Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

Doppelpack

Die starken Parallelen zu einem Informationssicherheits-Managementsystem (ISMS) machen die Einbindung der EU-DSGVO-Anforderungen in ein ISMS sinnvoll. Die gemeinsame Datenbasis, einschließlich der engen Zusammenarbeit von Mitarbeitern für Datenschutz und Informationssicherheit, schafft weiterhin Synergieeffekte.

Mit der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) werden den Betroffenen mehr bzw. umfangreichere Rechte als bisher eingeräumt. Organisationen sind damit zu einer rechtmäßigen Datenverarbeitung und den Nachweis darüber verpflichtet. Kunden können jederzeit ein Auskunftsersuchen stellen, welche personenbezogenen Daten über sie gesammelt und zu welchem Zweck diese genutzt werden. Für Organisationen entstehen damit nicht unerhebliche Aufwände für die Erstellung einer umfangreichen Dokumentation sowie die rechtzeitige Erfüllung des Auskunftsersuchens. Eine entsprechende Software erleichtert die Dokumentation und unterstützt u.a. dabei, das Auskunftsersuchen rechtzeitig zu erfüllen.

Das Thema EU-DSGVO müsste mittlerweile bei allen Organisationen angekommen sein. Denn ab 25. Mai wird es ernst. Die Realität ist jedoch eine andere: Viele Organisationen wissen selbst wenige Tage vor dem Stichtag nicht, was zu tun ist oder wollen zunächst abwarten. Aufgrund der zukünftig strengeren Vorschriften und Kontrollen sollten sich die Verantwortlichen jedoch mit den anstehenden Herausforderungen auseinandersetzen. Die starken Parallelen zu einem Informationssicherheits-Managementsystem (ISMS) machen die Einbindung der EU-DSGVO-Anforderungen in ein ISMS sinnvoll.

Das große Ganze im Blick

Datenschutz, Datensicherheit, Informationssicherheit und IT-Sicherheit: Diese Begriffe werden häufig im Zusammenhang, aber teilweise auch als Synonyme füreinander verwendet. Wenn die Organisationen die Einführung eines Managementsystems anstreben, sollten sie jedoch das große Ganze im Blick behalten. Sinnvoll ist es, nicht nur die personenbezogenen Daten, sondern alle Informationen in der Organisation abzusichern. Dabei ist es irrelevant, ob die Daten auf Papier oder digital vorliegen, personenbezogen oder nicht sind. Wird nämlich nur die IT-Sicherheit betrachtet, sind Informationen, die nicht digital verarbeitet werden, nicht abgesichert. Werden auf der anderen Seite nur personenbezogene Daten geschützt, sind Unternehmenswerte wie z.B. das Know-how davon ausgeschlossen. Was passiert also, wenn eine Person die Organisation verlässt und wichtige Informationen nicht vorher preisgibt?

Ein Datenbestand für Datenschutz und Informationssicherheit

Warum bietet es sich also an, die Anforderungen aus der EU-DSGVO in ein ISMS einzubinden? Verschiedene Artikel aus der EU-DSGVO nehmen direkt Bezug auf die Einführung eines ISMS in der Organisation. So sind Begriffe wie Verfügbarkeit, Integrität und Vertraulichkeit von Daten bzw. Informationen in beiden Disziplinen gleichermaßen vertreten. Weiterhin verlangt die EU-DSGVO, dass für Daten ein dem Risiko angemessenes Schutzniveau gewährleistet wird. Hierfür wird ein einheitliches und unternehmensweites Risikomanagement benötigt. Beim Datenschutz steht die Bewertung des Risikos aus der Perspektive der Betroffenen im Fokus. Die Informationssicherheit erweitert diese Perspektive zu einer ganzheitlichen Betrachtung. Dabei werden die Daten und Informationen aus der Perspektive des Unternehmens bewertet. Viele Organisationen erkennen jedoch noch nicht ausreichend die Zusammenhänge. Sowohl für den Datenschutz als für die Informationssicherheit gibt es einen eigenen Verantwortlichen, die oft aneinander vorbei arbeiten, anstatt gemeinsam zu agieren und ihr Handeln aufeinander abzustimmen. Das führt sowohl zu Mehrarbeit als auch zu einem inkonsistenten und damit fehlerhaften Datenbestand. Betrachtet man allerdings beide Disziplinen als sich ergänzende Bereiche, entstehen positive Effekte für die gesamte Organisation: Risikominimierung und damit die Absicherung der Unternehmenswerte, eine nachweisbare Dokumentation aller Prozesse sowie die Erfüllung der Compliance-Anforderungen gegenüber Stakeholdern, Kunden, Banken und Versicherungen.

Komplexität reduzieren mit Software-Einsatz

Die Einhaltung und Erfüllung der zahlreichen Anforderungen aus den Bereichen Datenschutz und Informationssicherheit lassen sich effizient mit einer Software umsetzen. Durch die Dokumentation und Pflege der Daten an nur einem Ort wird der Pflegeaufwand um ein Vielfaches reduziert. Einzelne Dokumente, die typischerweise im gesamten Unternehmensnetzwerk verteilt sind, müssen nicht mit viel Aufwand gesucht und gepflegt werden. Zusätzlich bleibt die Aktualität der Daten erhalten, da Abhängigkeiten und Auswirkungen von Änderungen über Bereichsgrenzen sichtbar sind. Darüber hinaus werden Anforderungen transparent dargestellt. Dadurch können Investitionen exakt auf die Anforderungen abgestimmt und getätigt werden. Die gemeinsame Datenbasis, einschließlich der engen Zusammenarbeit von Mitarbeitern für Datenschutz und Informationssicherheit, schafft Synergieeffekte. Die gesetzlichen Anforderungen und Normen werden erfüllt. Ein entscheidender Mehrwert für die Organisationen ist jedoch, dass Datenschutz und Informationssicherheit in der Organisation gelebt werden.

Fazit

Für Organisationen ist es ratsam, für die Umsetzung von Datenschutz und Informationssicherheit auf eine Softwarelösung zu setzen. Ein integriertes Managementsystem wie das von CONTECHNET kann an die unterschiedlichen Anforderungen der Organisation angepasst werden. Die verzahnten Module für IT-Notfallplanung, ISMS und Datenschutz können sowohl einzeln als auch in Kombination verwendet werden. Die gemeinsame Datenbasis macht einmal angelegte Daten für alle Bereiche nutzbar. Zahlreiche Automatismen erleichtern den riesigen Dokumentationsaufwand. Auf diese Weise entstehen erhebliche Synergien.

Jens Heidland
Jens Heidland, Leiter Consulting bei CONTECHNET

 

 

Fensterputzer
Mai 28, 2018

Gelebtes Risikomanagement

Mit dem richtigen Werkzeug ist die Einführung eines IT-Risikomanagements in der…
Jens Heidland
Mai 28, 2018

Keine Angst vor einem ISMS

Viele Anforderungen werden bereits heute von den meisten Organisationen erfüllt. Der…
Die Spitze eines Eisbergs
Nov 09, 2017

Ein Drei-Stufenplan für das Risikomanagement

Dieser Teil der Serie stellt einen dreistufigen Ansatz zur Identifizierung, Beurteilung…
GRID LIST
Notfall Knopf

Die Zeit läuft: Worauf es bei der Notfallreaktion ankommt

Wie bei jedem Notfall – Feuer, Herzinfarkt oder Verkehrsunfall – spielt auch bei…
Torhüter FCA

Torhüter der IT – der FC Augsburg setzt auf „Made in Augsburg"

Der 1907 gegründete Traditionsverein FC Augsburg (FCA) nutzt zur Verwaltung seiner…
Tb W190 H80 Crop Int A03eb03b6c06e9e89dbea9d04fe772e2

IT Sicherheit - vom Spielverderber zum Beschleuniger der Digitalisierung

Moderne IT-Security muss einerseits die Herausforderungen der digitalen Transformation…
Hand hält Wolke mit Schloss

Forcepoint Next Generation Firewall

Evasion-Techniken bilden eine besondere Gefahr für die IT-Sicherheit in Unternehmen.…
Tb W190 H80 Crop Int C196c32d831cae80f568a6bbc332af89

VPN-Verschlüsselung ist nicht für alle Szenarien sinnvoll

Datenschutzskandale, Sicherheitslücken, Hacking und diverse Szenarien der…
Tb W190 H80 Crop Int B43bafc6bf035187fc81a02a47f08a7e

QUICK Technology: Alternative zu Public-Key-Infrastrukturen

Rund ein Jahr, nachdem die Europäische Datenschutz-Grundverordnung endgültig in Kraft…