国际标准化组织在2019年发布了一个通用数据保护管理系统(DSMS)的标准。ISO/IEC 27701描述了基于信息安全管理系统的DSMS,符合ISO 27001的要求。这种特殊形式的DSMS被称为个人信息管理系统(PIMS)。下面介绍这种PIMS的基本情况。在这一过程中,我们可以看出PIMS为公司提供了哪五个主要优势。免费的白皮书提供了关于实际实施的进一步指导。
数据保护和信息安全
即使在信息安全的背景下,数据保护也不是一个一次性的项目,它是开始、贯穿和完成。情况恰恰相反。运行中的数据保护是一些数据保护程序,它们必须在组织中永久可用并可实施,或可由触发器触发。这方面的重要例子是两个数据保护流程 "确保数据主体权利 "和 "应对数据保护事件"。
在数据保护领域,使用数据保护管理系统(DSMS)被视为解决组织的数据保护问题的大事情。为什么会这样呢?答案相对简单。
数据保护管理系统是组织必须永久遵守的运营数据保护的框架和驱动力。
自2018年5月25日以来,《欧洲通用数据保护条例》(GDPR)简单地提供了DSMS的规则。它对允许或禁止的事项 制定了严格的法律要求(业务规则)。德国的DS-GVO(德国基本数据保护法)的惩罚措施就是由此而来的。然而,它并没有对如何 实施法律上的数据保护要求做出任何说明。
数据保护和信息安全--管理系统到底是什么?
管理体系的定义是抽象的,不能临时性地进行操作。ISO/IEC 27000:2020标准将管理系统定义为一个 ...
"一个组织(3.50)的一套相互关联和相互作用的要素,以建立政策(3.53)、目标(3.49)和实现这些目标的过程(3.54)。"
只有当管理系统的要素被更详细地定义后,才能说明GDPR的严格法律和操作数据保护要求是否在管理系统的具体实施下得到满足。关于运行数据保护管理系统的声明没有说明DSMS的质量或实施状况。
作为管理系统蓝图的高层结构
国际标准化组织(ISO)已经创建了一个管理系统的蓝图,称为高层结构(HLS)。这个基本结构包含了ISO认为与管理体系相关的所有元素(ISO/IEC指令第1部分附件SL的附录2)。由于这个原因,管理体系标准的基本机制非常相似。
因此,ISO的特定DSMS,即个人信息管理系统(PIMS),与ISO 9001的质量管理系统、ISO 14001的环境管理系统或ISO 27001的信息安全管理系统具有相同的基础。
数据保护和信息安全--将GDPR纳入管理系统
符合国际标准ISO/IEC 27701的PIMS是通用的,而不仅仅是针对欧洲通用数据保护条例的。该标准描述了基于符合ISO 27001的信息安全管理系统的数据保护管理系统,使ISO 27701适用于实施任何个人数据的操作保护,包括加州或日本的数据保护法。
ISO/IEC 27701:2021-07- 安全技术--隐私信息管理的ISO/IEC 27001和ISO/IEC 27002的扩展--要求和指南(ISO/IEC 27701:2019)。该标准可从 ISO网站。
BUT:那些按照数据保护标准制定和实施PIMS的人--换句话说,那些系统地保护和管理个人数据的人--发现很容易确保和证明符合法律数据保护要求。这是通过需求管理的管理制度机制来实现的。要求管理是识别和评估内部和外部要求的过程,并实施措施来应对风险。
数据保护和信息安全之间的区别是什么?
这两个主题之间的根本区别很简单:信息安全包含了所有需要保存的企业资产,并起到保护机密商业信息不被第三方滥用的作用。这涉及到的不仅仅是IT系统。当涉及到数据保护时,这些措施的目的是保护个人数据。自2018年5月起,欧盟《通用数据保护条例》必须在整个欧洲范围内有约束力地实施--由所有处理个人数据的公司和公共机构实施。
数据保护管理的五个优势
在信息安全和数据保护之间的相互作用中,标准应始终被理解为一种最佳做法。数据安全的要求和措施的具体实施必须由用户来进行。
PIMS的普遍优势是通过数据保护标准和关于标准实施的大量文献在世界范围内实现标准化。无可否认的是,标准语言 "需要一些时间来适应"。
优势一:责任的分配
在中小型企业(SMEs)中,责任分配不明确或根本不明确,这几乎是企业文化。我们可以看到,在许多企业政策中,对某些活动或资产的责任没有明确的定义和处理。这是一个重大的缺陷,导致了操作上的漏洞和错误。
但是:保护数据是一项 "团队运动"。只有当所有的任务都被确定并分配给负责任的人,只有当这些人也完成他们的任务,你的公司才能以符合数据保护的方式运作。
数据保护是一项 "团队运动"。分担责任是好事。承担责任则更好"。
通过引入PIMS,所有权原则必须被引入标准范围内的组织。然而,这里的所有者一词并不是按照民法的含义来理解的。相反,在标准的德语中,所有者指的是一个人对资产或要求或措施的实施的责任。
比如说。维护 "处理活动目录(VVT)"通常被委托给数据保护官(DPO)。当然,这完全是胡说八道,不可能奏效,因为DPO往往根本不参与许多处理活动。在质量管理中,流程所有者执行流程文件。在数据保护方面,最高管理层也应该相应地委派这个任务。
根据ISO 27701的证书
在认证方面,ISO 27701是对著名的ISO 27001标准的补充--它将是第一个通过证书确认数据保护的标准。DQS目前正处于德国认证机构(DAkkS)的认证过程中。
优势二:运营数据保护以风险为导向
在德国DS-GVO中,欧洲立法者要求以风险为导向实施数据安全,例如在DS-GVO第32(1)条。这种风险导向在没有正式安装管理系统的公司中往往不起作用。ISO 27701数据保护标准的应用,不可避免地引入了风险导向。在这里,数据安全风险评估的方法没有被规定,可以--在一定范围内--由用户决定。
优势三:变更管理是一个成功的组成部分
数据安全流程可由组织中的变化引发。例如,一个业务流程、服务或产品的实施或调整。没有变更管理的公司在遵守数据保护要求方面有很大的问题,因为变更经常是以随机和不受控制的方式处理。这就造成了所谓的监管漏洞。
"公司和组织是不断变化的。变更管理在数据保护和信息安全方面也发挥着重要作用"。
一个PIMS系统在变化管理的帮助下记录和控制这些变化,并实施它们。例如,一个业务流程的变化需要检查其允许性(合法性、数据经济性、数据主体权利、VVT中的文件等)。
比如说。数据保护官员早期参与变化设计的要求,可以很简单地通过任命他加入变化团队来实现。
优势四:通过持续改进过程实现优化
公司是不断变化的。个人信息管理系统最初是计划、实施和运行的。由于缺乏经验,第一次尝试引进、实施和操作该系统时,很可能是次优的。即使在实施过程中咨询了有经验的顾问,绊脚石也是可以预见的。
"前提:使信息安全和数据保护系统化和可持续化。"
虽然所有的PIMS在原则上都有相同的机制,但它们的设计是不同的。影响机制实施的因素可能是组织的规模、组织文化,甚至是行业重点。
为使PIMS永久适应组织和相关方不断变化的需求,一个很好的子机制是持续改进过程(CIP)。
例如:《通用数据保护条例》要求在收集数据时要有信息表,告知客户或例如公民关于个人数据处理的性质和范围以及相关权利。根据DS-GVO第13条和第14条,这些信息表的发布是符合法律规定的,然而,有很多数据主体要求提供这些信息。通过纳入这些改进建议,公司认识到,通过优化信息的发布,可以节省资源,提高客户满意度。
优势五:措施的详细目录
如前所述,ISO 27701 并不是为 GDPR 量身定制的。标准使用者负责将 GDPR 的具体要求添加到 PIMS 中。
然而,该国际标准为操作数据保护的一般实施带来了三个广泛的措施目录。
- 技术和组织措施。
- 控制器的数据保护组织,和
- 处理者的数据保护组织。
对欧洲用户来说,好消息是,新标准的作者在设计措施目录时非常注重《通用数据保护条例》。这意味着,通用措施目录的应用已经映射出GDPR的许多要求。缺少的要求会通过需求管理来跟进。
这些措施是实施的最佳实践,并以手册的形式编写。与 GDPR(商业规则)相比,这些措施向标准的使用者解释了必须如何实施。从作者的角度来看,这是一个非常大的优势。
结语。数据保护和信息安全
任何按照ISO 27701制定和实施数据保护管理系统(DSMS)的人,换句话说,任何系统地保护和管理个人数据的人,都会发现很容易确保和证明符合法律要求。如果应用得当,该标准可以防止在引入和运行DSMS时出现许多错误。
"考虑到数据保护和信息安全,ISO 27701是期待已久的实施GDPR的手册。"
然而,只有当公司同时运营一个符合ISO 27001标准的信息安全管理系统时,PIMS的认证才有可能。
DQS。简单地利用质量。
管理体系标准提供了一个系统化和结构化的框架,将法律义务考虑在内,并将其纳入业务流程。想玩得安全的公司可以让像DQS这样的独立机构对其信息安全或符合DS-GVO的实施状况进行审计。
我们的核心竞争力在于进行认证审计和评估。这使我们成为全球领先的供应商之一,并声称在任何时候都要在可靠性、质量和客户导向方面树立新的基准。 同时,一个经过认证的信息安全和数据保护的管理系统,证明了贵公司在外部数据攻击时的勤奋和远见。
信任和专业知识
我们的文本和手册完全由我们的标准专家或长期的审计人员撰写。如果您对内容或我们对作者的服务有任何疑问,请联系 我们。我们期待着与您交流。
DQS新闻
史蒂芬 雷菲尔德
scope & focus Service-Gesellschaft mbH的常务董事。外部数据保护官员和长期的DQS数据保护审计师。德国DIN的 "身份管理和数据保护技术 "工作组的正式投票成员,德国数据保护和数据安全协会(DDD)在汉诺威的经验交流圈的副负责人。