr von Buchen Sie eine praktische Demo.
