ISO27701

Die ISO27701 (Datenschutzmanagements) stellt eine Ergänzung zur ISO27001 (ISMS) dar, kann allerdings nicht eigenständig (ohne ISO27001) zertifiziert werden, sondern ausschliesslich als Ergänzung zu einer ISO27001-Zertifizierung.

Dies ist auch anhand des offiziellen Namens dieses neuen Standards bereits zu erkennen: "Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines"

Der Standard ISO27701 ist relativ neu und unterstützt Unternehmen beim Umgang mit personenbezogenen Daten und hilft beim Nachweis der Einhaltung von globalen Datenschutzbestimmungen.

Die Struktur der Norm orientiert sich daher ebenfalls an der ISO27001 , so werden im Kapitel 5 notwendige Erweiterungen zur ISO27001 definiert. Allerdings gibt es bei der ISO27701 nur in den Kapiteln 4 (Kontext der Organisation) und Kapiteln 6 (Massnahmen) ergänzende Massnahmen. Die 114 Controls aus der ISO27001 werden im Kapitel 6 der ISO27701 erweitert.

Das Kapitel 17 (Information security aspects of business continuity management) hat keine Erweiterung aber immerhin 29 erweiterte Controls.

Die Norm verwendet dabei den Standardbegriff "Customer", meint aber drei unterschiedliche Bereiche (Vertragsbeziehung zwischen betroffener Person und Verantwortlichen, Vertragsbeziehung zwischen Verantwortlichen und Auftragsverarbeiter sowie Vertragsbeziehung zwischen Verantwortlichen und Sub-Verantwortlichen). Dies bedeutet, dass beim Umsetzen der Norm immer alle 3 Varianten zu berücksichtigen sind. Kapitel 7 definiert dabei 30 zusätzliche Controls die umzusetzen sind, wenn das Unternehmen als Verantwortlicher für die Verarbeitung von personenbezogenen Daten zuständig ist. Im Kapitel 8 finden 18 zusätzliche Anforderungen an den Verantwortlichen, welcher im Auftrag personenbezogene Daten verarbeitet.
Dies bedeutet, dass ein Unternehmen das selbst Verantwortlicher ist und die Daten gleichzeitig auch selbst verarbeitet 48 zusätzliche Controls umzusetzen hat.

Die Anhänge A und B sind normativ und somit verbindlich umzusetzen, während Kapitel 7 und 8 informativ sind. Somit entsprechen die Kapitel 7 und 8 den Anforderungen aus ISO27002 und Anhänge A und B dem Anhang A aus ISO27001.

Der Anhang C verbindet die Controls mit der ISO/IEC29100 (dem Privacy Framework), Anhang D mit der Datenschutz-Grundverordnung (DSGVO), Anhang E mit der ISO/IEC27018 (Code of practice for proection of personally identifiable information (PII) in public clouds acting as PII processors) sowie der ISO/IEC29151 (Code of practice for personally identifiable information proection) und Anhang F zeigt, wie die Controls aus ISO/IEC27701 mit den Standards 27001 und 27002 in Verbindung gebracht werden.

Durch die Zusammenarbeit mit der Zertifizierungsstelle besteht die Möglichkeit, Ihr ISO27001 Zertifikat um eine ISO27701 Prüfung zu ergänzen. Bei Interesse sprechen Sie mich bitte an.