Der grundlegende Sicherheitsstandard ISO/IEC 27001 für Informations-Sicherheits-Management-Systeme (ISMS) wird mit dem neuen Standard ISO/IEC 27701 um datenschutzrechtliche Aspekte erweitert. Durch diese Ergänzung werden die Anforderungen an ein Datenschutz-Informations-Management-System (Privacy Information Management System, PIMS) in ein ISMS integriert.
Worauf baut der ISO/IEC 27701 auf?
Mithilfe eines ISMS können Unternehmen ihre sensiblen Informationen sicher verwalten und die Informationssicherheit fördern. Die Internationale Organisation für Normung (ISO) und Internationale Elektrotechnische Kommission (IEC) entwickeln maßgebliche Standards, die im Zusammenhang mit der Informationssicherheit relevant sind. In der 27000er Serie gibt es über ein Dutzend Normen, welche die Anforderungen an Informationssicherheit konkretisieren und bei der Umsetzung helfen.
Der grundlegende Standard ist ISO 27001, der (neben dem BSI Grundschutz-Kompendium) in Deutschland auch vom Bundesamt für Sicherheit in der Informationstechnik, der Bundesnetzagentur oder der Bundesanstalt für Finanzdienstleistungsaufsicht als maßgebliche Norm angesehen wird. Die neue Norm 27701 baut auf 27001 (und 27002) auf und ergänzt diese um datenschutzrechtliche Aspekte.
Was ist der ISO/IEC 27701?
Zu den in Unternehmen vorhandenen und verarbeiteten Daten zählen mitunter auch personenbezogene Daten im Sinne der Datenschutzgrundverordnung (DSGVO). Menge und Art der verarbeiteten personenbezogenen Daten wachsen zunehmend, genauso wie die Gefahren für die Cybersicherheit. Die DSGVO fordert zum Schutz der Rechte und Freiheiten der betroffenen Personen die Implementierung geeigneter technischer und organisatorischer Maßnahmen zur Sicherung der personenbezogenen Daten. Konkrete Maßnahmen schreibt die DSGVO nicht vor. Ein ISMS kann jedoch bei der Berücksichtigung der Vorgaben unterstützen und hilft vor allem bei der Erfüllung der Rechenschaftspflicht, wonach jeder Verantwortliche die Einhaltung der Vorgaben der DSGVO nachweisen können muss.
Der neue Standard enthält teilweise ergänzende Anforderungen und formuliert Empfehlungen für ein datenschutzkonformes ISMS. Er stützt sich dabei nicht nur auf die Grundsätze der DSGVO, sondern soll die Adressaten bei der Einhaltung weltweiter Datenschutzstandards unterstützen. Ziel des Standards ist es, ein Datenschutz-Informations-Management-Systems (Privacy Information Management System, PIMS) einzurichten, umzusetzen, aufrechtzuerhalten und kontinuierlich zu verbessern. Als bloße Ergänzung zur ISO 27001 bietet die Norm allerdings nicht die Möglichkeit einer eigenständigen Zertifizierung, sondern ist stets im Zusammenhang mit der Zertifizierung nach ISO 27001 zu sehen. (jd)