ISO 27701 - Nachweisbarer Datenschutz?

ISO 27701 - Nachweisbarer Datenschutz?

Artikel erschienen in IT Magazine 2022/03

ANHÄNGE

Im Unterschied zur ISO 27001 sind die Controls nicht in einem eigenen Standard vorhanden (der ISO 27002), sondern sind direkt in einem Dokument abgedruckt. Dies macht den Standard etwas schwer lesbar. Die Anhänge A und B sind normativ, das heisst verbindlich umzusetzen, während die erwähnten Kapitel 7 und 8 informativ sind. Die Kapitel 7und 8 entsprechen damit den Anforderungen aus ISO 27002, während die Anhänge A und B dem Anhang A aus ISO 27001 entsprechen.

Die weiteren Anhänge zeigen die Verknüpfung zu anderen Normen. Der Anhang C verbindet die Controls mit der ISO/IEC 29100 (Privacy framework), der Anhang D mit der Datenschutz-Grundverordnung (DSGVO), Anhang E mit der ISO/IEC27018 (Code of practice for protection of personally identifiable information (PII) in public clouds acting as Pll processors) und der ISO/IEC 29151 (Code of practice for personally identifiable information protection) und der Anhang F zeigt, wie die Controls aus ISO/IEC 27701 mit den Standards 27001 und 27002 in Verbindung gebracht werden können.

Wer sich bereits mit der ISO/IEC 29100 auseinandergesetzt hat, wird sicherlich bemerken, dass die beiden Kapitel 5.11 Information Security und 5.12 Privacy Compliance nicht übernommen wurden. Da ISO27701 ja auf Basis eines ISMS aufgebaut wird, sind diese Themen bereits genügend abgedeckt.

ZERTIFIZIERUNG

Wie kann sich nun ein Unternehmen zertifizieren lassen? Noch nicht alle Zertifizierungsstellen sind bereit für die neue Norm. Es ist jedoch bereits möglich, diese durchzuführen. Das erste Unternehmen in der Schweiz ist die SERAFE AG (Schweizerische Erhebungsstelle für die Radio- und Fernsehabgabe), welche Mitte November 2021 die aufwendige Auditierung bestand. Damit steht ein Nachweis zur Verfügung, der zeigt, dass der Datenschutz und damit verbunden das Schweizer Datenschutzgesetz eingehalten werden.

Diesem Beispiel werden weitere Firmen folgen, die gegenüber Ihren Kundinnen und Kunden einen Nachweis erbringen möchten, nicht nur die Informationssicherheit, sondern auch den Datenschutz zu berücksichtigen und alles zu unternehmen, die übergegebenen Daten zu schützen.

Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER