ISO 27xxx (ISO 27k)

Branchen- bzw. sektorspezifische Normen sowie konkrete Bereiche im Rahmen der Informationssicherheit behandeln beispielsweise:

Die als Erweiterung angelegte ISO 27701 legt fest, wie Maßnahmen für Datenschutz und Informationssicherheit zu verknüpfen sind, um die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Managementsystems für Informationen zum Datenschutz zu erreichen.

Die ISO 27701 ist eine Erweiterung der Standards ISO 27001 und ISO 27002 (Informationssicherheit) um das Thema Datenschutz und kann nur zusammen mit ISO 27001 zertifiziert werden. Eine Konformität mit der ISO 27701 setzt also immer auch die Erfüllung der Anforderungen aus der ISO 27001 zwingend voraus.

Um die Einhaltung der Anforderungen der Datenschutz-Grundverordnung (DSGVO) nachzuweisen, kann die ISO 27701 helfen. Die Norm baut stark auf die DSGVO auf, fordert aber explizit die Umsetzung der Datenschutzbestimmungen des jeweiligen Landes. Dafür leistet der Anhang von ISO 27701 eine wertvolle Hilfestellung, denn er enthält eine ausführliche Zuordnungstabelle von Maßnahmen zu den Anforderungen der DSGVO.

Die Normen ISO 27001 und ISO 27701 legen fest, welchen Anforderungen das Managementsystem einer Organisation im Hinblick auf das jeweilige Thema genügen muss. Lediglich der Fokus – Informationssicherheit bei ISO 27001 und Datenschutz bei ISO 27701 – unterscheidet sich.

Zusätzlich beinhaltet die ISO 27701 auch Ergänzungen zur ISO 27002, dem Leitfaden zur Umsetzung der Controls aus Anhang A der ISO 27001.

Die ISO 27701 formuliert erst einmal nur die Anforderungen an ein Managementsystem und deren Umsetzung. Die Norm fordert nicht die Umsetzung der DSGVO, obwohl im Anhang eine Mapping-Tabelle als wertvolle Hilfestellung aufgeführt wird.

Mit der Umsetzung der Anforderungen aus der ISO 27701 erfüllen Unternehmen nicht die Anforderungen der DSGVO. Diese Anforderungen zum Schutz personenbezogener Daten können aber in das Managementsystem integriert und erfüllt werden.