许多公司正在寻找一个证书,以证明仔细和有效的数据保护预防措施。欧盟通用数据保护条例也规定了数据保护认证。随着ISO 27701的出台,2019年8月发布了证明数据保护法规实施的新标准。这个新的国际标准现在也是可以认证的。

Loading...

数据保护作为管理系统的补充

理想情况下,数据保护管理是在国际标准的帮助下设计的,与ISO 27001相配合。著名的ISO/IEC 27001标准涉及到信息安全管理系统(ISMS)的要求,也可以在这个领域的应用中得到认证。新的ISO/IEC 27701数据保护管理标准以ISO 27001为基础,并增加了数据保护标准。这一扩展将数据保护信息管理系统(DSMS或隐私信息管理系统,PIMS)的要求整合到ISMS中。

该国际数据保护标准的全称是:

ISO/IEC 27701:2019- 安全技术 - 隐私信息管理的ISO/IEC 27001和ISO/IEC 27002的扩展 - 要求和指南。

该标准可从ISO网站获得

与ISO 27001一样,ISO 27701也考虑到了管理系统的方法,并提到了现代管理系统标准的基本结构,即高层结构(HLS)。

"经验表明,任何实施过或认证过几个ISO标准的人都可以非常容易地整合ISO 27701,因为高层次结构的存在。当然,这里通常的情况是将ISO 27701嵌入到ISO 27001中。"

Stephan Rehfeld,DQS的数据保护专家和审核员

新的国际标准是ISO 29100的一部分,它包含了所有的数据保护原则。它最初的标题是ISO 27552,但后来改名为ISO 27701。其背景是国际标准化组织(ISO)决定让所有主要可认证的标准在01年结束。

数据保护管理:ISO 27701中有哪些内容?

新的数据保护标准不再是 "信息安全",而是谈论 "信息安全和数据保护"。此外,在内容上也有补充。例如,在考虑组织的背景时,需要加入相关的数据保护法律和司法判决。同样,在风险评估中必须考虑到处理个人数据的标准--始终考虑到对受影响者的保护和可能的影响评估。

此外,ISO 27701还包括对ISO 27002的补充,即实施ISO 27001附件A的措施的指导。

ISO标准还提供了以下关于数据保护管理的指导:

  • 准则和政策的扩展,包括数据保护的各个方面。
  • 在公司内任命一名负责隐私信息管理系统的负责人(数据保护官员)。
  • 对员工进行数据保护培训
  • 对访问和更改进行记录
  • 加密,例如对特殊类别的个人数据,如健康数据进行加密
  • 考虑 "设计中的隐私 "原则
  • 对违反数据隐私的安全事件进行审查
Loading...

符合ISO 27701标准的数据保护管理

信息安全背景下的数据保护 - 一个令人兴奋的话题?在我们的免费白皮书中,有更多关于ISO 27701标准的专家知识。

ISO 27701的附件包含了GDPR要求的措施的详细分配表。在这里,我们可以清楚地看到欧盟通用数据保护条例对这个国际数据保护标准有什么影响。

ISMS和PIMS:相似之处和不同之处

信息安全管理系统(ISMS)和隐私信息管理系统(PIMS)是紧密相连的。

隐私和数据安全是关于个人数据的。ISO 27000系列标准主要是关于保护信息,而个人数据是一个子集。因此,视角决定了一件事是数据泄露还是信息安全事件,甚至是两者都是?

"ISO 27701的好处?它使人们更加关注信息安全管理系统中的数据保护问题!"

Stephan Rehfeld,DQS的数据保护专家和审核员

在ISO 27001或ISO 27002中使用的术语 "信息安全",在ISO 27701中被称为 "信息安全和数据保护"。这一补充使得数据保护成为信息安全管理系统的一部分。

然而,也有一些偏差,PIMS的功能与ISMS不同。一个例子是:对组织背景的不同理解。在ISO 27701的第4.1条中,对ISO 27001有一个额外的要求,即 "组织应界定其作为责任方或共同控制人的角色,以分担责任和/或作为合同处理人的角色"。

这一要求在信息安全管理系统中没有出现,因为信息安全管理系统不承认 "控制者 "和 "处理者 "之间的区别。因此,ISO 27701包含两个额外的附件,其中有针对 "控制者 "和 "处理者 "的数据保护措施。

数据保护目标和信息安全目标:相同点和不同点

ISO 29100规定了公司自己的管理系统应该履行的数据保护原则。一般数据保护条例(GDPR)的第5条显示了哪些数据保护目标需要通过GDPR的操作条款来实现。这些原则和目标基本上是一致的。这是因为OECD在1980年定义了数据保护目标。这些是ISO 29100和GDPR的基础。

在信息安全管理系统(ISMS)中,发现了信息安全目标保密性、完整性和可用性。这也分别见于第5条和第32条DS-GVO。然而,一个主要区别是ISMS中 "相关方 "的定义。这包括,例如,公司自己的员工、客户、供应商、投资者或当局。而在数据保护中,相关方只是数据主体。

因此,数据保护风险管理也与信息安全风险管理不同。因此,ISMS不能一对一地作为PIMS使用,其数据保护的具体过程。尽管如此,还是有机会进行整合,例如,可以进行联合内部审计

数据保护管理:ISO 27701认证触手可及

在认证方面,新的ISO 27701标准将在未来对ISO 27001进行补充--它将是第一个通过证书确认数据保护的标准。为此,DQS目前正处于德国认证机构(DAkkS)的认证过程中,预计不久将获得批准。由于ISO 27701是作为ISO 27001的延伸而设计的,如果没有符合ISO 27001的信息安全管理系统,那么符合ISO 27701的数据保护管理系统就不能得到认证。

ISO 27701:向数据保护管理迈出了一大步

任何根据ISO 27701制定和实施系统的数据保护管理系统(PIMS)的人,换句话说,任何系统地保护和管理个人数据的人,都会发现很容易确保和证明符合法律要求。公司可以利用新的标准来建立基本符合数据保护的信息安全和相应的数据保护。

用ISO 27701建立明确的责任

在实施新的ISO标准时,企业不能避免在数据保护领域定义明确的责任。这个优势不应该被低估。在大多数没有系统的数据保护管理系统的公司中,责任的制定往往是出于误解的礼貌("你能在将来接管这个吗?"),以一种柔和的方式。或者根据 "我们一起做吧!"的格言来分担责任。两者都不可避免地导致最终没有人承担责任。有了结构良好的数据保护管理系统,就有了明确的指导方针,而这是无价的。

"底线是,每个公司都能从数据保护的系统化中真正受益--跨越所有行业和公司规模"。

Stephan Rehfeld,DQS的数据保护专家和审计师

新的ISO标准绝不是仅仅基于《通用数据保护条例》的原则,它还旨在支持公司遵守全球数据保护标准。其目标是建立、实施、维护和持续改进PIMS。

另一个优势:风险导向

还有一个有利于将ISO 27701与ISO 27001整合的优点。随着ISO 27701的引入,企业实际上被 "强迫 "采取以风险为导向的方法来保护个人数据。这包括,例如,充分定义和评估风险,估计它们发生的概率。

这种风险评估然后构成了将具体的潜在损害减少到可接受水平的起点。顺便说一下,我们还发现这种奇妙的务实的方法与GDPR的形式相似,因此在实际的相关性方面,这个圈子也是封闭的。

一目了然:ISO 27701的优势

  • ISO 27701 制定了隐私信息管理系统的要求。
  • 有了ISO 27701,你可以在信息安全管理的整体范围内,识别、评估和减少数据保护的安全风险。
  • 除了ISO 27001之外,ISO 27701是第一个可认证的国际标准,通过证书来确认数据保护(很快:DQS的DAkkS认证证书)。
  • ISO 27701是欧洲和国际上数据保护的一个重要发展。

结论:一个系统化和结构化的数据保护管理方法

如果你想在国内和国际的数据保护法规中安全地航行,你不能避免以一种结构化和系统化的方式来处理这个问题。在这种情况下,ISO 27701提供了高附加值。

因此,中型公司也可以掌握数据保护和数据安全,并为符合规定的数据保护提供一个很好的蓝图。这包括一个全面的最佳实践集合,公司可以用它来自信地记录他们在处理关键数据时的尽职调查。

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

我们很乐意回答您的问题

ISO 27701认证的要求是什么,费用是多少?了解一下

DQS:简单地利用质量。

在动态和稳定的相互作用中,经过认证的管理系统变得越来越重要--DQS对这种发展有积极的感受。这是因为成功的公司和组织利用我们的审核结果来不断改进他们的成果。他们还将我们全球认可的证书作为其质量能力的客观证明。这创造了信任--无论是对公司内部还是外部。

专业知识和信任

我们的文本和手册完全由我们的标准专家或长期的审核员撰写。如果您对文本内容或我们对作者的服务有任何疑问,请联系我们。

作者
Schmeken Holger

信息安全和软件开发的产品经理和专家。Holger Schmeken还作为具有KRITIS审计程序能力的ISO 27001审计师和DQS BIT有限公司的首席信息安全官贡献了他的专业知识。

Loading...