Die ISO 27001 ist eine Norm der Internationalen Organisation für Normung (kurz ISO), die Anforderungen an ein Informationssicherheits-Management-System (ISMS) von Unternehmen, öffentlichen oder gemeinnützigen Organisationen definiert. Ein ISMS etabliert Prozesse und Richtlinien, mit denen Informationen (und damit auch personenbezogene Daten) verwaltet und geschützt werden sollen.
Aufgaben eines ISMS sind z.B.:
Prozesse und Richtlinien für Datenverarbeitung im Unternehmen aufstellen
Informationssicherheit / Datenschutz regeln, steuern, dokumentieren und kontrollieren
Technische und organisatorische Maßnahmen (TOM) realisieren
Sicherheitsrisiken aufdecken und reduzieren
Nach Art. 32 DSGVO sind Unternehmen bereits verpflichtet, ein Managementsystem für die Verarbeitung von personenbezogenen Daten zu etablieren. Zur Effizienzsteigerung ist es dabei sinnvoll, ein Managementsystem für alle Informationen – egal, ob personenbezogen oder nicht, digital oder in Papierform – einzuführen. Für ein solches ISMS definiert die ISO 27001 rund 150 Anforderungen und Maßnahmen, die allerdings je nach Art des Unternehmens oder der Organisation individuell angepasst werden können.
Was sind die Vorteile einer ISO 27001-Zertifizierung?
Sind die Anforderungen der Norm umgesetzt, besteht die Möglichkeit einer Zertifizierung durch eine unabhängige durch die Deutsche Akkreditierungsstelle (DAkkS) bestätigte Zertifizierungsstelle. Entweder kann direkt nach ISO 27001 zertifiziert werden oder es wird eine "ISO 27001-Zertifizierung auf Basis IT-Grundschutz" durchgeführt. Die zweite Möglichkeit ist etwas aufwendiger, aber auch aussagekräftiger.
Für Unternehmen bietet die Zertifizierung folgende Vorteile:
Vertrauliche Daten werden zuverlässig vor Missbrauch, Verlust und Offenlegung geschützt
Sicherheitsrisiken können mit einem zertifizierten ISMS schnell erkannt werden
Haftungsrisiken werden minimiert
Das Zertifikat schafft einen Vertrauens- und Imagegewinn
Mitarbeiter werden für Informationssicherheit sensibilisiert
Prozesse zur Informationsverarbeitung sind optimiert, wenn sie nach ISO 27001 ablaufen.
Worum geht es bei der Erweiterung ISO 27701?
Die Normen ISO 27001 und ISO 27701 unterscheiden sich namentlich nur durch eine Ziffer und sind auch inhaltlich eng miteinander verbunden. ISO 27701 kann als Erweiterung von ISO 27001 um Datenschutzaspekte gesehen werden. In ihr ist nicht mehr nur von Informationssicherheit, sondern zusätzlich von Datenschutz die Rede. Damit bezieht sich die ISO 27701 auf die Verarbeitung von personenbezogenen Daten. Für die Konformität mit der ISO 27701 müssen alle Punkte der ISO 27001 erfüllt sein. Hier zeigt sich die enge Verschränkung von Informationssicherheit und Datenschutz.
Mit der ISO 27701 zum zertifizierbaren Datenschutz?
Könnte eine Zertifizierung nach ISO 27701 den lang ersehnten Nachweis der Einhaltung datenschutzrechtlicher Vorschriften bringen? Art. 42 der DSGVO sieht nämlich die Einführung einer Zertifizierung vor, die bescheinigt, dass datenschutzrechtliche Anforderungen im Unternehmen eingehalten werden. Wie diese Zertifizierung genau aussehen soll, klärt der Artikel jedoch nicht, weshalb Datenschutzaufsichtsbehörden seit Einführung der DSGVO ein länderübergreifendes Zertifizierungsverfahren mit einheitlicher Bewertung fordern. Dieses Problem wird leider auch die ISO 27701 nicht vollständig lösen, da die Norm nicht mit der gesamten DSGVO gleichzusetzen ist. ISO 27701 wurde zwar stark von der DSGVO geprägt, ist aber weniger umfangreich. Allerdings ist die ISO 27701 als wichtiger Schritt hin zu einem pragmatischen und zertifizierbaren Datenschutz zu sehen.
Autorinnen: Maike Weiss und Kathrin Strauß
Artikel veröffentlicht am: 04. November 2019