ISO 27701 - ­Nachweisbarer Datenschutz?

ISO 27701 - ­Nachweisbarer Datenschutz?

5. September 2020 -
Artikel erschienen in IT Magazine 2020/09
Im August 2019 wurde ohne grosses Aufsehen die ISO 27701 veröffentlicht. Damit kann ein Unternehmen nachweisen, dass es Anstrengungen zur Umsetzung des Datenschutzes umsetzt. Der Standard trägt den offiziellen Namen «Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines». Obwohl die Norm schon über ein Jahr verfügbar ist, sind die ersten Zertifizierungen erst seit wenigen Wochen möglich. Zeit also, sich genauer damit zu beschäftigen.

Der Datenschutz ist schon lange ein Thema. Die OECD hat 1980 die erste Version des Privacy Frameworks herausgegeben. In England wurde der Vorgänge zur heutigen ISO 27701 erstellt, der British Standard BS 10012:2017 mit der ­Erweiterung A1:2018. Mit dieser Erweiterung ist der Standard kompatibel mit der Datenschutz-Grundverordnung der Europäische Union. International fehlte bis dahin ein Pendant. Zwar war mit der ­ISO/IEC 27552 ein Grundlagen-Dokument vorhanden, doch das genügte nicht. Im August 2019 war es dann soweit, die ISO 27701 wurde offiziell veröffentlicht.
Doch die ISO 27701 kann nicht für sich allein zertifiziert werden. Die Basis ist immer ISO 27001. Bei diesem Standard geht es darum, ein Informationssicherheits-Management-Systeme, kurz ISMS, aufzubauen, zu unterhalten und weiterzuentwickeln. Zu den bereits vorhandenen Punkten kommen weitere Anforderungen. Die wichtigste Aussage ist etwas versteckt und wird gerne überlesen, hat aber eine enorme Tragweite. Immer wenn im Standard von «information security» geschrieben wird, muss dies durch «information security and privacy» ersetzt werden. Allein diese Ersetzung gibt einiges zu bearbeiten.

Obschon ISO bestimmt hat, dass alle Definitionen in der ISO 27000 gesammelt werden, mussten zwei weitere Begriffe definiert werden. Es handelt sich um den «joint PII controller» (PII steht dabei für Personally Identifiable Information) und um «privacy information management system», kurz PIMS. Der erstgenannte Begriff wird dabei wie folgt definiert: «Verantwortliche für die Verarbeitung personenbezogener Daten, die gemeinsam mit einem oder mehreren anderen Verantwortlichen für die Verarbeitung die Zwecke und Mittel der Verarbeitung bestimmen».

Struktur

Die Struktur orientiert sich an der ISO 27001. In Kapitel 5 werden die notwendigen Erweiterungen zur ISO 27001 definiert. Dabei gibt es nur für die Kapitel 4 (Context of the organization) und Kapitel 6 (Planning) zusätzliche Massnahmen. Doch die haben es in sich. Schon nur die SoA (Statement of Applicability) zu erweitern, gibt einen grossen Aufwand.

In Kapitel 6 folgen die Erweiterungen zu den 114 Controls aus der ISO 27001. Hier ist es gerade umgekehrt. Nur zum Kapitel 17 (Information security aspects of business continuity management) hat es keine Erweiterungen. Glücklicherweise sind es aber «nur» 29 erweiterte Controls.

Leider verwendet der Standard den Begriff «Customer» für drei verschiedene Fälle:

- Vertragsbeziehung zwischen Principal (natürliche/betroffene Person) und Controller (Verantwortlicher)

- Vertragsbeziehung zwischen Controller und Processor (Verarbeitet im Auftrag)

- Vertragsbeziehung zwischen Processor und Sub-Processor

Beim Umsetzen gilt es immer alle drei Fälle zu berücksichtigen, je nachdem, in welcher Rolle sich das Unternehmen selbst befindet. Mit den Erweiterungen ist es aber nicht getan. Das Kapitel 7 definiert zusätzliche 30 Controls, die es umzusetzen gilt, wenn das Unternehmen als Verantwortlicher für die Verarbeitung von personenbezogenen Daten tätig ist. Die Unterkapitel definieren Anforderungen zu «Bedingungen für die Sammlung und Verarbeitung», «Verpflichtungen gegenüber PII-Grundsätzen», «Privacy by design and privacy by default» und «Gemeinsame Nutzung, Übertragung und Offenlegung von PII».
Im Kapitel 8 folgen zusätzliche 18 Anforderungen an den Processor, welcher im Auftrag personenbezogene Daten verarbeitet. Ist ein Unternehmen Verantwortlicher für die Verarbeitung und verarbeitet auch selbst Daten, gilt es beide Kapitel umzusetzen, was zusätzliche 48 Controls bedeutet (beinahe eine Verdoppelung).
 
Seite 1 von 3

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Zwerge traf Schneewittchen im Wald?
Antwort
Name
E-Mail
SPONSOREN & PARTNER