30. Jul 2020

Nachgewiesenes Datenschutz- und Informationssicherheits-Managementsystem

ISO/IEC 27701 Zertifizierung für das Datenschutz-Managementsystem ist da!

Die Pandemie hat uns die großen Chancen einer sicheren und rechtskonformen Digitalisierung aufgezeigt. Sie erschließt neue Märkte und Kundensegmente und wir können neue Produkte/Dienste und Kundenerlebnisse anbieten. Damit werden auch Effizienz und Alleinstellung gestärkt. Mit zunehmender Vernetzung, Virtualisierung (wie Smart work u.a.), Digitalisierung der Produktion (Industrie 4.0), Produkte und Dienstleistungen (wie Smart home, Smart car u.a.), sowie Datenauswertungen steigen die Anforderungen an Datenschutz und Informationssicherheit – an die Vertraulichkeit, Verfügbarkeit und Integrität der Daten und Dienste. Informationssicherheit und Datenschutz sind essentiell für eine ethisch vertretbare, resiliente, digitale und nachhaltige Wirtschaft. Gleichzeitig nehmen die Gefahren zu. Bis Ende 2020 wird Cybercrime voraussichtlich mit 5,5 Billionen € mehr Schaden verursachen als der Drogenhandel.

Nun gibt es die ISO/IEC 27701 Zertifizierung für ein nachgewiesenes Datenschutz- und Informationssicherheits-Managementsystem. Dies fördert eine nachhaltige, effiziente und effektive Umsetzung. Eine Zertifizierung macht das Sicherheits- und Datenschutzbewusstsein klar sichtbar und stärkt das Vertrauen der Stakeholder.

Informationssicherheit und Datenschutz – ein Erfolgsfaktor

Technologie und Daten bieten viele Chancen. Sie müssen zuverlässig funktionieren und sind wirksam zu schützen. Datenschutz und Informationssicherheit sind Erfolgsfaktoren eines sorgsamen Unternehmensmanagements. Dennoch nahmen 2019 die Sicherheitsvorfälle bei Online- und Clouddiensten gegenüber 2018 um 91,5% zu. Spionage/Sabotageattacken stiegen um das Dreifache. 66% mehr Datenpannen wurden den Aufsichtsbehörden Europas gemeldet. Dafür wurden über 410 Mio.€ Strafen erlassen. Im Lockdown mehrten sich die Berichte über Datenpannen, ausgefeilte Phishing Mails, ungewollte Verschlüsselung, komplexe Cyberattacken u.a.. Es traf Unternehmen jeglicher Größe und aller Branchen, sowie essentielle Dienste (wie Krankenhäuser, Telekommunikation, Sozialversicherungen u.v.m.). Ist Ihr Unternehmen gut vorbereitet und geschützt?

Zuverlässige Leistungen, der Schutz des Wissens des Unternehmens und der Daten der Betroffenen, sowie die Einhaltung vertraglicher und gesetzlicher Verpflichtungen (wie u.a. Datenschutz, Cybersecurity) beeinflussen essentiell das Kundenvertrauen und Image. Der Ruf nach entsprechenden Zertifizierungen wird immer lauter. Umso erfreulicher, dass es nun die ISO/IEC 27701 Zertifizierung für ein nachgewiesenes Datenschutz- und Informationssicherheits-Managementsystem gibt!

ISO/IEC 27701 – das Datenschutz-Managementsystem mit Mehrwert

Die EU Datenschutz–Grundverordnung 2016/679 (DSGVO) fordert, dass zum Schutz personenbezogener Daten und zur Einhaltung der Bestimmungen (u.a. Rechte der Betroffenen), risikobasiert geeignete technische und organisatorische Maßnahmen nachweislich, effektiv und nachhaltig am Stand der Technik umgesetzt werden.

Die ISO/IEC 27701 ist gemäß den einheitlichen Vorgaben für Managementsysteme aufgebaut. Damit bietet sie optimale Unterstützung zur nachhaltigen und effizienten Integration des Datenschutzes in ein Managementsystem. Sie erweitert die ISO/IEC 27001 für das Informationssicherheitsmanagement um weitere Sicherheitsmaßnahmen (Controls) und Rechtsanforderungen. Obwohl es sich um eine international anerkannte Norm handelt, werden alle Forderungen der EU Verordnung 2016/679 berücksichtigt.

Datenschutz und Informationssicherheit: zwei Seelen in einer Brust

Während sich Datenschutz rein auf den Schutz personenbezogener Daten bezieht, berücksichtigt Informationssicherheit alle relevanten Werte eines Unternehmens. Dabei kann der Schutz der Unternehmenswerte z.B. beim Einsatz einer Videoüberwachung, ohne geeignete Maßnahmen ein Risiko für die aufgezeichneten Personen darstellen. ISO/IEC 27701 fördert die nötige Integration von Informationssicherheit und Datenschutz. Gemeinsam bieten sie Mehrwert für das Unternehmen.

Integration von Datenschutz in ein Managementsystem

Ein effektiv gelebtes Managementsystem unterstützt Datenschutz insbesonders durch den systemischen und strategischen Ansatz. Zudem stärkt die optimale Integration von Informationssicherheit und Datenschutz in alle Prozesse und Entscheidungen auch die nachhaltige Umsetzung.

  • Integration in Kontext, Politik und Führung:

    Durch die Integration von Informationssicherheit und Datenschutz in Politik, Ziele und Strategien werden Informationssicherheit und Datenschutz zum Mehrwert für das Unternehmen. Eine sichere rechtskonforme Digitalisierung erschließt neue Märkte und Kundensegmente, steigert Effizienz und senkt Kosten. So erhält Datenschutz eine strategische Rolle: weg vom reinen Kostenfaktor zur Erfüllung rechtlicher Pflichten hin zum Treiber für nachhaltiges Kundenvertrauen und Erfolg.

    Informationssicherheit und Datenschutz werden durch aktives Vorleben durch das Management und die Berücksichtigung bei allen Entscheidungen integraler Bestandteil der Unternehmenskultur.

  • Integration in die Prozesse (Planung und Betrieb):

    Zunächst werden die Werte (z.B. Produktinformationen/Rezepturen, Forschungsdaten, vertrauliche/sensible Daten) mit den eingesetzten Technologien und umgesetzten Sicherheitsmaßnahmen erhoben (erweitertes Verzeichnis der Verarbeitungen). Daraus werden gemäß ISO 31000 (Risikomanagement) mögliche Risiken, ev. Optimierungen und Notfallpläne für Sicherheitsereignisse bestimmt. Die Sicherheitsmaßnahmen (Controls) bieten wertvolle Unterstützung. Bestehende Notfallpläne der Managementsysteme (z.B. Umwelt, Hygiene) und insbesonders das Business Continuity Management (ISO 22301) bieten viele Synergien. Integriert in bewährte Arbeitsabläufe werden nötige Maßnahmen effizient und wirksam umgesetzt. Dies nutzt Synergien, spart Kosten und senkt das Risiko. So werden Informationssicherheit und Datenschutz bei jeder Digitalisierung, Innovation und Beschaffung frühzeitig berücksichtigt. Setzen Ihre relevanten Lieferanten ein angemessenes Sicherheits- und Datenschutzniveau auch effektiv nachweislich und nachhaltig um?

  • Integration in das Ressourcenmanagement (Unterstützung):

    Systematisches Dokumentenmanagement fördert die Nachvollziehbarkeit und den Nachweis der Sorgfaltspflicht. Angemessene Ressourcen, klare Verantwortungen und Fachkompetenz am Stand der Technik unterstützen Informationssicherheit und Datenschutz. Menschliche Fehler sind die häufigste Ursache für Sicherheitsvorfälle. Daher sind laufende Sensibilisierung, sowie hinreichendes Wissen und Kompetenz der Mitarbeiter und Partner aller Ebenen der gesamten Wertschöpfungskette essentiell. Schulungen und Personenzertifizierungen erleichtern das Verständnis und den Nachweis.

  • Integration in die laufende Weiterentwicklung (Bewertung und Verbesserung):

    Auch die Datenschutzverordnung fordert ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen (Art. 32,1d). Die Integration von Informationssicherheit und Datenschutz in die Bewertung (mit Monitoring, Statusmeldungen, Audits u.a.) und laufende Weiterentwicklung des Managementsystems stärkt eine wirksame und nachhaltige Umsetzung.

Grafik: © Dr.techn. Margareth Stoll

Synergien nutzen, Kosten sparen, Effizienz und Effektivität fördern

Die ISO/IEC 27701 unterstützt weltweit die Integration von Informationssicherheit und Datenschutz in ein Managementsystem. Nutzen Sie Synergien, sparen Sie Kosten und steigern Sie die Effizienz und Effektivität!

  • Stärken Sie die nachweisliche Umsetzung der Datenschutzbestimmungen und Sicherheitsanforderungen,
  • Schützen das Wissen der Organisation,
  • Fördern zuverlässige Leistungen, Unternehmenserfolg und den guten Ruf.
  • Eine Zertifizierung nach ISO/IEC 27701 baut auf die ISO/IEC 27001 auf. Sie erleichtert weltweit den Nachweis eines angemessenen Sicherheits- und Datenschutzniveaus, reduziert mehrfache Auditaufwände und macht den Einsatz nach außen sichtbar.
  • Das Vertrauen wird gestärkt.

Sie wollen mehr erfahren? Kontaktieren Sie uns hier für weitere Informationen.

Autorin

Portraitfoto Dr. Margareth Stoll

Dr.techn. Margareth Stoll hat langjährige Erfahrung in Digitalisierung, Informationssicherheit, Cybersecurity, Datenschutz, integrierten Managementsystemen u.a.. Sie ist berufene Auditorin für u.a. Informationssicherheit ISO/IEC 27001, ISO/IEC 27701, ISO/IEC 27018, NIS-G, Business Continuity ISO 22301, IT Servicemanagement ISO 20000-1, Qualitätsmanagement ISO 9001 und Autorin zahlreicher Publikationen.

E-Mail

 

Weitere News & Events

Immer topaktuell informiert

08. Jun 2022

Was Sie beim CIS Compliance Summit 2022 erwartet!

Unsere Speaker – auch heuer wieder geballtes Know-how!

Mehr erfahren
07. Jun 2022

Cyber Defense: entscheidender Erfolgsfaktor (?)

Nur 20 Prozent der österreichischen Groß- und Mittelbetriebe geben an, dass sie über einen Krisenplan für Cyber-Angriffe verfügen.

Mehr erfahren
24. Mai 2022

Laufende Digitalisierung in der Industrie als Treiber

Shooting Star: OT-Security

Mehr erfahren
18. Mai 2022

ISO 27701: Frequently asked questions

Ihre Fragen – unsere Antworten rund um Datenschutz & Informationssicherheit

Mehr erfahren
02. Mai 2022

Vermehrte Ransomware-Attacken in der Automotive-Branche

CIS bietet TISAX-Level-2-Assessments an

Mehr erfahren
08. Mrz 2022

Risiko-Minimierung für Cloud Services

ISO 27017 minimiert Risiken für Cloud Services

Mehr erfahren
07. Mrz 2022

Der Mehrwert eines Datenschutz­managementsystems

Gastkommentar von Bernhard Bachofner, Chief Technology Officer (CTO) der Fiegl & Spielberger Gruppe zur DSGVO, Datenschutz und dem Nutzen von Zertifizierungen

Mehr erfahren
17. Feb 2022

ISO 27002:2022 – was Sie jetzt wissen müssen!

Startschuss für die neue Norm

Mehr erfahren
08. Feb 2022

Ausblick und Status Quo in puncto „Safer Internet“

Roundtable anlässlich des Safer Internet Day

Mehr erfahren
01. Feb 2022

Österreichs beste Chief Information Security Officer gesucht

„CISO of the Year“: Bewerbungen bis 18. März 2022 möglich

Mehr erfahren
27. Jan 2022

Österreichische Datenschutzbehörde bestätigt Schrems II – Nutzung von Google Analytics illegal?

Europäischer Datenschutztag

Mehr erfahren
11. Jan 2022

NIS-Gesetz: Systemrelevanten Unternehmen drohen Strafen bei nicht zeitgerechter Umsetzung

Experte Klaus Veselko warnt

Mehr erfahren
+43 732 34 23 22