Die ISO 27000 Serie ist eine der bekanntesten und angesehensten Sicherheitsstandards. Aber sie ist auch sehr umfassend und enthält 46 einzelne Standards in der ISO 27000 Familie. In diesem Artikel werden wir einen der beliebtesten Zertifizierungen, ISO 27001, sowie den dazugehörigen Standard ISO 27701 erläutern. Sie werden erfahren:

• Die Grundlagen von ISO 27001 und ISO 27701
• Wesentliche Ähnlichkeiten und Unterschiede zwischen den beiden Standards
• Wie sich ISO 27701 auf Datenschutzgesetze wie die DSGVO bezieht

Was ist ISO/IEC 27001?

Der Sicherheitsstandard ISO 27001, erstellt von der Internationalen Organisation für Normung, bietet Leitlinien zum Aufbau, zur Aufrechterhaltung und zur kontinuierlichen Verbesserung eines Informationssicherheitsmanagementsystems (ISMS).

Ein ISMS hilft Unternehmen, die Informationssicherheit in der gesamten Organisation zu priorisieren. Und da ISO 27001 großen Wert auf kontinuierliche Verbesserung legt, stellt der Standard sicher, dass Unternehmensinteressenten Ressourcen für die Aufrechterhaltung und Verbesserung des ISMS im Laufe der Zeit bereitstellen. Unterstützende Standards wie ISO/IEC 27002 bieten spezifische Leitlinien zu Kontrollen und Kontrollzielen.

Die ISO 27001-Zertifizierung kann Kunden, Interessenten und Partnern absolute Sicherheit bieten, dass Ihre Organisation über wirksame Cybersicherheitsmaßnahmen verfügt, um sensible Daten zu schützen.

ISO 27001-Anforderungen: Klauseln 4-10

ISO 27001 enthält sechs Klauseln, die Anforderungen an die Einrichtung und den Betrieb eines effektiven ISMS festlegen.

Klausel 4: Kontext der Organisation

Diese Klausel legt den Kontext für das ISMS fest, einschließlich der zu schützenden Informationswerte und der Ziele für das ISMS.

Klausel 5: Führung

Das Top-Management muss sich für den Erfolg des ISMS engagieren, damit es wirksam ist. Es sollten Prozesse eingerichtet werden, um Sicherheitsprozesse im Laufe der Zeit zu überwachen, zu testen und zu verbessern und sicherzustellen, dass ausreichende Ressourcen für die Aufrechterhaltung des ISMS bereitgestellt werden.

Klausel 6: Planung

Diese Klausel regelt, wie Organisationen sowohl Risiken als auch Chancen angehen. Es müssen Dokumentationen erstellt werden, die darlegen, wie die Organisation Informationssicherheitsrisiken identifiziert und behandelt, sowie definierte Ziele für das ISMS festlegen.

Klausel 7: Unterstützung

Diese Klausel stellt sicher, dass immer ausreichende Ressourcen zur Unterstützung des ISMS verfügbar sind. Insbesondere Fachexperten, die verstehen, wie die Organisation mit Kundendaten umgeht und wie das ISMS funktioniert.

Klausel 8: Betrieb

Eine Risikomanagementstrategie muss definiert und dokumentiert sein, einschließlich der Durchführung von Risikobewertungen.

Klauseln 9-10: Leistungsevaluierungen & kontinuierliche Verbesserung

Diese beiden Klauseln arbeiten zusammen, um einen Plan zur Überwachung und Verbesserung der ISMS-Leistung im Laufe der Zeit zu dokumentieren. Periodische Penetrationstests und interne Audits sind hier enthalten, ebenso wie Pläne zur Behebung entdeckter Nichtkonformitäten.

Was ist ISO/IEC 27701?

ISO 27701 wurde für Datenverantwortliche und Datenverarbeiter entwickelt und ist eine Erweiterung der ISO 27001-Zertifizierung, die Dienstleister dabei unterstützt, ein Datenschutz-Informationsmanagementsystem (PIMS) aufzubauen, um personenbezogene Daten zu schützen und globale Datenschutzvorschriften einzuhalten. ISO 27701 erfüllt die Anforderungen der Datenschutz-Grundverordnung (DSGVO) der EU und ermöglicht es Organisationen gleichzeitig, andere Datenschutzgesetze und regulatorische Anforderungen zu integrieren und zu erfüllen.

ISO 27701 bietet Richtlinien für Organisationen, die Compliance-Programme aufbauen, die mit einer Vielzahl von Datenschutzgesetzen, einschließlich DSGVO, CCPA und HIPAA, übereinstimmen. Unterstützende Standards wie ISO 27018 und ISO 29151 helfen Organisationen dabei, personenbezogene Daten (PII) zu schützen, indem sie spezifische Anleitungen zu Sicherheitskontrollen und Kontrollzielen bieten.

ISO 27701 Anforderungen: Klauseln 5-8

ISO 27701 enthält vier Klauseln, die die Anforderungen an die Einrichtung eines effektiven PIMS detailliert beschreiben.

Klausel 5: Datenschutz

Diese Klausel behandelt die Klauseln 4-10 von ISO 27001 und definiert, wo zusätzliche Datenschutzkontrollen erforderlich sein könnten. Zum Beispiel sollte der Kontext der Organisation den Datenschutz umfassen. Darüber hinaus muss die Risikobewertung die Rolle der Organisation in Bezug auf personenbezogene Daten (PII) berücksichtigen, insbesondere ob die Organisation ein Datenverantwortlicher und/oder ein Datenverarbeiter ist und wie sich das auf potenzielle Datenschutzrisiken für PII auswirken könnte.

Klausel 6: PIMS-Richtlinien

Diese Klausel erweitert die ISO 27002-Kontrollrichtlinien, um sicherzustellen, dass alle Maßnahmen zur Informationssicherheit auch den Datenschutz beinhalten.

Klausel 7: PII-Verantwortlicher-Richtlinien

Diese Klausel ist eine Erweiterung der Anhang A-Kontrollen von ISO 27001, die spezifisch für PII-Verantwortliche sind. Diese Kontrollen sind darauf ausgelegt, eventuelle Lücken im Datenschutz zu schließen, die von ISO 27001 nicht abgedeckt werden.

Klausel 8: PII-Verarbeiter-Richtlinien

Die Kontrollen in Anhang B sind spezifisch für PII-Verarbeiter und befassen sich mit den Datenschutzmaßnahmen, die von ISO 27001 nicht abgedeckt werden.

Die Hauptunterschiede zwischen ISO 27001 und ISO 27701

Sowohl ISO 27001 als auch ISO 27701 sind zertifizierbare ISO-Standards und beide verleihen Ihrer Organisation wertvolle Glaubwürdigkeit bei Kunden, Interessenten und Partnern.

Der Hauptunterschied zwischen ISO/IEC 27001:2013 und ISO/IEC 27701 liegt im Fokus auf den Datenschutz. Während sich ISO 27001 mit dem Aufbau eines Informationssicherheitsmanagementsystems (ISMS) zur Erhöhung der Datensicherheit befasst, konzentriert sich der ISO 27701-Standard auf die Entwicklung und Verwaltung eines Datenschutz-Informationsmanagementsystems (PIMS).

Ein weiterer wichtiger Unterschied besteht darin, dass ISO 27701 keine eigenständige Zertifizierung ist. Man kann ISO 27701 als Datenschutz-Erweiterung für ISO 27001 betrachten. Während ISO 27001 den Datenschutz anspricht, verlangen gesetzliche Regelungen wie GDPR und CCPA, dass Organisationen die Rechte der Datenbetroffenen schützen. Diese Rechte sind durch die in der ISO 27001-Norm dargelegten Maßnahmen zur Informationssicherheit nicht garantiert. ISO 27701 nimmt die grundlegenden Maßnahmen zur Informationssicherheit, die im ISMS nach ISO 27001 etabliert sind, und fügt eine detailliertere Reihe von Datenschutz- und Verarbeitungsanforderungen hinzu.

Wie bei ISO 27001 erfordert der ISO 27701-Zertifizierungsprozess ein externes Audit durch eine akkreditierte Drittpartei. Organisationen, die an einer ISO 27701-Zertifizierung interessiert sind, können entweder ISO 27701 zu einer bestehenden ISO 27001-Zertifizierung hinzufügen oder beide Audits gleichzeitig durchführen. Wenn Sie bereits eine ISO 27001-Zertifizierung haben, können Sie ISO 27701 in Ihren bestehenden ISO 27001-Auditplan integrieren.

Erfüllt die ISO 27701-Konformität die Anforderungen der DSGVO?

Die meisten Organisationen wollen die Antwort auf eine wichtige Frage wissen: Erfüllt die ISO 27701-Konformität die Anforderungen der DSGVO, CCPA und anderer Datenschutzgesetze?

Genau genommen erfüllt die ISO 27701-Zertifizierung nicht die Anforderungen der DSGVO. Während die ISO 27701-Konformität Ihnen helfen wird, die Einhaltung der DSGVO nachzuweisen, sind die beiden nicht austauschbar. ISO 27701 ist eine Sicherheitsnorm; die DSGVO ist ein rechtlicher Rahmen – und es ist wichtig zu beachten, dass ISO 27701 nicht jeden Aspekt der DSGVO abdeckt.

ISO 27001- und ISO 27701-Konformität bieten Organisationen jedoch eine solide Grundlage zur Erfüllung der Anforderungen der DSGVO. Durch die Kombination der beiden Standards können Organisationen Vertrauen aufbauen, Bemühungen zur Einhaltung der aktuellen Datenschutzgesetze demonstrieren und sich besser auf zukünftige Datenschutzregelungen vorbereiten.

Bauen Sie mit Secureframe ein erstklassiges Sicherheits- und Datenschutzprogramm auf

Die Erreichung und Aufrechterhaltung der Konformität mit strengen Standards wie ISO 27001 und ISO 27701 kann stressig und zeitaufwendig sein – besonders wenn Sie den Weg zur Konformität alleine beschreiten. Secureframes All-in-One-Plattform für Automatisierung der Sicherheits- und Datenschutzkonformität vereinfacht und rationalisiert die Auditvorbereitung.

Mit automatisierter Beweiserfassung, integrierten Schulungen zur Sicherheitsbewusstseinsbildung und zum Datenschutz sowie kontinuierlichem Monitoring können Sie in Wochen auditbereit sein – nicht in Monaten. Unser Team von Konformitätsexperten steht Ihnen jederzeit zur Verfügung, um Fragen zu beantworten, Ihnen das Verständnis der Kontrollanforderungen und Anfragen der Auditoren zu erleichtern und Sie über gesetzliche oder rahmenspezifische Aktualisierungen auf dem Laufenden zu halten.

Erfahren Sie mehr über Secureframe, indem Sie noch heute eine personalisierte Demo vereinbaren.