ISO 27701: Datenschutz-Zertifizierung für mehr Unternehmensresilienz
Der bekannte Sicherheitsstandard ISO/IEC 27001 für Informations-Sicherheits-Management-Systeme (ISMS) wurde jüngst mit dem neuen Standard ISO/IEC 27701 um Aspekte des Datenschutzmanagements erweitert. Diese Erweiterung unterstützt Unternehmen unter anderem beim Umgang mit personenbezogenen Daten und hilft beim Nachweis der Einhaltung von globalen Datenschutzbestimmungen.
Die neue Norm trägt die Bezeichnung „ISO/IEC 27701:2019-08 „Informationstechnik – Sicherheitsverfahren – Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement – Anforderungen und Leitfaden“. Sie stellt demnach eine Erweiterung der ISO 27001 und ISO 27002 um Aspekte des Datenschutzes dar.
Die ISO 27701 definiert Anforderungen an ein Informationssicherheits-Management-System (ISMS) von Unternehmen sowie öffentlichen oder gemeinnützigen Organisationen. Das ISMS ist Kern der Zertifizierung und übernimmt die Aufgabe, im Unternehmen Prozesse und Richtlinien zu etablieren, mit denen Informationen verwaltet und geschützt werden. Die Informationssicherheit schliesst mit der ISO 27701 auch personenbezogene Daten ein. Dem ISMS obliegt es, die Informationssicherheit unter Berücksichtigung des Datenschutzes zu regeln, aber auch zu kontrollieren und zu dokumentieren. Sicherheitsrisiken können so identifiziert, abgestellt oder reduziert werden.
Welche Vorteile sprechen für die Zertifizierung?
Mit dem Einsatz einer Zertifizierung können sensible Daten zuverlässig vor Verlust und Missbrauch geschützt sowie Haftungsrisiken minimiert werden. Denn mit einem zertifizierten ISMS können Sicherheitsrisiken schnell erkannt werden. Mit der ISO 27701 werden zusätzlich alle Prozesse optimiert, die insbesondere der Verarbeitung und dem Umgang mit personenbezogenen Daten dienen.
Zusätzlicher Effekt: Das Unternehmen fördert durch die Zertifizierung das Vertrauen und Image in Richtung der Kunden, Partner und Dienstleister. Ulrich Heun, Geschäftsführer der CARMAO GmbH, erklärt: „Manche geschäftlichen Beziehungen werden durch ein Zertifikat erst ermöglicht. Des Weiteren findet gleichzeitig eine Sensibilisierung der Mitarbeiter auf dem Feld der Informationssicherheit und des Datenschutzes statt. All diese Faktoren unterstützen die Unternehmensresilienz und machen eine Organisation robuster.“
Unternehmensresilienz bzw. organisationale Resilienz stärkt die Fähigkeit eines Unternehmens oder einer Organisation, sich systematisch auf aktuelle und künftige negative Einflüsse vorzubereiten und so darauf einzustellen, dass Schäden vermieden werden und die Zukunftsfähigkeit aufrechterhalten wird. Diese Resilienz wird durch geschicktes Zusammenwirken diverser Managementsysteme erreicht.