ISO / IEC 27701 - ISO/IEC 27701

ISO / IEC 27701: 2019 (früher als ISO / IEC 27552 während des Entwurfszeitraums bekannt) ist eine Erweiterung des Datenschutzes zu ISO / IEC 27001 . Das Entwurfsziel besteht darin, das vorhandene Informationssicherheits-Managementsystem (ISMS) mit zusätzlichen Anforderungen zu erweitern, um ein Datenschutz-Informationsmanagementsystem (PIMS) einzurichten, zu implementieren, zu warten und kontinuierlich zu verbessern. Der Standard beschreibt einen Rahmen für PII-Controller ( Personal Identifying Information ) und PII-Prozessoren zur Verwaltung von Datenschutzkontrollen, um das Risiko für die Datenschutzrechte von Personen zu verringern.

ISO / IEC 27701 soll eine zertifizierbare Erweiterung der ISO / IEC 27001- Zertifizierungen sein. Mit anderen Worten, Organisationen, die eine ISO / IEC 27701-Zertifizierung beantragen möchten, müssen auch über eine ISO / IEC 27001-Zertifizierung verfügen.

Beabsichtigte Anwendung des Standards

Die beabsichtigte Anwendung von ISO / IEC 27701 besteht darin, das vorhandene ISMS mit datenschutzspezifischen Kontrollen zu erweitern und somit PIMS zu erstellen, um ein effektives Datenschutzmanagement innerhalb einer Organisation zu ermöglichen.

Ein robustes PIMS bietet viele potenzielle Vorteile für PII-Controller und PII-Prozessoren mit mindestens drei wesentlichen Vorteilen:

Erstens ist die Einhaltung der Datenschutzanforderungen (insbesondere Gesetze und Vorschriften sowie Vereinbarungen mit Dritten sowie Datenschutzrichtlinien des Unternehmens usw.) aufwändig, insbesondere wenn die Anforderungen für PII-Controller und PII-Prozessoren nicht optimal organisiert sind. Unternehmen, die mehreren Datenschutzbestimmungen unterliegen (z. B. aus mehreren Ländern, in denen sie tätig sind oder in denen betroffene Personen leben), müssen zusätzliche Belastungen hinnehmen, um alle geltenden Anforderungen zu vereinbaren, zu erfüllen und zu überwachen. Ein verwalteter Ansatz verringert die Compliance-Belastung. Beispielsweise kann, wie in Anhang C des Standards gezeigt, eine einzige Datenschutzkontrolle mehrere Anforderungen der Allgemeinen Datenschutzverordnung (DSGVO) erfüllen.

Zweitens ist das Erreichen und Aufrechterhalten der Einhaltung der geltenden Anforderungen ein Governance- und Sicherheitsproblem. Basierend auf dem PIMS (und möglicherweise seiner Zertifizierung) können Datenschutz- oder Datenschutzbeauftragte die erforderlichen Nachweise erbringen, um Stakeholdern wie der Geschäftsleitung, den Eigentümern und den Behörden zu versichern, dass die geltenden Datenschutzanforderungen erfüllt werden.

Drittens kann die PIMS-Zertifizierung hilfreich sein, um Kunden und Partnern die Einhaltung der Datenschutzbestimmungen zu vermitteln. PII-Controller verlangen im Allgemeinen von PII-Prozessoren den Nachweis, dass das Datenschutzmanagementsystem der PII-Prozessoren den geltenden Datenschutzanforderungen entspricht. Ein einheitlicher Beweisrahmen, der auf internationalen Standards basiert, kann eine solche Kommunikation der Compliance-Transparenz erheblich vereinfachen, insbesondere wenn die Beweise von einem akkreditierten externen Prüfer validiert werden. Diese Notwendigkeit bei der Kommunikation von Compliance-Transparenz ist auch für strategische Geschäftsentscheidungen wie Fusionen und Übernahmen sowie für Co-Controller-Szenarien mit Datenaustauschvereinbarung von entscheidender Bedeutung. Schließlich kann die PIMS-Zertifizierung möglicherweise dazu dienen, der Öffentlichkeit Vertrauenswürdigkeit zu signalisieren.

Normative Verweisungen

ISO / IEC 27701 verweist normativ auf folgende Dokumente:

• ISO / IEC 27001
• ISO / IEC 27002: 2017-06

Struktur des Standards

Die Anforderungen der Norm sind in die folgenden vier Gruppen unterteilt:

1. PIMS-Anforderungen in Bezug auf ISO / IEC 27001 sind in Abschnitt 5 aufgeführt.
2. PIMS-Anforderungen in Bezug auf ISO / IEC 27002 sind in Abschnitt 6 aufgeführt.
3. Die PIMS-Richtlinien für PII-Controller sind in Abschnitt 7 aufgeführt.
4. Die PIMS-Richtlinien für PII-Prozessoren sind in Abschnitt 8 aufgeführt.

Die Norm enthält ferner die folgenden Anhänge:

1. Anhang A PIMS-spezifische Referenzkontrollziele und -kontrollen (PII-Controller)
2. Anhang B PIMS-spezifische Referenzkontrollziele und -kontrollen (PII-Prozessoren)
3. Anhang C Abbildung auf ISO / IEC 29100
4. Anhang D Kartierung der Allgemeinen Datenschutzverordnung (DSGVO) .
5. Anhang E Zuordnung zu ISO / IEC 27018 und ISO / IEC 29151
6. Anhang F Anwendung von ISO / IEC 27701 auf ISO / IEC 27001 und ISO / IEC 27002

Geschichte des Standards

Ein neues Arbeitselement wurde JTC 1 / SC 27 im April 2016 von JTC 1 / SC 27 / WG 5 "Identitätsmanagement- und Datenschutztechnologien" auf Initiative von Experten der französischen nationalen Stelle von JTC 1 / SC 27 vorgeschlagen.

Das Projekt wurde dann in JTC 1 / SC 27 / WG 5 unter der Nummer ISO / IEC 27552 entwickelt.

Die British Standards Institution (BSI) hat die erste CD mit ISO / IEC 27552 im Februar 2018 in ihrem Webshop veröffentlicht.

Die zweite CD von ISO / IEC 27552 wurde im August 2018 veröffentlicht.

Die DIS der ISO / IEC 27552 wurde im Januar 2019 herausgegeben und im März 2019 genehmigt. Da keine technischen Änderungen erforderlich waren, wurde der FDIS-Stimmzettel umgangen.

ISO / IEC JTC 1 / SC 27 hat die technischen Arbeiten an ISO / IEC 27552 im April 2019 abgeschlossen.

Vor seiner Veröffentlichung wurde ISO / IEC 27552 gemäß der Resolution 39/2019 des ISO / Technical Management Board in ISO / IEC 27701 umnummeriert, die vorschreibt, dass jedes Managementsystem "Typ A" (mit Anforderungen) eine Nummer mit der Endung " 01 ”als die letzten beiden Ziffern. Die Umnummerierung wurde im Juli 2019 abgeschlossen.

Der Standard wurde am 6. August 2019 veröffentlicht.

Siehe auch

ISO / IEC 27000-Serie

Verweise

Externe Links

• ISO / IEC 27701 Seite von ISO
• ISO-Artikel zu ISO / IEC 27701