EU DSGVO & ISO Integriertes Dokumentations-Toolkit

Transkript

1 EU DSGVO & Integriertes Dokumentations- Bemerkung: Die Dokumentation sollte vorzugsweise in der Reihenfolge umgesetzt werden, in der sie hier aufgeführt ist. Die Reihenfolge der Umsetzung der Dokumentation zu Ordner 11 (Sicherheits-kontrollen) ist im Risikobehandlungsplan definiert. Bitte beachten Sie, dass einige Dokumente in diesem nicht vorgeschrieben sind. Je nach Größe und Komplexität Ihres Unternehmens können Sie wählen, ob Sie diese umsetzen möchten oder nicht. 0 Dokumentenmanagement 1 00 Verfahren zur Lenkung von Dokumenten und Aufzeichnungen 1 Vorbereitungen für das Projekt EU DSGVO Bereitschaftsbewertung Projektplan für die Umsetzung des ISMS und für die Einhaltung der EU DSGVO 2 Identifikation von Anforderungen 4 02 Verfahren zur Identifikation der Anforderungen Anhang Liste gesetzlicher, amtlicher, vertraglicher und anderer Anforderungen 3 ISMS Anwendungsbereich 6 03 Dokument zum ISMS Anwendungsbereich 4 Allgemeine Politiken Informationssicherheitspolitik Politik des Schutzes personenbezogener Daten Politik des Schutzes personenbezogener Daten von Arbeitnehmern Abschnitt und A und A und (2) 24(2) Integrierte Dokumentations- Ver 0.4 vom Seite 1 von 10

2 Datenschutzerklärung Datenschutzerklärung für Arbeitnehmer Webseiten - Datenschutzpolitik Verzeichnis der Datenschutzerklärungen Politik der Datenspeicherung Anhang Datenspeicherungszeitplan Arbeitsbeschreibung des Datenschutzbeauftragten Webseite- Geschäftsbedingungen Cookie-Politik Zuordnung der Verarbeitungstätigkeiten Richtlinien für das Datenverzeichnis und die Zuordnung der Verarbeitungstätigkeiten Anhang Verzeichnis der Verarbeitungstätigkeiten Rechte betroffener Personen managen Formular der Einverständniserklärung betroffener Personen Formular für die Widerrufung der Einverständniserklärung betroffener Personen Formular der elterlichen Einverständniserklärung 12, 13 and 14 12, 13 and und 13 12, 13 and 14 5(1)(e), 13(1), 17, , 38, und (1)(a), 7(1), 9(2) 7(3) 8 Integrierte Dokumentations- Ver 0.4 vom Seite 2 von 10

3 Formular für die Widerrufung der elterlichen Einverständniserklärung Verfahren des Zugangsersuchens betroffener Personen Formular des Zugangsersuchens betroffener Personen Formular der Offenlegung für betroffene Personen Risikoeinschätzung und Risikobehandlung Methodik zur Risikoeinschätzung und Risikobehandlung Anhang 1 Verzeichnis der Risikoeinschätzung Anhang 2 Verzeichnis der Risikobehandlung Anhang 3 Bericht zur Risikoeinschätzung und Risikobehandlung Datenschutz- Folgenabschätzung Methodik der Datenschutz- Folgenabschätzung Verzeichnis der DSFA 9 Anwendbarkeit der Maßnahmen Erklärung zur Anwendbarkeit 10 Plan der Umsetzung Plan zur Risikobehandlung 11 Sicherheitskontrollen 8 7(3), 15, 16, 17, 18, 20, 21, , 6.1.3, 8.2, und und und und d) 6.1.3, 6.2 und 8.3 Integrierte Dokumentations- Ver 0.4 vom Seite 3 von 10

4 11.A A A A.7 Integrierte Dokumentations- Organisierung der Informationssicherheit Bring Your Own Device (BYOD) Richtlinie Richtlinie zu Mobilgeräten und Telearbeit Personelle Sicherheit A.7.1 Vertraulichkeitserklärung A A.8 Erklärung zur Akzeptanz von ISMS-Dokumenten Management von Werten A.8.1 Inventar der Werte A.8.2 IT-Sicherheitspolitik A.8.3 Richtlinie zur Klassifizierung von Informationen A.6.2.1, A.6.2.2, A A.6.2 A A.7.1.2, A , A A A.8.1.1, A A.6.2.1, A.6.2.2, A.8.1.2, A.8.1.3, A.8.1.4, A.9.3.1, A , A , A , A , A , A , A , A , A , A A.8.2.1, A.8.2.2, A.8.2.3, A.8.3.1, Ver 0.4 vom Seite 4 von 10

5 11.A.9 Integrierte Dokumentations- Zugangssteuerung A.9.1 Zugangssteuerungsrichtlinie A A A A A A.11.1 Kennwort-Richtlinie (Anmerkung: Sie kann auch als Teil der Zugangssteuerungsrichtlinie umgesetzt werden) Kryptografie Richtlinie des Einsatzes von Verschlüsselung Richtlinie der Anonymisierung und Pseudonymisierung Physische und Umgebungs Sicherheit Richtlinie zum aufgeräumten Arbeitsplatz und leeren Bildschirm (Anmerkung: Sie kann auch als Teil der A.8.3.3, A.9.4.1, A A.9.1.1, A.9.1.2, A.9.2.1, A.9.2.2, A.9.2.3, A.9.2.4, A.9.2.5, A.9.2.6, A.9.3.1, A.9.4.1, A A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A A , A , A , A A , A , A A , A Ver 0.4 vom Seite 5 von 10

6 48 11.A A A A A A A.13 Integrierte Dokumentations- Richtlinie zum zulässigen Gebrauch umgesetzt werden) Richtlinie zur Entsorgung und Vernichtung (Anmerkung: Sie kann auch als Teil des Sicherheitsverfahren für die IT-Abteilung umgesetzt werden) Verfahren zur Arbeit in sicheren Bereichen Betriebssicherheit Sicherheitsverfahren für die IT-Abteilung Richtlinie zum Änderungsmanagement (Anmerkung: Sie kann auch als Teil des Sicherheitsverfahrens für die IT-Abteilung umgesetzt werden) Backup-Richtlinie (Anmerkung: Sie kann auch als Teil des Sicherheitsverfahrens für die IT-Abteilung umgesetzt werden) Kommunikationssicherheit und Übertragung personenbezogener Daten A.8.3.2, A A A.8.3.2, A , A , A , A , A , A , A , A , A A , A A Ver 0.4 vom Seite 6 von 10

7 53 11.A A A A A A A A.15 Integrierte Dokumentations- Verfahren der grenzüberschreitenden personenbezogenen Datenübertragung Anhang 1 Standardvertragsklauseln für die Übertragung personenbezogener Daten an Verantwortliche Anhang 2 Standardvertragsklauseln für die Übertragung personenbezogener Daten an Auftragsverarbeiter Systembeschaffung Entwicklung und Wartung Richtlinie zur Entwicklungssicherheit Anhang Spezifikation der Sicherheitsanforderungen Beziehungen zu Lieferanten Sicherheitspolitik für Lieferanten A , A (3), 44, 45, 46, 47, (5) (5) ISO/IEC A , A , A , A , A , A , A , A , A , A A A.7.1.1, A.7.1.2, A.7.2.2, A.8.1.4, A , Ver 0.4 vom Seite 7 von 10

8 59 11.A A A A A A.16.1 Integrierte Dokumentations- DSGVO Einhaltungsfragebogen für den Auftragsverarbeiter Vereinbarung über die Datenverarbeitung mit Lieferanten Sicherheitsabschnitte für Lieferanten und Partner Vorfallsmanagement und Schutzverletzung personenbezogener Daten Reaktion auf eine Datenschutzverletzung und Meldeverfahren Verzeichnis der Datenschutzverletzung A , A , A , A , A , A , A.7.1.2, A , A ,, 82 A.7.1.2, A , A , A A.7.2.3, A , A.6.1.2, A , A , A , A , A (12), 33, 34 A (5) Ver 0.4 vom Seite 8 von 10

9 64 11.A A A.17 Meldungsformular der Datenschutzverletzung an die Aufsichtsbehörde Meldungsformular der Datenschutzverletzung an betroffene Personen Kontinuitätsmanagement A.17 Notfallwiederherstellungsplan Training und Awareness Plan für Training und Awareness 13 Internes Audit Verfahren für interne Audits Anhang 1 Internes Audit- Programm Anhang 2 Interner Audit- Bericht Anhang 3 Interne Audit- Checkliste 14 Managementbewertung 7.4, A , A A Abschnitte 7.2, (1) Abschnitt 9.2 Abschnitte 9.2 Abschnitt 9.2 Abschnitt 9.2 Integrierte Dokumentations- Ver 0.4 vom Seite 9 von 10

10 Messbericht Protokoll zur Managementbewertung 15 Korrekturmaßnahmen Verfahren zu Korrekturmaßnahmen Anhang Formblatt der Korrekturmaßnahmen Abschnitte 6.2, 9.1 Abschnitt 9.3 Abschnitt 10.1 Abschnitt 10.1 Die aufgeführten Dokumente sind nur dann verpflichtend, wenn die entsprechenden Kontrollen in der Anwendbarkeitserklärung als anwendbar eingestuft wurden. Dieses Dokument ist vorgeschrieben, falls (a) die Verarbeitung ausgeführt wird von einer öffentlichen Behörde oder öffentlichen Stelle, außer für Gerichte, die im Rahmen ihrer Recht sprechenden Befugnisse handeln; oder (b) die Kerntätigkeit des Rechtsträgers aus Verarbeitungsprozessen besteht, die aufgrund ihrer Natur, ihrem Anwendungsbereichs und/oder ihres Zwecks in großem Umfang regelmäßige und systematische Überwachung betroffener Personen verlangt; oder (c) die Kerntätigkeit der Rechtsträger auf der Verarbeitung besonderer Kategorien von Daten in großem Umfang entsprechend Artikel 9 der EU DSGVO und personenbezogener Daten bezüglich strafrechtlicher Verurteilung und strafbarer Handlung, auf die sich Artikel 10 des EU DSGVO bezieht, beruhen. Dieses Dokument ist vorgeschrieben, wenn (a) das Unternehmen mehr als 250 Mitarbeiter beschäftigt; oder (b) die Verarbeitung, die das Unternehmen ausführt wahrscheinlich zu einer Gefährdung der Rechte und Freiheiten der betroffenen Personen führt; oder (c) die Verarbeitung ist nicht gelegentlich; oder (d) die Verarbeitung umfasst besondere Datenkategorien (personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in Gewerkschaften hervorgehen, sowie die Verarbeitung genetischer Daten, biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder Daten über das Sexualleben oder die sexuelle Orientierung einer natürlichen Person) oder (e) die Verarbeitung umfasst personenbezogene Daten in Bezug auf strafrechtliche Verurteilungen und Straftaten. Dieses Dokument ist vorgeschrieben, wenn Sie personenbezogene Daten an einen Verantwortlichen außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln und Sie sich auf die Modellklauseln als rechtmäßigen Grund für grenzüberschreitende Datenübertragungen berufen. Dieses Dokument ist vorgeschrieben, wenn Sie personenbezogene Daten an einen Auftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln und Sie sich auf die Modelklauseln als rechtmäßigen Grund für grenzüber-schreitende Datenübertragungen berufen. Integrierte Dokumentations- Ver 0.4 vom Seite 10 von 10