ISO 27701 Abschnitt 6.9.7: Stärkung von Audits von Informationssystemen
Bei der Prüfung werden in der Regel große Mengen an Informationen zu einem bestimmten System erfasst – darunter Benutzeraktionen, Kundendaten und kritische Ereignisse.
Der Prüfungsprozess selbst kann ein Risiko für personenbezogene Daten und den Schutz der Privatsphäre darstellen, da solche Aktivitäten möglicherweise Auswirkungen auf die Datenverfügbarkeit haben und manchmal spezielle Methoden zur Abfrage sensibler Datensätze erfordern.
Was in ISO 27701 Abschnitt 6.9.7 behandelt wird
ISO 27701 6.9.7 enthält einen Unterabschnitt im Zusammenhang mit IKT-Prüfungen und den damit verbundenen Datenschutzrisiken – ISO 6.9.7.1 –, der Leitlinien von enthält ISO 27002 Kontrolle 8.34.
ISO stellt keine zusätzlichen PIMS- oder PII-bezogenen Leitlinien bereit, noch gibt es UK Datenschutz Überlegungen, die es zu beachten gilt.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 6.9.7.1 – Prüfungskontrollen für Informationssysteme
Referenzen ISO 27002-Steuerung 8.34
Bei der Durchführung regelmäßiger Audits (und anderer Aktivitäten zur Netzwerksicherung) sollten Pläne erstellt werden, um sicherzustellen, dass die Integrität und Verfügbarkeit von PII und datenschutzbezogenen Vermögenswerten jederzeit geschützt ist.
Um dies zu erreichen, sollten Organisationen:
- Stellen Sie sicher, dass der Zugriff auf Systeme zu Prüfzwecken angemessen verwaltet wird.
- Beschreiben Sie klar und deutlich den Umfang der Prüfungstätigkeiten, bevor diese umgesetzt werden.
- Beschränken Sie den Zugriff auf sensible Daten nach Möglichkeit auf schreibgeschützte Berechtigungen. Wenn erweiterte Berechtigungen erforderlich sind, sollten Unternehmen erwägen, Prüfaufgaben an einen „erfahrenen Administrator“ zu delegieren.
- Überprüfen Sie die Sicherheitskonfiguration der Geräte, die zur Durchführung des Audits verwendet werden.
- Befolgen Sie ein vereinbartes Verfahren für die Anforderung spezieller Prüfungstools.
- Führen Sie nach Möglichkeit alle Prüfaktivitäten außerhalb der Geschäftszeiten durch, da diese Aktivitäten möglicherweise Auswirkungen auf die Systemverfügbarkeit haben.
- Führen Sie aus Compliance-Gründen ein gründliches Protokoll aller Prüfaktivitäten (einschließlich Anfragen).
- Berücksichtigen Sie die Auswirkungen der Prüfung von Test- und Entwicklungseinrichtungen und -umgebungen auf den Datenschutz.
Unterstützende Kontrollen von ISO 27002 und DSGVO
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | ISO 27002-Anforderung | Zugehörige DSGVO-Artikel |
|---|---|---|---|
| 6.9.7.1 | Prüfungskontrollen für Informationssysteme | 8.34 – Schutz von Informationssystemen während Audittests für ISO 27002 | Keine Präsentation |
Wie ISMS.online hilft
Unser PIMS entspricht dem internationalen Standard ISO 27001, kann aber auch eine wachsende Zahl nationaler, regionaler und branchenspezifischer Datenschutzstandards, Rahmenwerke und Vorschriften berücksichtigen.
- Datenschutz
- POPIA
- BS 10012
- Australische Datenschutzgrundsätze
- NIST-Datenschutzrahmen
- OECD-Datenschutzrichtlinien
- APEC-Datenschutzrahmen
- Und mehr
Mit unserer intuitiven Plattform können Sie Ihre Arbeit über mehrere Frameworks hinweg abbilden und so Duplizierungen und Wiederholungen vermeiden.
Erfahren Sie mehr von eine Demo buchen.
