ISMS & DSGVO: Was Unternehmen beachten sollten

isms dsgvo
Fachbeitrag

Lang genug haben wir Sie freitags mit IT-Themen gequält. Für alle, die tapfer durchgehalten haben: Gratulation! Jetzt können Sie selbstbewusst mitreden und mit Ihrem neuen Wissen prahlen. Ab heute widmen wir uns einem neuen Thema, dem Management für Informationssicherheit bzw. Datensicherheit. Warum? Weil die Datenschutz-Grundverordnung (DSGVO) es so wünscht. Ab heute werden wir Ihnen, in regelmäßigen Abständen, das Managementsystem Stück für Stück näher bringen.

Was ist ein ISMS?

Ein Informationssicherheits-Managementsystem (ISMS, engl. Information Security Management System) etabliert ein Verfahren, mit dem Informationen (und damit auch personenbezogene Daten) geschützt und Risiken minimiert werden sollen. Ein ISMS stellt hierfür Prozesse und Richtlinien im Unternehmen auf, die die Informationssicherheit regelt, steuert, kontrolliert und ständig verbessert. Das ISMS deckt Risiken auf und realisiert technische und organisatorische Maßnahmen, um Risiken zu vermeiden bzw. zu reduzieren.

Wenn sich ein Unternehmen für ein umfassendes ISMS entscheidet, besteht der Vorteil darin, dass eine Zertifizierung nach ISO 27001 nicht mehr in weiter Ferne ist. Denn bei einer Zertifizierung nach ISO 27001 wird ja das Informationssicherheits-Managementsystem zertifiziert.

DSGVO verpflichtet Unternehmen

Die Datenschutz-Grundverordnung fordert in Art. 32 DSGVO ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten. Dabei sollen nicht nur Art, Umfang und Zweck der Verarbeitung, Stand der Technik und Kosten berücksichtigt, sondern auch die Eintrittswahrscheinlichkeit und die Risiken für die Betroffenen beachtet werden. Das Ganze soll dann unter dem Aspekt der Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme betrachtet werden und auch noch auf Dauer ausgelegt sein. Dann soll auch noch ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen implementiert werden.

Wir lesen also aus Art. 32, dass ein Managementsystem in Hinblick auf die Datensicherheit im Unternehmen etabliert werden soll. Eine Check-Liste mit technischen und organisatorischen Maßnahmen, die man irgendwann erstellt und bestenfalls noch regelmäßig angepasst oder aktualisiert hat, reicht nicht mehr aus.

Blick auf das große Ganze

In unserem Artikel haben wir uns mit dem Unterschied zwischen Datenschutz, Datensicherheit, Informationssicherheit und IT-Sicherheit auseinander gesetzt. Zusammenfassend kann man sagen, dass die Informationssicherheit alles umfasst und Datensicherheit bzw. IT-Sicherheit nur ein Teil hiervon ist.

Wenn ein Unternehmen den Aufbau eines Managementsystems plant, ist es ratsam darüber nachzudenken, gleich das große Ganze daraus zu machen und nicht nur personenbezogene Daten, sondern alle Informationen abzusichern, egal ob diese in Papierform oder digital vorliegen, ob sie personenbezogen sind oder nicht.

Grundsätzlich reicht es nicht aus, sich nur mit einem Gebiet zu beschäftigen. Wird nur die IT-Sicherheit betrachtet, sind Informationen, die nicht digital verarbeitet werden nicht abgesichert. Man denke hier auch an das Szenario, dass ein einziger IT-Administrator Systempasswörter kennt und das Unternehmen verlässt, ohne diese preiszugeben. Werden nur personenbezogenen Daten geschützt, wird der Schutz von Geschäftsdaten (wie dem Know-How) ignoriert, was im Zeitalter der professionellen Industriespionage verheerend ist.

Ausblick

In den nächsten Artikeln dieser neuen Serie werden wir uns deshalb mit ISMS & DSGVO beschäftigen und einzelne Schritte erläutern. Dabei werden die Themen nicht separat betrachtet, sondern in Beziehung gesetzt.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.