ISO/IEC 27701 Datenschutzinformationsmanagementsystem in Verbindung mit der ISO/IEC 27001

ISO/IEC 27701 Datenschutzinformationsmanagementsystem in Verbindung mit der ISO/IEC 27001

TÜV PROFiCERT-plus Zertifizierungsverfahren - Privacy Information Managementsystem (PIMS)

Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 setzt die Identifikation und Behandlung spezifischer Informationssicherheitsrisiken voraus und ist die Organisationsgrundlage für einen systematischen und umfassenden Umgang mit Informationssicherheit.
Mit der ISO/IEC 27701 lässt sich Ihr ISMS perfekt um Managementaspekte zum Schutz personenbezogener Daten (Personally Identifiable Information - PII) erweitern, ohne dass ein komplett neues Managementsystem entwickelt werden muss.

Mit dieser erweiterten Zertifizierung wird bestätigt, dass Ihre Organisation über wirksame Regelungen für das Management geeigneter technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten verfügt, deren Einhaltung Sie damit gemäß dem Grundsatz der „Rechenschaftspflicht“ (Art. 5 Abs. 2 DSGVO) nachweisen können.

Das Datenschutzinformationsmanagementsystem (Privacy Information Management System - PIMS) nach ISO/IEC 27701 kann in Verbindung mit der ISO/IEC 27001 durch TÜV Hessen zertifiziert werden.

 

In diesem Kontext sind Zuordnungen enthalten auf die

  • in ISO/IEC 29100 definierten Datenschutzrahmen und Datenschutzgrundsätze,
  • ISO/IEC 27018,
  • ISO/IEC 29151 und die
  • Allgemeine Datenschutzverordnung (GDPR) der Europäischen Union.

Das Zertifikat nach ISO/IEC 27001 mit den Zusatzanforderungen der ISO/IEC 27701 bestätigt die Konformität des Informationssicherheitsmanagementsystems und Datenschutzinformationsmanagmentsystems Ihres Unternehmens, unabhängig von den rechtlichen Anforderungen DSGVO in Bezug auf Zertifizierungen von Verarbeitungsvorgängen (gemäß Art. 42 der DSGVO).

Da es diese Zertifizierungsverfahren gemäß Art. 42 DSGVO noch nicht gibt, kann eine akkreditierte Zertifizierung nach ISO/IEC 27001 unter Einbeziehung der Controls/Maßnahmen der ISO/IEC 27701 den Interessengruppen und Aufsichtsbehörden den Nachweis erbringen, dass Ihr Unternehmen internationale Best Practices im Bereich des Schutzes personenbezogener Daten anwendet.

Über den Standard:

Die ISO/IEC 27701 spezifiziert die Anforderungen für den Datenschutz und gibt Leitlinien für die Einrichtung, Implementierung, Aufrechterhaltung und die kontinuierliche Verbesserung eines Datenschutzinformationsmanagementsystem (Privacy Information Management System – PIMS).

Die ISO/IEC 27701 ist ein branchenspezifisches Dokument im Zusammenhang mit ISO/IEC 27001:2013 und ISO/IEC 27002:2013.

In der Praxis bedeutet das, dass dort, wo in der ISO/IEC 27001 "Informationssicherheit" verwendet wird, stattdessen in der ISO/IEC 27701 "Informationssicherheit und Datenschutz" gilt. Umgekehrt werden die Anforderungen der ISO/IEC 27001, in denen "Informationssicherheit" erwähnt wird, um den Datenschutz bei der Verarbeitung personenbezogener Daten ergänzt.

Unser Zertifizierungsverfahren ISO/IEC 27001 mit den Zusatzanforderungen der ISO/IEC 27701 läuft wie folgt ab:

Informationsgespräch
Zunächst führen wir ein Informationsgespräch mit Ihnen, um den Umfang und Geltungsbereich für die Zertifizierung sinnvoll zu bestimmen und somit die Grundlage für ein differenziertes Angebot zu schaffen.

Audit (Stufe 1) Bereitschaftsbewertung
Das eigentliche Zertifizierungsverfahren startet in Phase 2. Ziel des Audits (Stufe 1) ist, den Status der Bereitschaft für das Audit zu bewerten. Die Ergebnisse werden in einem schriftlichen Bericht dokumentiert.

Audit (Stufe 2) Zertifizierungsaudit
Das Audit (Stufe 2) wird ebenfalls am Unternehmensstandort durchgeführt. Zweck ist die Evaluierung der Umsetzung und Wirksamkeit des ISMS und PIMS.

Zertifikaterteilung und Überwachung
Nach positiver Zertifizierungsentscheidung wird ein Zertifikat mit einer Gültigkeit von 3 Jahren ausgestellt. Während dieser 3 Jahre finden im geplanten Abstand zwei Überwachungsaudits statt. Dabei wird stichprobenweise die Anwendung und Wirksamkeit des ISMS und PIMS überprüft.

Anforderungen für eine Zertifizierung

Voraussetzung für eine erfolgreiche Zertifizierung gemäß ISO/IEC 27701 ist ein etabliertes und zertifizierungsreifes ISMS nach ISO/IEC 27001, dessen zentraler Erfolgsfaktor unter anderem

  • die Etablierung eines Risikomanagements sowie
  • erfolgreiche Durchführung einer Risikobeurteilung mit
  • angemessener Behandlung der identifizierten und bewerteten Risiken
ist.

Hinzu kommen Anforderungen an Ihre Datenschutzmanagementsystem (PIMS)-Dokumentation.

  • Wertedefinition / Datenschutzpolitik (privacy policy)
  • Definition des Geltungsbereichs des PIMS, der Prozeduren und Maßnahmen
  • Dokumentation der systematischen Risikoanalyse
  • Erklärung zur Anwendbarkeit

Der erste Schritt zur Zertifizierung - ein individuelles Angebot von uns

Sicherheit und Qualität beginnen mit einem persönlichen Kontakt, einem vertraulichen Gespräch. Wir begleiten und unterstützen Sie, wenn es um Ihre individuellen Herausforderungen geht. Im Sinne unseres ganzheitlichen Ansatzes segmentieren wir Ihre Problemsituation und priorisieren die Aufgaben. Setzen Sie sich direkt mit uns in Verbindung.

Sprechen Sie uns einfach an, damit wir Sie konsequent auf dem Weg zur Zertifizierung begleiten können!

E-Mail: Zum Kontaktformular
oder
Tel.: 06151 600-331

zurück zur PROFICERT Hauptseite