Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

Doppelpack

Die starken Parallelen zu einem Informationssicherheits-Managementsystem (ISMS) machen die Einbindung der EU-DSGVO-Anforderungen in ein ISMS sinnvoll. Die gemeinsame Datenbasis, einschließlich der engen Zusammenarbeit von Mitarbeitern für Datenschutz und Informationssicherheit, schafft weiterhin Synergieeffekte.

Mit der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) werden den Betroffenen mehr bzw. umfangreichere Rechte als bisher eingeräumt. Organisationen sind damit zu einer rechtmäßigen Datenverarbeitung und den Nachweis darüber verpflichtet. Kunden können jederzeit ein Auskunftsersuchen stellen, welche personenbezogenen Daten über sie gesammelt und zu welchem Zweck diese genutzt werden. Für Organisationen entstehen damit nicht unerhebliche Aufwände für die Erstellung einer umfangreichen Dokumentation sowie die rechtzeitige Erfüllung des Auskunftsersuchens. Eine entsprechende Software erleichtert die Dokumentation und unterstützt u.a. dabei, das Auskunftsersuchen rechtzeitig zu erfüllen.

Das Thema EU-DSGVO müsste mittlerweile bei allen Organisationen angekommen sein. Denn ab 25. Mai wird es ernst. Die Realität ist jedoch eine andere: Viele Organisationen wissen selbst wenige Tage vor dem Stichtag nicht, was zu tun ist oder wollen zunächst abwarten. Aufgrund der zukünftig strengeren Vorschriften und Kontrollen sollten sich die Verantwortlichen jedoch mit den anstehenden Herausforderungen auseinandersetzen. Die starken Parallelen zu einem Informationssicherheits-Managementsystem (ISMS) machen die Einbindung der EU-DSGVO-Anforderungen in ein ISMS sinnvoll.

Das große Ganze im Blick

Datenschutz, Datensicherheit, Informationssicherheit und IT-Sicherheit: Diese Begriffe werden häufig im Zusammenhang, aber teilweise auch als Synonyme füreinander verwendet. Wenn die Organisationen die Einführung eines Managementsystems anstreben, sollten sie jedoch das große Ganze im Blick behalten. Sinnvoll ist es, nicht nur die personenbezogenen Daten, sondern alle Informationen in der Organisation abzusichern. Dabei ist es irrelevant, ob die Daten auf Papier oder digital vorliegen, personenbezogen oder nicht sind. Wird nämlich nur die IT-Sicherheit betrachtet, sind Informationen, die nicht digital verarbeitet werden, nicht abgesichert. Werden auf der anderen Seite nur personenbezogene Daten geschützt, sind Unternehmenswerte wie z.B. das Know-how davon ausgeschlossen. Was passiert also, wenn eine Person die Organisation verlässt und wichtige Informationen nicht vorher preisgibt?

Ein Datenbestand für Datenschutz und Informationssicherheit

Warum bietet es sich also an, die Anforderungen aus der EU-DSGVO in ein ISMS einzubinden? Verschiedene Artikel aus der EU-DSGVO nehmen direkt Bezug auf die Einführung eines ISMS in der Organisation. So sind Begriffe wie Verfügbarkeit, Integrität und Vertraulichkeit von Daten bzw. Informationen in beiden Disziplinen gleichermaßen vertreten. Weiterhin verlangt die EU-DSGVO, dass für Daten ein dem Risiko angemessenes Schutzniveau gewährleistet wird. Hierfür wird ein einheitliches und unternehmensweites Risikomanagement benötigt. Beim Datenschutz steht die Bewertung des Risikos aus der Perspektive der Betroffenen im Fokus. Die Informationssicherheit erweitert diese Perspektive zu einer ganzheitlichen Betrachtung. Dabei werden die Daten und Informationen aus der Perspektive des Unternehmens bewertet. Viele Organisationen erkennen jedoch noch nicht ausreichend die Zusammenhänge. Sowohl für den Datenschutz als für die Informationssicherheit gibt es einen eigenen Verantwortlichen, die oft aneinander vorbei arbeiten, anstatt gemeinsam zu agieren und ihr Handeln aufeinander abzustimmen. Das führt sowohl zu Mehrarbeit als auch zu einem inkonsistenten und damit fehlerhaften Datenbestand. Betrachtet man allerdings beide Disziplinen als sich ergänzende Bereiche, entstehen positive Effekte für die gesamte Organisation: Risikominimierung und damit die Absicherung der Unternehmenswerte, eine nachweisbare Dokumentation aller Prozesse sowie die Erfüllung der Compliance-Anforderungen gegenüber Stakeholdern, Kunden, Banken und Versicherungen.

Komplexität reduzieren mit Software-Einsatz

Die Einhaltung und Erfüllung der zahlreichen Anforderungen aus den Bereichen Datenschutz und Informationssicherheit lassen sich effizient mit einer Software umsetzen. Durch die Dokumentation und Pflege der Daten an nur einem Ort wird der Pflegeaufwand um ein Vielfaches reduziert. Einzelne Dokumente, die typischerweise im gesamten Unternehmensnetzwerk verteilt sind, müssen nicht mit viel Aufwand gesucht und gepflegt werden. Zusätzlich bleibt die Aktualität der Daten erhalten, da Abhängigkeiten und Auswirkungen von Änderungen über Bereichsgrenzen sichtbar sind. Darüber hinaus werden Anforderungen transparent dargestellt. Dadurch können Investitionen exakt auf die Anforderungen abgestimmt und getätigt werden. Die gemeinsame Datenbasis, einschließlich der engen Zusammenarbeit von Mitarbeitern für Datenschutz und Informationssicherheit, schafft Synergieeffekte. Die gesetzlichen Anforderungen und Normen werden erfüllt. Ein entscheidender Mehrwert für die Organisationen ist jedoch, dass Datenschutz und Informationssicherheit in der Organisation gelebt werden.

Fazit

Für Organisationen ist es ratsam, für die Umsetzung von Datenschutz und Informationssicherheit auf eine Softwarelösung zu setzen. Ein integriertes Managementsystem wie das von CONTECHNET kann an die unterschiedlichen Anforderungen der Organisation angepasst werden. Die verzahnten Module für IT-Notfallplanung, ISMS und Datenschutz können sowohl einzeln als auch in Kombination verwendet werden. Die gemeinsame Datenbasis macht einmal angelegte Daten für alle Bereiche nutzbar. Zahlreiche Automatismen erleichtern den riesigen Dokumentationsaufwand. Auf diese Weise entstehen erhebliche Synergien.

Jens Heidland
Jens Heidland, Leiter Consulting bei CONTECHNET

 

 

Fensterputzer
Mai 28, 2018

Gelebtes Risikomanagement

Mit dem richtigen Werkzeug ist die Einführung eines IT-Risikomanagements in der…
Jens Heidland
Mai 28, 2018

Keine Angst vor einem ISMS

Viele Anforderungen werden bereits heute von den meisten Organisationen erfüllt. Der…
Die Spitze eines Eisbergs
Nov 09, 2017

Ein Drei-Stufenplan für das Risikomanagement

Dieser Teil der Serie stellt einen dreistufigen Ansatz zur Identifizierung, Beurteilung…
GRID LIST
Krypro Miner

So stoppt man Krypto-Jacking im Unternehmen

Krypto-Währungen haben sich von einem Phänomen hin zu einer nicht nur von Kriminellen…
Tb W190 H80 Crop Int Bb821cdb6195a9ab36bf33a5b4ab6603

EfficientIP integriert DNS in das IT-Sicherheitskonzept

Schutzvorkehrungen am Netzwerk-Perimeter allein reicht nicht mehr aus, um die Sicherheit…
ISO 27001

Anforderungen der ISO 27001 mit der Realität abgleichen

Die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001…
Industrie 4.0

Mehr Sicherheit für die vernetzte Industrie

Der TÜV-Verband hat eine neue Sicherheitsarchitektur für die digital vernetzte Industrie…
Tb W190 H80 Crop Int B4e05b341632adb937d391e0c9f32e7f

Kontinuierliche Reaktion auf moderne Bedrohungen

Mit der Weiterentwicklung von Bedrohungen wächst auch der Bedarf sich gegen die…
Schwachstellen

Vier Dinge, die Sie noch nicht über IT-Schwachstellen wussten

16.500 – so hoch war die Zahl der 2018 entdeckten Schwachstellen. Ihre Zahl steigt seit…