Mit ISIS12 zur DS-GVO Compliance

Größe: px

Ab Seite anzeigen:

Download "Mit ISIS12 zur DS-GVO Compliance"

Ernst Biermann
vor 5 Jahren
Abrufe

1 Mit ISIS12 zur DS-GVO Compliance IT-Sicherheit am Donaustrand Datenschutz Up(2)Date? Deggendorf BSP-SECURITY BSP-SECURITY

LAN/WAN, IT-Security) Vor 30 Jahren erste E-Mail-Adresse Fachbeirat

2 Michael Gruber Seit 18 Jahren Berater im Bereich IT-Compliance (Informationssicherheit und Datenschutz) 30 Jahre IT Erfahrung (UNIX, LAN/WAN, IT-Security) Vor 30 Jahren erste -Adresse Fachbeirat Datenschutz im Bayerischen IT- Sicherheitscluster e.v. ISIS12 Initiator und Architekt

3 1 ISMS ISIS12 Warum schützen Sie nur Ihre personenbezogenen Daten was ist mit Ihren Kronjuwelen?

4 1 ISMS ISIS12 ISIS12 ISMS für Kleine und Mittlere Organisationen (KMO) ISIS12 = Informations-SIcherheitsmanagementSystem in 12 Schritten Entwickelt vom Bayerischen IT-Sicherheitsclusters e.v. Vorgehensmodell zur Einführung eines ISMS speziell für KMO Verständlich beschriebener 12-stufiger Prozess (inkl. spezieller Software) Ziel: Erhöhung der Informationssicherheit Migration zur ISO/IEC ist organisch möglich DS-GVO kann mit ISIS12 kombiniert und damit realisiert werden

5 1 ISMS ISIS12 Informationssicherheit = IT-Security + Prozesse + Regelungen/Mitarbeiter Wie kann Informationssicherheit gewährleistet werden? ISMS (InformationsSicherheitsManagementSystem): Es wird ein Sicherheitsprozess initiiert (top down) Technik und Organisation sind zu betrachten Anpassung der Sicherheitsmaßnahmen/Prozesse (KVP) PDCA (Plan-Do-Check-ACT) ISMS entspricht nicht einer Diät sondern einer Ernährungsumstellung

6 1 ISMS - ISIS12 ISIS12 ISMS für KMO

7 1 ISMS - ISIS12 Weitere Informationen: Fördermittel:

8 2 Informationssicherheit trifft Datenschutz

9 2 Informationssicherheit trifft Datenschutz

10 2 Informationssicherheit trifft Datenschutz

11 2 Informationssicherheit trifft Datenschutz

12 2 Informationssicherheit trifft Datenschutz Grundwerte (ISIS12 und DS-GVO) Vertraulichkeit Integrität Verfügbarkeit Belastbarkeit (resilience) Sinnvolle Verknüpfung von IT-Security, Technik, Prozessen, Organisation und Recht Spiegelt sich auch in den aktuellen personellen Besetzungen der Datenschutz- Aufsichtsbehörden wieder: z.b. Frau Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein Diplom-Informatikerin

13 2 Informationssicherheit trifft Datenschutz Beispiel: Post vom BayLDA

14 3 DS-GVO mit ISIS12

15 3 DS-GVO mit ISIS12 Informationssicherheit in 12 Schritten Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12

16 3 DS-GVO mit ISIS12 Synergie: DS-GVO/ISIS12

17 3 DS-GVO mit ISIS12 Synergie: DS-GVO/ISIS12

18 Projekt Start 3 DS-GVO mit ISIS12 Schritt 0 Projekt vorbereiten

19 Initialisierungsphase 3 DS-GVO mit ISIS12 Schritt 1 - Leitlinie erstellen

20 Aufbau und Ablauforganisation 3 DS-GVO mit ISIS12 Schritt 4 IT-Dokumentation erstellen Eine aktuelle und strukturierte IT-Dokumentation ist eine wesentliche Voraussetzung für den Erfolg eines jeden ISMS Ziel und Aufgabe der IT-Dokumentation: Nachweis, Nachhaltigkeit, Know-How-Transfer und PDCA Die Rechenschaftspflicht der DS-GVO erfordert eine entsprechende IT-Dokumentation

21 Aufbau und Ablauforganisation 3 DS-GVO mit ISIS12 Schritt 4 IT-Dokumentation erstellen Logischer Aufbau der IT-Dokumentation: Betriebshandbuch (2) Notfallhandbuch (3) Rahmendokumente (1)

22 Aufbau und Ablauforganisation 3 DS-GVO mit ISIS12 Schritt 5 IT Servicemanagement-Prozess und DS-GVO Prozesse ISIS12: IT Service-Management (ITSM) mit drei Basis Prozessen Wartung Änderung Störungsbeseitigung

23 Aufbau und Ablauforganisation 3 DS-GVO mit ISIS12 (Meldung Sicherheitsvorfall) Schritt 5 Datenschutz-Prozess

24 Aufbau und Ablauforganisation 3 DS-GVO mit ISIS12 (Auskunftsrechte Betroffener) Schritt 5 Datenschutz-Prozess

25 Entwicklung und Umsetzung ISIS12 Konzept 3 DS-GVO mit ISIS12 Die ISIS12 Schritte 6, 9 und 12 sind für die DS-GVO Compliance von zentraler Bedeutung Das zentrale Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO) und Fragen der Sicherheit der Verarbeitung (Art. 32 DS-GVO) werden im Schritt 6 dokumentiert Im Schritt 9 findet sich der neue DS-GVO Baustein (B 1.5) Im Schritt 12 (Audit)

26 Entwicklung und Umsetzung ISIS12 Konzept 3 DS-GVO mit ISIS12 Schritt 6 - Kritische Anwendungen

27 Entwicklung und Umsetzung ISIS12 Konzept 3 DS-GVO mit ISIS12 Schritt 6 - Kritische Anwendungen

28 Entwicklung und Umsetzung ISIS12 Konzept 3 DS-GVO mit ISIS12 Schritt 6 Verzeichnis der Verarbeitungstätigkeiten

29 Entwicklung und Umsetzung ISIS12 Konzept 3 DS-GVO mit ISIS12 Schritt 6 TOMs (Art. 32 DS-GVO)

30 Entwicklung und Umsetzung ISIS12 Konzept 3 DS-GVO mit ISIS12 Schritt 6 - Risikoanalyse

31 Entwicklung und Umsetzung ISIS12 Konzept 3 DS-GVO mit ISIS12 Schritt 6 - Risikoanalyse

32 Entwicklung und Umsetzung ISIS12 Konzept 3 DS-GVO mit ISIS12 Schritt 6 - Risikoanalyse

33 Entwicklung und Umsetzung ISIS12 Konzept 3 DS-GVO mit ISIS12 Schritt 6 Datenschutz Folgenabschätzung

34 Entwicklung und Umsetzung ISIS12 Konzept 3 DS-GVO mit ISIS12 Schritt 9 - Neuer ISIS12 Datenschutz Baustein: M Datenschutzmanagement M Datenschutzbeauftragter M Verzeichnis der Verarbeitungstätigkeiten M Datenschutzgerechte Technikgestaltung M Auftragsverarbeitung M Informationspflichten M Werbung - Einwilligungserklärungen M Auskunft Betroffener M Datenportabilität M Rechtmäßigkeit der Verarbeitung M Datenschutzmanagementsystem M Sicherheit der Verarbeitung Risikoanalyse M Datenschutz-Folgenabschätzung M Datenschutzverletzungen

35 Entwicklung und Umsetzung ISIS12 Konzept 3 DS-GVO mit ISIS12 Schritt 12 Revision PDCA-Ansatz Stetige Optimierung des IT-Sicherheitsmanagement- Systems durch weitere ISIS12-Zyklen Abruf des Revisionsplans für die Überprüfung der Maßnahmen

36 Entwicklung und Umsetzung ISIS12 Konzept 3 DS-GVO mit ISIS12 Schritt 12 Revision Revision ist der Auftrag, das ISMS auf Aktualität und Wirksamkeit zu prüfen Dies erfolgt in Form von internen Audits Erste Revision der Schritte nach 12 Monaten Audit der Maßnahmen Das in der DS-GVO geforderte Datenschutzmanagement kann hier regelmäßig überprüft werden

37 Frage: Ist Datenschutz/DS-GVO ohne Informationssicherheit machbar? Fazit Antwort: Nur schwer machbar nicht sinnvoll! ISIS12 ist ein Vorgehensmodell für ISMS und Datenschutzmanagement optimal für die DS-GVO Ihre Kronjuwelen werden es Ihnen danken!

38 Ende Die Inhalte dieses Seminar wurden mit größter Sorgfalt recherchiert. Dennoch kann der Autor keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Die Informationen sind insbesondere auch allgemeiner Art und stellen keine Rechtsberatung dar. Jegliche Haftung für die Korrektheit und Vollständigkeit des Inhalts ist ausgeschlossen. Alle Inhalte dieser Präsentation unterliegen dem Urheberrecht. Es ist ausdrücklich untersagt, Texte, Bilder, Grafiken, Animationen oder sonstige Inhalte dieser Seite zu kopieren, zu verfremden oder anderweitig einzusetzen oder weiter zu verwerten BSP-SECURITY

Ähnliche Dokumente

ISIS12 und die DS-GVO

ISIS12 und die DS-GVO it-sa 2017, Congress@it-sa, bayme vbm: ITcompliance. Management - Recht+Technik für die Sicherheit in Ihrem Unternehmen, 11.10.2017, 2017 BSP-SECURITY Michael Gruber Fachbeirat Datenschutz