Verständnis von ISO 27701: Datenschutzinformationsmanagementsystem (PIMS)

Was ist die Geschichte von ISO/IEC 27701?

ISO 27001 ist der beliebteste Sicherheitsstandard der Welt, weist jedoch einige Lücken auf. Insbesondere erfahren Sie nicht, wie Sie es einrichten Personenbezogene Daten (PII) Sicherheitsmaßnahmen. Die Allgemeine Datenschutzverordnung (DSGVO) der EU rückte den Mangel an klaren PII-Richtlinien in ISO 27001 in den Mittelpunkt. Die DSGVO fordert PII-Sicherheitsmaßnahmen, gibt jedoch keine Umsetzungshinweise oder Anforderungen.

Daher begann die Arbeit an dem Standard, der später ISO 27701 werden sollte. Der neue PII-Managementstandard wurde zunächst als ISO/IEC 27522 entwickelt. Die technischen Arbeiten an ISO 27522 endeten 2019 und führten zur Veröffentlichung des neuen Standards am 6. August 2019. Es ist ein Erweiterung zu ISO/IEC 27001. Vor der Veröffentlichung wurde ISO/IEC 27522 zu ISO/IEC 27701. Das liegt daran, dass jede Norm, die beschreibt, wie ein Managementsystem erstellt wird, mit 01 enden sollte.

Einführung des Datenschutzinformationsmanagements

Die meisten Organisationen müssen Informationen über einige oder alle ihrer:

• Kunden
• Mitarbeiter:innen
• Lieferanten
• Andere Interessengruppen

Diese Menschen verlassen sich auf Datenerfassungsorganisationen, um diese Informationen geheim zu halten. Das Risiko und der potenzielle Schaden durch eine Verletzung von Datenschutzinformationen oder personenbezogenen Daten (PII) nehmen schnell zu. Zu den Problemen können gehören:

• Bußgelder von bis zu 20 Millionen Euro (gemäß der EU-DSGVO)
• Erheblicher Marken- und Reputationsschaden
• Datenschutzprobleme für alle gefährdeten Personen

Daher erstellen immer mehr Organisationen Datenschutz-Informationsmanagementsysteme (bzw ZUM BEISPIEL). Ein effektives, ISO 27701-konformes oder zertifiziertes PIMS bietet viele potenzielle Vorteile. Es kann:

• Reduzieren Sie den Compliance-Aufwand, indem Sie die Sicherheit von Datenschutzinformationen einfach zu verwalten und möglicherweise mehrere regulatorische Anforderungen gleichzeitig erfüllen
• Stärken Sie das Vertrauen von Management, Regulierungsbehörden und anderen Stakeholdern, indem Sie transparente, einfach nachzuweisende Sicherheitsmaßnahmen schaffen
• Erfüllen Sie schnell und einfach die Datenschutzanforderungen Ihrer Kunden und anderer Handelspartner und übertreffen Sie diese sogar
• Legen Sie klare Bedingungen für die Weitergabe und Monetarisierung der wertvollen Daten fest, die Ihr Unternehmen gesammelt hat
• Senden Sie ein starkes, markenbildendes Signal, dass Ihr Unternehmen Sicherheit sehr ernst nimmt

Um die Sicherheit zu erhöhen, können Sie Ihre personenbezogenen Daten pseudonymisieren oder anonymisieren. Die DSGVO-Definitionen dieser beiden Arten der Verwaltung Ihrer personenbezogenen Daten lauten:

• Um personenbezogene Daten zu pseudonymisieren, müssen Sie diese „so verarbeiten, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können“ (Art. 3 DSGVO).
• Um personenbezogene Daten zu anonymisieren, müssen Sie sicherstellen, dass Sie diese in keinem Fall „so verarbeiten, dass die betroffene Person nicht oder nicht mehr identifizierbar ist“ (Erwägungsgrund 26 der DSGVO).

Pseudonymisierte Daten können weiterhin betroffen sein PII Vorschriften und Anforderungen. Die meisten Regulierungsbestimmungen gelten wahrscheinlich nicht für anonymisierte Daten.

Der Unterschied zwischen pseudonymisierten und anonymisierten Daten kann sehr subtil und komplex sein. Es kann je nach Gerichtsbarkeit variieren. Sie müssen sorgfältig prüfen, um sicherzustellen, dass Sie alle relevanten Vorschriften auf Ihre personenbezogenen Daten anwenden.

Oh, und wenn Sie über Informationen über jemanden verfügen, der (sehr traurig) verstorben ist, handelt es sich wahrscheinlich nicht um personenbezogene Daten. Informationen über den Verstorbenen gelten im Allgemeinen nicht als personenbezogen. Daten von Unternehmen, Behörden oder anderen Organisationen sind wahrscheinlich ebenfalls keine personenbezogenen Daten.

Was ist ein PIMS?

Ein PIMS ist ein Personal Information Management System. Es kombiniert:

• klar definierte und allgemein verständliche Richtlinien und Verfahren
• effektive Technologie für das Datenschutzmanagement
• gut ausgebildete Leute

um die persönlich identifizierbaren Informationen (PII) zu schützen, die Ihr Unternehmen speichert und nutzt. Ein effektives PIMS sichert Ihrem Unternehmen Folgendes:

• Mitarbeiter
• Kunden
• Kontakte
• andere Interessenten
• dass du bist Ihre persönlichen Daten sicher verwalten und verantwortungsvolle Art und Weise.

Ihr PIMS hilft Ihnen, personenbezogene Daten sowohl intern als auch extern zu speichern und weiterzugeben. Das richtige PIMS macht es den Menschen außerdem leicht, die von Ihnen gespeicherten Daten zu aktualisieren und zu korrigieren.

Lassen Sie sich nach ISO 27701 zertifizieren

Wer kann ISO 27701 umsetzen?

Um ISO 27701 umzusetzen, Ihre Organisation braucht zu:

1.   Prozess und/oder Verwaltung personenbezogener Daten (PII)

2.   Einen haben ISO 27001-zertifiziertes Informationssicherheitsmanagementsystem (ISMS)

Es spielt keine Rolle, welche Art oder Größe Ihre Organisation hat. Die Anforderungen der ISO 27701 sind so flexibel, dass sie alle Arten und Größen von Organisationen abdecken. Dazu gehören (ohne darauf beschränkt zu sein):

1.   Öffentliche und private Unternehmen

2.   Regierungsstellen

3.   Gemeinnützige Organisationen

Was benötigen Sie, um sich nach ISO/IEC 27701:2019 zertifizieren zu lassen?

ISO/IEC 27701:2019 ist so neu, dass es keine akkreditierten Zertifizierungsstellen gibt. Zum Zeitpunkt des Verfassens dieses Artikels können Sie sich also nicht nach ISO 27701 zertifizieren lassen.<.p>

Wir empfehlen Erreichen der ISO 27001-Konformität, damit Sie bereit sind, wenn eine Zertifizierung möglich wird. Es sieht so aus, als ob Sie sich ab Mitte 27701 nach ISO 2021 zertifizieren lassen können.

Um die ISO/IEC 27701:2019-Konformität zu erreichen, müssen Sie ein Personal Information Management System (PIMS) für Ihr Unternehmen entwerfen, aufbauen und implementieren.

Ihr neues PIMS sollte wie folgt aussehen:

1.   Der ISO 27701-Standard in allen relevanten Punkten

2.   Alle nationalen oder internationalen Vorschriften, die für Ihre Organisation gelten

Bei ISO 27701 wird davon ausgegangen, dass Sie bereits die ISO 27001-Konformität oder -Zertifizierung erreicht haben. Das bedeutet Aufbau eines Informationssicherheitsmanagementsystems (ISMS). Sie können Ihr ISMS vor oder parallel zu Ihrer ISO 27701-Implementierung einrichten.

Wie sich ISO 27701 auf andere Standards bezieht

In welcher Beziehung steht ISO 27701 zu ISO 27001?

ISO 27701 füllt einige Lücken in Bezug auf personenbezogene Daten in ISO 27001. Sie können es also entweder neben oder nach ISO 27001 implementieren.

Auf welche anderen Standards wird ISO 27701 abgebildet?

Neben ISO 27001 umfasst auch ISO 27701:

• Der Datenschutzrahmen und die in ISO/IEC 29100 definierten Grundsätze
• ISO / IEC 27018
• ISO / IEC 29151
• DSGVO

Bedenken Sie, dass Sie auch alle lokalen Vorschriften befolgen müssen, wenn Sie ISO 27701 auf eine andere Norm übertragen.

In welcher Beziehung steht ISO 27701 zur DSGVO?

ISO 27701 ist von der DSGVO getrennt. Wenn Sie jedoch ISO 27701-konform oder zertifiziert sind, ist Ihr Personal Information Management System DSGVO-konform.

In welcher Beziehung steht ISO 27701 zu ISO 27552?

ISO 27701 wurde zunächst als ISO/IEC 27522 entwickelt. Der Name des Standards wurde vor seiner Einführung im Jahr 27701 in ISO 2019 geändert. Aus ISO 27522 wurde ISO 27701, weil jede Norm, die Ihnen sagt, wie Sie ein Managementsystem einrichten, mit 01 enden muss.

Was ist die ISO 27000-Standardfamilie?

Das Normungsfamilie ISO 27000 Der Schwerpunkt liegt auf Informationssicherheit. Jeder ISO 27000-Standard hat unterschiedliche Schwerpunkte und Anforderungen im Bereich Informationssicherheit. Organisationen jeder Größe und Art können sie nutzen.

Zu den wichtigsten Familienmitgliedern gehören:

• ISO 27000 stellt die Familie vor und erklärt grundlegende Begriffe und Definitionen
• ISO 27001 erklärt Ihnen, wie Sie ein Informationssicherheits-Managementsystem erstellen
• ISO 27017 und 27018 zeigen Ihnen, wie Sie sensible Daten in der Cloud schützen
• ISO 27031 konzentriert sich auf die Aufrechterhaltung Geschäftskontinuität wenn Herausforderungen oder Krisen auftreten
• ISO 27701 zeigt Ihnen, wie Sie ein Personal Information Management System erstellen

Wichtige Details der ISO 27701-Anhänge

Was deckt Anhang D ab?

In Anhang D der Norm ISO 27701 erfahren Sie, wie Sie ihre Kontrollen auf die Datenschutz-Grundverordnung (DSGVO) der EU abbilden können.

Was deckt Anhang F ab?

Anhang F der Norm ISO 27701 erläutert, wie ISO IEC 27001 erweitert werden kann ISO / IEC 27002 zum Schutz personenbezogener Daten (PII).

Wie ISMS.online die Implementierung von ISO 27701 einfach machen kann

Um es Ihnen einfach zu machen, ISMS.online hat eine cloudbasierte Plattform aufgebaut. Diese Plattform entspricht den Kriterien der ISO-Standards und erfüllt auch die Anforderungen der ISO 27701. Dadurch können Sie die Einhaltung der ISO 27701-Norm erstellen und nachweisen und so die Zertifizierung vereinfachen.

Unsere cloudbasierte Plattform ermöglicht Ihnen den Zugriff auf alle Ihre ISMS-Ressourcen an einem Ort. Wir verfügen über ein internes Team von Informationssicherheitsexperten, die Ihnen mit Rat und Tat zur Seite stehen und Fragen beantworten können, um Sie auf Ihrem Weg zur ISO 27701-Implementierung zu unterstützen, damit Sie Ihr Engagement für Best Practices für die Informationssicherheits-Governance unter Beweis stellen können. Rufen Sie ISMS.online an +44 (0)1273 041140 Erfahren Sie mehr darüber, wie wir Ihnen bei der Zertifizierung nach ISO 27701 helfen können.