Die Einführung eines Informationssicherheitsmanagement-Systems (ISMS) in Ihrem Unternehmen

Im Dezember 2015 wurde die finale Fassung der EU-Datenschutz-Grundverordnung (EU-DSGVO) verabschiedet. Unternehmen müssen die Umsetzung der Vorgaben bis zum Inkrafttreten am 25. Mai 2018 sicherstellen. Da nahezu jede neue Vorgabe mit Bußgeldern belegt ist, sind Unternehmensverantwortliche gut beraten, die notwendigen Veränderungen zeitnah umzusetzen.

Bei Verstößen drohen dem Unternehmen Strafzahlungen in Höhe von:

  • bis zu 10 bzw. 20 Mio. EUR oder
  • 2% bzw. 4% des weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr

je nachdem, welcher Wert der höhere ist.

Die Datenschutz-Grundverordnung fordert in Art. 32 DSGVO ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten.

Das darin verankerte Regelwerk zum Umgang mit personenbezogenen Daten zieht die Implementierung diverser technischer sowie organisatorischer Maßnahmen mit sich:

  • Art, Umfang und Zweck der Verarbeitung, Stand der Technik und Kosten müssen berücksichtigt, sowie die Eintrittswahrscheinlichkeit und die Risiken für die Betroffenen beachtet werden
  • Anknüpfungspunkte sind die klassischen Schutzziele der IT-Sicherheit: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme, die auch auf Dauer ausgelegt sein müssen
  • Verpflichtung, datenschutzfreundliche Techniken einzusetzen (dataprotection by design)
  • Verpflichtung, datenschutzfreundliche Voreinstellungen zu implementieren (dataprotection by default)
  • Außerdem werden Unternehmen aufgefordert, Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zu implementieren.

Fazit

Die EU-Datenschutz-Grundverordnung fordert, ein Managementsystem in Hinblick auf die Datensicherheit im Unternehmen zu etablieren und stellt damit Institutionen und Unternehmen jeglicher Größe und Branche vor einen deutlich höheren Regelungs- und Dokumentationsaufwand als bisher:

  • Regelungen, Verträge, Arbeitsabläufe und weitere Geschäftsprozesse sowie IT-Systeme und Strukturen der Datenverarbeitung müssen geprüft und angepasst werden. Die geforderten Schwerpunkte liegen hier auf Transparenz und Dokumentation.
  • Das eigene Verhalten und der Umgang mit Kunden müssen auf den Prüfstand gestellt und ggf. modifiziert werden.
  • Die Zusammenarbeit mit Partnern, Lieferanten und Dienstleistern muss in Hinblick auf die Erfüllung der neuen Datenschutz-Grundverordnung kritisch betrachtet und Anpassungen vorgenommen werden.

Um die o.g. Vorgaben der DSGVO zu erfüllen und als Nachweis, dass geeignete Maßnahmen entsprechend des Schutzbedarfs der personenbezogenen Daten getroffen wurden, ist die Einführung eines ISMS (Informationssicherheitsmanagementsystem) sinnvoll.

Der Weg zum ISMS - in 5 Schritten

Unsere IT-Sicherheitsexperten empfehlen Ihnen folgende Schritte, um das systematische Vorgehen bei der Absicherung Ihrer IT-Systeme nachzuweisen:

1. Durchführung eines Compliance Audits: Inwieweit folgt Ihr Unternehmen bereits festgelegten Sicherheitsvorgaben?
  • Unsere IT-Sicherheitsexperten unterstützen Sie bei der Bewertung Ihrer Sicherheitsrichtlinien, Benutzerzugriffskontrollen und Abläufe hinsichtlich des Risikomanagements.
  • Welche Prozesse und Technologien zur Absicherung Ihrer IT-Sicherheit sind bereits implementiert?
  • Wie stellen Sie die Dokumentation, Überprüfung und Nachweisbarkeit von Sicherheitsmaßnahmen sicher?
2. Erstellung einer Risikoanalyse
  • Inwieweit sind Ihre IT-Systeme ausreichend abgesichert? Werden Ihre Sicherheitsanforderungen eingehalten?
  • Ist intern und extern belegbar, dass aktuelle Best Practices genutzt werden, um Risiken angemessen entgegenzutreten?
  • Ist der aktuelle Stand der Technik berücksichtigt?
3. Ableitung von notwendigen Schlussfolgerungen und Maßnahmen
  • Da sich die DSGVO auf das gesamte Unternehmen auswirken wird, müssen alle Abteilungen involviert und Verantwortliche benannt werden: Der Datenschutz muss im gesamten Unternehmen umgesetzt werden. Aufgehängt werden sollte die Umsetzung des Projekts auf Geschäftsführungsebene.
  • Um sicherzugehen, dass alle Mitarbeiter sich ihrer Rolle bei der Einhaltung der Vorgaben bewusst sind, müssen regelmäßig Tests und Prüfungen durchgeführt werden.
4. Überprüfung, ob datenschutzkonforme Technologien bevorzugt werden
  • Persönliche Daten müssen auf Anwendungs-, Cloud, Netzwerk- und Endpunktebene geschützt werden, um unbefugten Zugriff darauf zu unterbinden.
  • Darüber hinaus gilt es nachzuweisen, ob die Bedeutung der Prävention – als einer der wichtigsten Grundsätze der DSGVO – im Unternehmen verstanden wird.
5. Vorbereitung einer Zertifizierung (z.B. ISO 27001)
  • Die ISO-Zertifizierung ist ein sinnvoller und angemessener Rahmen, um die Anforderungen nach DSGVO zu erfüllen. Ist bereits ein ISMS aufgebaut und zertifiziert, so ist damit bereits ein Management etabliert, welches auf die personenbezogenen Daten ausgeweitet werden kann.
  • Aufbauend auf einer ISO Zertifizierung sollte dann analysiert werden, Voraussetzungen der DSGVO Ihr Unternehmen bereits erfüllt und welche zusätzlichen Maßnahmen eventuell noch zusätzlich ergriffen werden müssen.

So unterstützt Sie Secion bei der Vorbereitung der Zertifizierung

Haben Sie vor, Ihr Unternehmen auf eine Zertifizierung vorzubereiten? Unsere IT-Sicherheitsexperten beraten Sie gerne:

  • Bestandsaufnahme Ihrer organisatorischen IT-Sicherheitsprozesse anhand eines secion Security Audits. Hier wird der Ist-Zustand der Bereiche Organisation, IT-Prozesse und technische Maßnahmen erfasst.
  • Auf dieser Basis erstellen wir eine Dokumentation mit Verweisen auf die jeweiligen Informationssicherheitsanforderungen von ISO 27001 und BSI IT-Grundschutz.
  • Beratung hinsichtlich der Notwendigkeit zur Ableitung weiterer Maßnahmen, um den Zertifizierungsanforderungen gerecht zu werden.

Aufbau und Pflege eines Dokumenten-Management-Systems

  • Auf Wunsch Beratung hinsichtlich der Implementierung eines softwaregestützten Lösungsansatzes. Die Umsetzung und Kontrolle der für die Zertifizierung notwendigen Prozesse wird durch eine Softwarelösung an vielen Stellen vereinfacht.

Mitarbeiterschulung zur Umsetzung der Zertifizierungsmaßnahmen in Ihrem Unternehmen

  • Unsere IT-Sicherheitsexperten sensibilisieren Ihre Mitarbeiter für das Thema Zertifizierung bzw. Informationssicherheitsanforderungen von ISO 27001 und BSI IT-Grundschutz. Vermittlung der notwendigen Grundlagen, um die Umsetzung der zuvor festgelegten Maßnahmen sicherzustellen.

Haben Sie Fragen zum Thema EU-Datenschutzgrundverordnung oder ISMS? Wir beraten Sie gerne! Sie erreichen uns unter 040-38 90 71-0 oder über unser Kontaktformular rechts.