ISO 27xxx (ISO 27k) – eine Familie von Standards zur Informationssicherheit
Informationssicherheit ist das Thema der Normenreihe ISO 27k. Die Reihe ist sehr umfangreich und wird ständig weiterentwickelt. Die ISO 27001 ist der zentrale und damit einzige zertifizierbare Standard der ISO-27k-Normenreihe; alle verwandten Publikationen sind nur ergänzend anzuwenden, entweder als Leitlinien für die konkrete Umsetzung oder als branchenspezifische Anpassungen der Vorgaben.
Hochqualifizierte Berater
Die vielen unterschiedlichen Qualifikationen unserer Berater im Datenschutz und IT‑Bereich sind in der Branche einzigartig.
+ 20 Jahre Erfahrung
firstbyte digital consulting bietet Ihnen mit über 20 Jahren Erfahrung einen starken Partner mit viel Know-how.
Kostenlose Erstberatung
Sie haben eine Frage? Erste Beratung für Sie kostenfrei! Individuell und auf Augenhöhe beraten wir Sie umfassend zu allen Themen rund um Datenschutz, Informationssicherheit und Business Continuity (Notfallmanagement).
Sektorspezifische Normen
Branchen- bzw. sektorspezifische Normen sowie konkrete Bereiche im Rahmen der Informationssicherheit behandeln beispielsweise:
- ISO 27011: ISMS-Anforderungen an Telekommunikationsunternehmen
- ISO 27019: ISMS-Anforderungen für die Energieversorgung
- ISO 27799: ISMS-Anforderungen an das Gesundheitswesen
- ISO 27031: Business Continuity
- ISO 27701: Datenschutz-Management
ISO 27701 – Internationale Norm für Datenschutz-Managementsysteme
Die als Erweiterung angelegte ISO 27701 legt fest, wie Maßnahmen für Datenschutz und Informationssicherheit zu verknüpfen sind, um die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Managementsystems für Informationen zum Datenschutz zu erreichen.
Die ISO 27701 ist eine Erweiterung der Standards ISO 27001 und ISO 27002 (Informationssicherheit) um das Thema Datenschutz und kann nur zusammen mit ISO 27001 zertifiziert werden. Eine Konformität mit der ISO 27701 setzt also immer auch die Erfüllung der Anforderungen aus der ISO 27001 zwingend voraus.
Um die Einhaltung der Anforderungen der Datenschutz-Grundverordnung (DSGVO) nachzuweisen, kann die ISO 27701 helfen. Die Norm baut stark auf die DSGVO auf, fordert aber explizit die Umsetzung der Datenschutzbestimmungen des jeweiligen Landes. Dafür leistet der Anhang von ISO 27701 eine wertvolle Hilfestellung, denn er enthält eine ausführliche Zuordnungstabelle von Maßnahmen zu den Anforderungen der DSGVO.
Gemeinsamkeiten von ISO 27001 und ISO 27701
Die Normen ISO 27001 und ISO 27701 legen fest, welchen Anforderungen das Managementsystem einer Organisation im Hinblick auf das jeweilige Thema genügen muss. Lediglich der Fokus – Informationssicherheit bei ISO 27001 und Datenschutz bei ISO 27701 – unterscheidet sich.
Zusätzlich beinhaltet die ISO 27701 auch Ergänzungen zur ISO 27002, dem Leitfaden zur Umsetzung der Controls aus Anhang A der ISO 27001.
Erfüllt mein Unternehmen die Anforderungen aus der DSGVO, wenn ich die Norm umsetze?
Die ISO 27701 formuliert erst einmal nur die Anforderungen an ein Managementsystem und deren Umsetzung. Die Norm fordert nicht die Umsetzung der DSGVO, obwohl im Anhang eine Mapping-Tabelle als wertvolle Hilfestellung aufgeführt wird.
Mit der Umsetzung der Anforderungen aus der ISO 27701 erfüllen Unternehmen nicht die Anforderungen der DSGVO. Diese Anforderungen zum Schutz personenbezogener Daten können aber in das Managementsystem integriert und erfüllt werden.
