Erweiterung des Sicherheitsstandards ISO/IEC-27001 um datenschutzrechtliche Aspekte

11. September 2019

Der neue Standard ISO/IEC 27701 erweitert den bekannten ISO/IEC-27001 Sicherheitsstandard für Informations-Sicherheits-Management-Systeme (ISMS) um datenschutzrechtliche Aspekte. Es kommt zu einer Integration der Anforderungen an ein Datenschutz-Informations-Management-System (PIMS) in ein ISMS.

Ein ISMS soll dazu dienen, Unternehmen bei der Verwaltung ihrer sensiblen Informationen zu unterstützen und damit die Informationssicherheit zu fördern. Die maßgeblichen Standards werden von der internationalen Organisation für Normung (ISO) und der Internationalen Elektronischen Kommission (IEC) entwickelt. Anforderungen an die Informationssicherheit werden in der 27000er Serie in einem Dutzend Normen konkretisiert und sollen bei der Umsetzung helfen.

Das Bundesamt für Sicherheit in der Informationstechnik, der Bundesnetzagentur oder der Bundesanstalt für Finanzdienstleistungsaufsicht sehen den grundlegenden Standard ISO 27001 als maßgebliche Norm an. Der neue Standard ISO 27701 baut auf dem des 27001 auf und ergänzt diese um datenschutzrechtliche Aspekte.

Das ISMS unterstützt damit bei der Berücksichtigung der Vorgaben der DSGVO. Diese fordert, unter anderem zum Schutz der Rechte und Freiheiten der betroffenen Personen durch Implementierung geeigneter technischer und organisatorischer Maßnahmen zur Sicherung personenbezogener Daten, auf.

Um eine datenschutzkonformes ISMS zu erstellen, wurde der neue Standard um Anforderungen ergänzt und enthält Empfehlungen für den Datenschutz.