Integration von Informationssicherheits- und Datenschutzmanagement

Ähnliche Dokumente
DS-GVO und IT-Grundschutz

ISIS12 und die DS-GVO

Datenschutzmanagementsysteme - SDMS

Datenschutzmanagement. DS-GVO mit ISIS12. im Zeichen der

Mit ISIS12 zur DS-GVO Compliance

Datenschutz- Grundverordnung (DSGVO / GDPR) 24 welche Datenschutzmanagement -systemansätze können hier unterstützen?

Datenschutz und Informationssicherheit

Sicherheit der Verarbeitung nach der Europäischen Datenschutzgrundverordnung. Sicherheit der Verarbeitung nach DSGVO

Datenschutz-Managementsystem - Ein Ansatz zur praktischen & strukturierten Erfüllung der Anforderungen der EU-DSGVO


Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

Mit ISIS12 zur DS-GVO Compliance

ISIS12 INFORMATIONSSICHERHEIT & DATENSCHUTZ

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

EU-Datenschutz-Grundverordnung (DSGVO)

Cyber-Sicherheitstag Niedersachsen 2018

Die neue EU-Datenschutz- Grundverordnung EU-DSGVO

Umsetzung der DSGVO an Hochschulen durch den Aufbau von Datenschutzmanagementsystemen

DATENSCHUTZ in der Praxis

Leitlinie Datenschutz und Informationssicherheit

Vorstellung, Status & Vision

Datenschutzmanagement ohne Kosten- und Stolperfallen

Operative Umsetzung des Datenschutzes nach EU-DSGVO. Rheinischer Unternehmertag

Informationssicherheit für den Mittelstand

DSGVO erfolgreich meistern

Die DSGVO Was kommt auf uns zu? Notwendige Maßnahmen als Erfolgsfaktor! Jörg Schlißke, LL.B.

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

GDPR-Datenschutz-Compliance:

Vorgaben der Europäischen Datenschutzgrundverordnung. Sicherheit der Verarbeitung, Datenschutzfolgenabschätzung und Verfahrensverzeichnis

Digitalisierung versus Datenschutz und IT-Sicherheit. Peter Haase

IT-Ziviltechniker Dr. Wolfgang Prentner. DI (FH) Oliver Pönisch.

ANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN

Technischer Datenschutz

WPK aktuell. Mitgliederinformation

SICHERHEIT IN DER INFORMATIONSTECHNOLOGIE SIE SIND SICHER

Datenschutz durch Technik: Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung

Die neue Datenschutzgrundverordnung Folgen für den Einkauf

Datenschutzmanagement als integraler Bestandteil eines Informationssicherheitsmanagementsystems (ISMS) Ein Appell

Informationssicherheit und Datenschutz: Synergien heben, Dualismus leben

Informationssicherheit

Der Datenschutzbeauftragte

Die EU-DS-GVO und Möglichkeiten ihrer Umsetzung

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

Herausforderungen und Konsequenzen der EU-DSGVO für IT-Infrastrukturen

Die EU-Datenschutz-Grundverordnung (DS-GVO) Neue Regeln für den Datenschutz

Einführung eines Datenschutz- Managementsystems

DSGVO-Webinar. Mit Johannes Schrader, Stefan Wolfarth, Reidar Janssen & Jan Meyer.

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Datenschutzgrundverordnung

Informationssicherheit BSI IT-Grundschutz, ISO/IEC und ISIS12 im Praxisvergleich

Drei Freunde müsst Ihr sein!

Umsetzung der EU-Datenschutz-Grundverordnung

Genesis Consulting. ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Hermann Banse Oliver Tagisade- Ralf Wildvang

Datenschutzreform 2018

IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Plan zur Umsetzung

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

KI Impuls Privacy und Datenschutz

Management von Informationssicherheit und Informationsrisiken Februar 2016

Neues Datenschutzrecht umsetzen Stichtag

Informationssicherheit BSI IT-Grundschutz, ISO/IEC und ISIS12 im Praxisvergleich

ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Ralf Wildvang

Aufgaben zur Umsetzung der DS-GVO : 1-15 Laufende Tätigkeiten gemäß DS-GVO: 16-20

EU-DATENSCHUTZ-GRUNDVERORDNUNG

Anforderungen an künftige IT- Systeme aus der Sicht des Datenschutzes

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Die neue EU-Datenschutzgrundverordnung (EU DS-GVO) - Lösungen für Unternehmen

DSGVO und ihre Auswirkungen

EU-Datenschutz-Grundverordnung. Hubert Röder

Information Security Management System Informationssicherheitsrichtlinie

Datenschutzbeauftragte nach der DSGVO

Sicherheit für Ihre Geodaten

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

BSI - Zertifizierung. Ziele & Nutzen. nach ISO auf der Basis von IT-Grundschutz für die ekom21 KGRZ Hessen. 05/24/12 DiKOM Süd in Wiesbaden

GDD-Praxishilfe DS-GVO II

IT-Sicherheit für Stadtwerke Sind Sie READY für ein zertifiziertes ISMS? Thomas Steinbach Leipzig, 10. Mai 2017

Die praktische Umsetzung der DSGVO mittels Online Tool. Benigna Prochaska, MSc

Die neue Grundverordnung des europäischen Datenschutzes

IT-Notfallmanagement - Aufbau, Praxisbeispiele u. Erfahrungen

Datenschutzgrundverordnung

IT-Sicherheit für KMUs

DATENSCHUTZ DIE WORKSHOP-REIHE

Digitalisierung als Projekt

Der Countdown läuft! EU-Datenschutz- Grundverordnung jetzt umsetzen!

Dokumentationspflichten im neuen Datenschutzrecht

Datenschutz in lose gekoppelten Systemen

Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen

CS_PORTFOLIO. Informationssicherheits- Managementsystem [ISMS]

1) Was trifft trifft auf Prozesse im Kontext der ISO/IEC Standardfamilie zu?

Zentrum für Informationssicherheit

Johannes Landvogt Technologischer Datenschutz / BfDI. 22. Cyber-Sicherheits-Tag 16. Mai 2018 Düsseldorf

Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen

Systemgestütztes Management der IT-Sicherheit mit der GRC-Suite iris

Grafik Umsatzerlöse. Datenschutztag Datenschutz-Managementsystem zur Sicherstellung der DSGVO

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Antworten auf die angespannte Bedrohungslage Sicherheitsstrategien für kleine und mittlere Unternehmen

IT-Sicherheitsbeauftragter (IHK)

Transkript:

Integration von Informationssicherheits- und Datenschutzmanagement Warum wir Synergieeffekte zwischen Informationssicherheits- und Datenschutzmanagement nutzen sollten um EU-DSGVO- Compliance zu erlangen Dominik Schrahe

Agenda 1. Informationssicherheit vs. Datenschutz 2. Schnittmengen Informationssicherheits- & Datenschutzmanagement 3. Herausforderungen der Integration 4. Aufbau- und Ablauforganisation des integrierten Managementsystems 5. Fazit und Diskussion 2

1. Informationssicherheit vs. Datenschutz Gemeinsamkeiten und Unterschiede Welche Gemeinsamkeiten und Differenzen bestehen zwischen beiden Disziplinen? Ist eine integrierten Betrachtungsweise möglich/ sinnvoll? Informationssicherheit = technischer Datenschutz? 3

1. Informationssicherheit vs. Datenschutz Schutzziele Informationssicherheit Datenschutz Integrität Verfügbarkeit Vertraulichkeit Integrität Verfügbarkeit Vertraulichkeit Transparenz Nicht- Verkettbarkeit Intervenierbarkeit 4

1. Informationssicherheit vs. Datenschutz Erforderlich sind Managementsysteme, die über eine technische Betrachtung hinausgehen 5

2. Schnittmengen Informationssicherheits- & Datenschutzmanagement Managementsysteme [Vgl. Loomans, D. u.a. (2014)] Verbund aller organisatorischen und technischen Einrichtungen um ein Ziel (z.b. Datenschutz-Compliance) zu erreichen Risikoanalyse Definition von Rollen und Zuständigkeiten Definition von Prozessen Prüfung der Zielerreichung 6

2. Schnittmengen Informationssicherheits- & Datenschutzmanagement DSGVO und Datenschutzmanagementsysteme [Art. 32 EU-DSGVO] Präventive und reaktive technische und organisatorische Maßnahmen Risikoangemessenheit Wahrung von Vertraulichkeit, Integrität und Verfügbarkeit Regelmäßige Überprüfung und Evaluierung Erforderlichkeit eines Datenschutzmanagementsystems (DSMS) 7

2. Schnittmengen Informationssicherheits- & Datenschutzmanagement DSMS und Informationssicherheitsmanagementsysteme (ISMS) Eigenständiges DSMS müsste nahezu alle ISMS-Bestandteile abbilden [Vgl. Quiring-Kock, 2012] Angemessenes Informationssicherheitsniveau als Voraussetzung für DSMS [Vgl. Quiring-Kock, G. (2012)] Aber: Trennung zwischen ISMS und DSMS um Kontrollfunktionen des DSMS ggü. Dem ISMS gerecht werden zu können [Vgl. Rost, 2013] 8

2. Schnittmengen Informationssicherheits- & Datenschutzmanagement Informationssicherheitsmgmt. [Vgl. Kersten, H., Klett, G. (2015)] Schutz von Wertgegenständen (sog. Assets) bspw. Immobilien Maschinen/Geräte Datenbestände Soft Assets (z.b. Image) Präventiv sowie reaktiv Datenschutzmgmt. [Vgl. Rost, M. (2013); Bock, K. u.a. (2016)] Schutz personenbezogener Daten bspw. Mitarbeiterdaten Kundenstammdaten Gesundheitsdaten z.b. in Krankenhäusern) Präventiv sowie reaktiv 9

2. Schnittmengen Informationssicherheits- & Datenschutzmanagement Überschneidungen bei Schutzzielen von ISMS und DSMS ISMS DSMS Integrität Vertraulichkeit Verfügbarkeit Personenbezogene Daten Transparenz Intervenierbarkeit Nicht- Verkettbarkeit Buchhaltungsdaten Betriebsgeheimnisse Technische Daten 10

3. Herausforderungen der Integration Betrachtung von Informationssicherheits- und Datenschutzstandards z.b. ISO 27000, BSI-Grundschutz, Standard-Datenschutzmodell, EuroPriSe: Keine Konfliktfälle aus Standards abzuleiten Grds. Integrierbarkeit Aber: Konflikte können aus Umsetzung hervorgehen und sind jeweils im konkreten Anwendungsfall zu bewerten (z.b. ISO 27002 12.4.1 Event-Logging) 11

3. Herausforderungen der Integration Konfliktfelder zwischen DSMS und ISMS und deren Auflösung Logging/Protokollierung technischer Ereignisse ISMS: So viele und genaue Daten wie möglich sammeln und so lange wie möglich speichern, um Hackerangriffe exakt analysieren zu können DSMS: Nach Möglichkeit keine personenbezogenen Daten sammeln, es gilt das Prinzip der Datensparsamkeit und der schnellstmöglichen Löschung Individuelle Lösung mit DSB, ISB und Betriebsrat erforderlich Ausgewählte Protokollierung auf separatem Server Schnellstmögliche Auswertung und Löschung falls keine Auffälligkeiten 12

4. Aufbau- und Ablauforganisation des integrierten Managementsystems Kernprozesse von ISMS und DSMS [Vgl. Haufe u.a., 2016; Loomans u.a., 2014] Risikobewertung Mitarbeitersensibilisierung Dienstleisterkontrolle Audits/Reviews Incident-Management-Prozess Innerhalb PDCA-Zyklus (ständige Optimierung) 13

4. Aufbau- und Ablauforganisation des integrierten Managementsystems Deming-Zyklus Plan Risikoanalyse Leitlinie und Konzept Act Aktualisierung TOMs Doku Do Einrichtung TOMs Schulungen Check Audits und Reviews 14

4. Aufbau- und Ablauforganisation des integrierten Managementsystems Kernanforderungen an ein integriertes DSMS und ISMS (Ablauforganisation) Einordnung Anforderung Gewichtung Ablauf-1 Dokumentationserfordernis/ Rechenschaftspflicht 12% Ablauf-2 Risikoanalyse für Assets und die Intensität des Eingriffs in die Rechte natürlicher Personen Ablauf-3 Etablierung eines Incident-Management Prozesses 8% Ablauf-4 Ablauf-5 Kontinuierliche Weiterentwicklung durch regelmäßige Audits und Reviews des Managementsystems Planung, Durchführung und Dokumentation von Sensibilisierungsmaßnahmen für Mitarbeiter Ablauf-6 Exakte vertragliche Fixierung von Auftragsverarbeitungen 6% Ablauf-7 Berücksichtigung der Datenschutzprinzipien Privacy by Design sowie Privacy by Default Ablauf-8 Besonderer Stellenwert des Mitarbeiterdatenschutzes 5% Ablauf-9 Etablierung von Prozessen für die Umsetzung von Betroffenenrechten 5% 9% 8% 7% 6% Ablauf-10 Gemeinsame Maßnahmenkonzeptionierung mit ISM und DSM, Erstellung eines integrierten Informationssicherheits- und Datenschutzkonzepts 4% Ergebnis der Auswertung von 7 Experteninterviews sowie 10 Informationssicherheits- sowie Datenschutzstandards 15

4. Aufbau- und Ablauforganisation des integrierten Managementsystems Aufbauorganisation und Rollenverteilung Unternehmensleitung Stabstelle Datenschutz und Datensicherheit DSB ISB Abteilung 1 Abteilung 2 CERT Abt. IT 16

4. Aufbau- und Ablauforganisation des integrierten Managementsystems Rollentrennung zur Vermeidung von Interessenskonflikten Datenschutzbeauftragter (DSB) und Informationssicherheitsbeauftragter (ISB) sollten eng zusammenarbeiten (siehe Effizienzgewinne Folie 19) Der ISB benötigt eine primär technische, der DSB dagegen eine eher technische Qualifikation ISB und DSB benötigen Organisationskenntnisse 17

4. Aufbau- und Ablauforganisation des integrierten Managementsystems Kernanforderungen an ein integriertes DSMS und ISMS (Aufbauorganisation) Einordnung Anforderung Gewichtung Aufbau-1 Enge Zusammenarbeit zwischen ISM und DSM 8% Aufbau-2 DSB besitzt keine umsetzenden Aufgaben, sondern eine Kontrollfunktion 7% Aufbau-3 Integriertes Risiko- oder Compliance-Managementsystem als Ziel 6% Aufbau-4 Unmittelbare Leitungsunterstellung für ISB und DSB mit direktem Berichtsweg 5% Aufbau-5 Personelle Trennung zwischen ISB und DSB 4% Ergebnis der Auswertung von 7 Experteninterviews sowie 10 Informationssicherheits- sowie Datenschutzstandards 18

4. Aufbau- und Ablauforganisation des integrierten Managementsystems Vorteile der Integration Erweiterung eines bestehenden Managementsystems Effizienzgewinne durch gemeinsame Sensibilisierungsmaßnahmen Dokumentation Prüfung Behandlung von Vorfällen etc. Effektivitätsgewinne durch gezielten Einsatz von Kompetenzen Umsetzungsnachweis mit positiver Kundenwirkung 19

5. Fazit und Diskussion Integriertes DSMS und ISMS erleichtert Einführung und Betrieb des Managementsystems Rollentrennung zwischen ISB, DSB und IT-Leitung muss erhalten bleiben um Interessenskonflikte zu vermeiden Dokumentation steuert das Managementsystem und ist Grundlage für die permanente Weiterentwicklung 20

5. Fazit und Diskussion Haben Sie noch Fragen? Welche Erfahrungen haben Sie mit der Integration von Informationssicherheits- und Datenschutzmanagement gemacht? 21

Quellen Bock, K., Ernestus, W., Kramp, M., Konzelmann, L., Naumann, T., Robra, U., Rost, M. Schulz, G., Stoll, J., Vollmer, U., Wilms, M. (2016): Das Standard-Datenschutzmodell, Kühlungsborn 2016 Haufe, K., Colomo-Palacios, R., Dzombeta, S., Brandis, K., Stanchev, V. (2016): ISMS core processes: A study, in: Procedia Computer Science, 100. Jg., 2016, S. 339-346 Kersten, H., Klett, G. (2015): Der IT Security Manager Aktuelles Praxiswissen für IT Security Manager und IT-Sicherheitsbeauftragte in Unternehmen und Behörden, 4. Aufl., Wiesbaden 2015 Loomans, D., Matz, M., Wiedemann, M. (2014): Praxisleitfaden zur Implementierung eines Datenschutzmanagementsystems, Wiesbaden 2014 Quiring-Kock, G. (2012): Anforderungen an ein Datenschutzmanagementsystem, in: Datenschutz und Datensicherheit, 36. Jg., 2012, S. 832-836 Rost, M. (2013): Datenschutzmanagementsystem, in: Datenschutz und Datensicherheit, 37. Jg., 2013, S. 295-300 Schrahe, D. (2018): ISMS und DSMS als gemeinsamer Managementansatz Vorgehensmodell anhand der EU-DSGVO und der ISO 27.000-Normenreihe, Masterthesis, FOM München 22

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback