Trotz der Geschwindigkeit und der wachsenden kommerziellen Auswirkungen von Sicherheitsverletzungen kontrollieren die meisten Institutionen die digitale Sicherheit immer noch auf eine Weise, die darauf ausgelegt ist, den Angriffen von gestern zu begegnen, indem sie belastende Einschränkungen anwenden, die Innovationen behindern.

Ergänzungen

ISO 27001 schafft einen Rahmen, um die wertvollen Informationen der Organisation – einschließlich personenbezogener Daten – auf sichere und glaubwürdige Weise zu schützen. Die Norm definiert die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) zum Schutz unter anderem vor Löschung, Leak oder Verlust des Zugriffs auf Daten. Gleichzeitig stellt es sicher, dass Unternehmen kontinuierliche Sicherheitsbemühungen aufrechterhalten, bei denen die Risikobewertung und der Umgang mit Ereignissen einen zeitgemäßen Schutz von Informationen schaffen. Sie steht im Einklang mit dem Gesetzestext der DSGVO, der unter anderem Organisationen auffordert, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko entsprechendes Sicherheitsniveau zu gewährleisten. Im Folgenden sind 5 Bereiche aufgeführt, in denen ISO 27001 die Anforderungen der DSGVO direkt erfüllt:

Erste Dokumentation

Der Übergang zur DSGVO bedeutet, dass Unternehmen nun in der Lage sein müssen, ihre Einhaltung des Gesetzes zu dokumentieren. Dies ist auch Voraussetzung für die Einhaltung der Anforderungen der ISO 27001 – kann es nicht dokumentiert werden, gelten die Anforderungen als nicht erfüllt. Ergo: Es muss eine Übersicht über personenbezogene Daten, einen Bericht zur Risikobewertung, ein Ereignisprotokoll usw. vorhanden sein.

2. Übersicht der personenbezogenen Daten

Ein Überblick über die kritischen und sensiblen Daten des Unternehmens ist in der ISO 27001 der Schlüssel zur Festlegung relevanter Sicherheitsmaßnahmen. Dies ist auch eine Voraussetzung für personenbezogene Daten in der DSGVO, um zu kontrollieren, wo, wie und wie lange Daten gespeichert werden, wer darauf zugreifen kann usw.

Dritte Risikobewertung

Die DSGVO verlangt von Unternehmen, Risikobewertungen durchzuführen, um Risiken für die Gefährdung der personenbezogenen Daten von EU-Bürgern zu identifizieren. Dies gilt auch für die Implementierung neuer Systeme oder die Etablierung neuer Geschäftsprozesse. In ähnlicher Weise verlangt ISO 27001 von Unternehmen, eine relevante Sicherheitsreaktion durch Risikomanagement zu etablieren, dh. die Wahrscheinlichkeit verschiedener Ereignisse zu beurteilen und die entsprechenden Konsequenzen für die Daten der betroffenen Personen zu ermitteln.

4. Pausen

Die DSGVO verlangt von Unternehmen, die Behörden innerhalb von 72 Stunden über einen möglichen Datenbruch zu informieren. Sie kann auch eine Benachrichtigung der betroffenen Personen umfassen. In ähnlicher Weise legt ISO 27001 Anforderungen an den Umgang mit Abweichungen fest und schlägt Prozesse zur Ereignisbehandlung vor.

5. Evaluierung und laufende Verbesserungen

Es ist ein grundlegender Präzedenzfall für die Einhaltung der DSGVO, dass Unternehmen einige Workflows einrichten, die einen kontinuierlichen Schutz personenbezogener Daten gewährleisten, unabhängig vom Bedrohungsbild, neuen Behandlungen oder Änderungen in geschäftsprozessen. Hier bietet die ISO 27001 eine Toolbox von Aktivitäten, die einen angemessenen Schutz von Informationen gewährleisten, auch wenn sich der Kontext ändert. Die Evaluierung von Sicherheitskontrollen, interne Audits und Managementbewertungen sind Schlüsselkomponenten zur Aufrechterhaltung und kontinuierlichen Verbesserung des Datenschutzes.

Wert

Unternehmen sind in der Lage, die strengsten Verteidigungsmechanismen gegen wichtige Informationsressourcen einzurichten. Wir helfen Kunden bei der Entscheidung, was sie schützen und wie viel sie benötigen, durch eine Kombination aus ISO27000, die Unternehmen hilft, ihre Geschäftsrisiken und Vermögenswerte zu priorisieren, sowie Strategien und taktischen Plänen, die die Risikofähigkeiten des Unternehmens anpassen.