Aufbau eines Informations Sicherheits Managementsystems (ISMS)
Informationen stellen besonders in digitalen Unternehmen die Basis jedweder Geschäftstätigkeit dar und verstehen sich somit als immaterielle Unternehmenswerte. Sie zu nicht nur zu verstehen, sondern insbesondere zu schützen, steht aktuell im Fokus vieler Unternehmen.
Die ISO/IEC 27001 Norm wurde seinerzeit entwickelt, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Informationswerte eines Unternehmens zu gewährleisten. Hierzu zählt u.a. die Aufstellung von Verfahren und Regeln innerhalb des Unternehmens, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und schlussendlich fortlaufend zu verbessern.
Mit dem Aufbau eines zentral gesteuerten, einheitlichen und anschließend auditierbaren Informations Sicherheits Managementsystems (ISMS) lässt sich nachweisen, dass alle notwendigen Voraussetzungen getroffen wurden, um sich vor Sicherheitslücken effektiv zu schützen.
Auch wird das Bewusstsein von Geschäftsführung und Mitarbeitern geschärft, welche immateriellen Unternehmenswerte vorhanden sind und welche Risiken diese bedrohen können. Dies schützt nicht nur die Werte selbst, sondern dokumentiert auch gegenüber Kunden und Partnern eine extrem hohe Vertrauenswürdigkeit.
Warum kann der ergänzende Aufbau eines Datenschutz Managementsystems (PIMS) sinnvoll sein?
Datenschutz ist eng mit der Datensicherheit verknüpft. Informationssicherheitsbeauftragter (ISB) und Datenschutzbeauftragter (DSB) im Unternehmen haben zum Teil sich überschneidende Zuständigkeiten, die aber personell getrennt wahrgenommen werden müssen. Mit der ergänzenden Norm ISO/IEC 27701 wird das klassische ISMS um Datenschutzaspekte erweitert, so dass sich beide Beauftragte über das gleiche Dokumentenwerk gegenseitig zuarbeiten können.
Die Norm ISO/IEC 27701 befasst dabei sich mit der Entwicklung, Implementierung, Pflege und kontinuierlichen Verbesserung des Datenschutz-Managementsystems (Privacy Information Management System (PIMS)).
Sie stellt so eine Erweiterung zu dem bereits etablierten Informations Sicherheits Managementsystem (ISMS) dar, und kann später ebenfalls zertifiziert werden.
Jedoch: die Zertifizierung eines Datenschutz Managementsystems im Rahmen der ISO 27701 ist nicht zu verwechseln mit der Zertifizierung durch ein Datenschutz-Gütesiegel (gemäß Art. 42 DSGVO). Nur ein Datenschutz-Gütesiegel überprüft, ob die einem Geschäftsprozess zugrunde liegenden Datenverarbeitungsmaßnahmen auch tatsächlich den Regelungen der DSGVO entsprechen.
Die Abgrenzung zu einer Zertifizierung eines Datenschutz Managementsystems im Rahmen der ISO 27701, das sich nur mit den Prozessen eines Managementsystems befasst, ist daher nicht ganz einfach zu verstehen. Bei Zweifelsfragen wenden Sie sich gern an unsere Experten oder lesen Sie weitere Informationen dazu auch auf unserer neuen Website der ePrivacycert GmbH: www.eprivacycert.eu.