ISO/IEC 27701:2019: Datenschutzinformationsmanagement

ÜBERSICHT ÜBER ISO/IEC 27701:2019

ISO/IEC 27701:2019 wurde entwickelt, um die weit verbreiteten Standards ISO/IEC 27001 und ISO/IEC 27002 für das Informationssicherheitsmanagement zu ergänzen. Es legt Anforderungen fest und bietet Anleitungen für ein Privacy Information Management System (PIMS), das die Implementierung von PIMS zu einer hilfreichen Compliance-Ergänzung für die vielen Organisationen macht, die auf ISO/IEC 27001 basieren, sowie einen starken Integrationspunkt für die Ausrichtung von Sicherheits- und Datenschutzkontrollen schaffen. ISO/IEC 27701 führt diese Integration durch ein Framework für die Verwaltung personenbezogener Daten durch, das sowohl von Datenverantwortlichen als auch von Datenverarbeitern verwendet werden kann, eine wichtige Unterscheidung für die Einhaltung der Datenschutz-Grundverordnung (DSGVO).

Darüber hinaus erfordert jede ISO/IEC 27701-Prüfung, dass die Organisation geltende Gesetze/Vorschriften in ihren Kriterien für die Prüfung deklariert, was bedeutet, dass der Standard vielen der Anforderungen gemäß der DSGVO, dem California Consumer Privacy Act (CCPA) oder anderen Gesetzen zugeordnet werden kann. Nach der Zuordnung werden die operativen Iso/IEC 27701-Kontrollen von Datenschutzexperten implementiert. Ein interner oder externer Dritter, der für die Bewertung akkreditiert ist, bewertet dann die Einhaltung der Anforderungen des Standards durch die Organisation und stellt zu diesem Effekt ein Zertifikat aus. Dieses universelle Framework ermöglicht Es Organisationen, die Einhaltung neuer gesetzlicher Anforderungen effizient umzusetzen. Microsoft unterstützt das Open Sourced Data Protection Mapping Project , um ein gemeinsames Verständnis der Beziehung zwischen ISO/IEC 27701 und verschiedenen Datenschutzbestimmungen zu bieten.

Microsoft-Dienste für cloudbasierte Plattformen &

Microsoft Onlinedienste im Bereich werden auf dem Azure ISO/IEC 27701-Zertifikat angezeigt:

  • Azure (ausführliche Einblicke finden Sie im Azure ISO/IEC 27701-Angebot)
  • Dynamics 365 (detaillierte Einblicke finden Sie im Azure ISO/IEC 27701-Angebot)
  • Microsoft 365 Defender (nicht im Bereich Azure Government)
  • Microsoft Bing for Commerce (nicht im Bereich für Azure Government)
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender für Endpunkt
  • Microsoft Graph
  • Microsoft Intune
  • Microsoft Managed Desktop (nicht im Bereich für Azure Government)
  • Microsoft Stream
  • Microsoft-Bedrohungsexperten (nicht im Bereich für Azure Government)
  • Office 365, Office 365 U.S. Government und Office 365 U.S. Government Defense
  • Power Apps
  • Power Automate
  • Power BI
  • Power BI Embedded
  • Power Virtual Agents (nicht im Bereich für Azure Government)
  • Universelles Drucken (nicht im Bereich für Azure Government)
  • Windows 365

Azure, Dynamics 365 und ISO 27701

Weitere Informationen zu Azure, Dynamics 365 und anderen Onlinedienste Compliance finden Sie im Azure ISO 27701:2019-Angebot.

Office 365 und ISO 27001

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Access Online, Azure Active Directory, Azure Communications Service, Compliance-Manager, Kunden-Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance-Add-On, Office 365 Kundenportal, Office 365 Microservices (einschließlich, aber nicht beschränkt auf Kaizala, ObjectStore, Sway, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 Sicherheit & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, Project Online, Dienstverschlüsselung mit Microsoft Purview Customer Key, SharePoint Online, Skype for Business, Stream
GCC Azure Active Directory, Azure Communications Service, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream
GCC High Azure Active Directory, Azure Communications Service, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business
DoD Azure Active Directory, Azure Communications Service, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business

Office 365-Audits, -Berichte und -Zertifikate

Microsoft Cloud- und kommerzielle technische Supportdienste werden einmal im Jahr für den Zertifizierungsprozess für ISO/IEC 27701 überwacht.

Häufig gestellte Fragen

Wie hilft ISO/IEC 27701 bei der Entwicklung gesetzlicher Anforderungen?

ISO/IEC 27701 enthält einen Anhang mit den betrieblichen Kontrollen des Standards, die den einschlägigen Vorschriften für DSGVO für Controller und Verarbeiter zugeordnet sind. Diese Zuordnung ist nur ein Beispiel dafür, wie Datenschutzbestimmungen relativ zum ISO-Framework implementiert werden können. Da zusätzliche Zuordnungen zu anderen Bestimmungen zur Verfügung stehen und validiert werden, können die Betriebskontrollen aus dem Standard direkt von der Aufsichtsüberprüfung zur Implementierung übertragen werden. Dieses universelle Framework ermöglicht es Organisationen, die relevanten gesetzlichen Anforderungen zuverlässig umzusetzen.

Wie hilft ISO/IEC 27701 bei den Auditkosten?

Je mehr Datenschutzbestimmungen in unterschiedlichen Bereichen bzw. Staaten in Kraft treten, desto höher wird auch der Druck zur Bereitstellung von Compliance-Nachweisen. Allerdings werden die Kosten für die unterschiedlichen gesetzlichen Zertifizierungen unerschwinglich, wenn für jede Vorschrift eine einzelne Prüfung durchgeführt werden muss. Iso/IEC 27701 umreißt eine Reihe von universellen Betriebskontrollen und umreißt außerdem ein universelles Compliance-Framework, mit dem mehrere behördliche Anforderungen geprüft und potenziell zertifiziert werden können.

Es ist wichtig zu wissen, dass die Einrichtung einer offiziellen DSGVO-Zertifizierung die Genehmigung durch die europäischen Regulierungsbehörden erfordert. Obwohl die Übereinstimmung zwischen ISO/IEC 27701 und der DSGVO offensichtlich ist, sollte eine ISO/IEC 27701-Zertifizierung nicht als Beweis für die DSGVO-Compliance oder offizielle DSGVO-Zertifizierung genommen werden, bis behördliche Entscheidungen abgeschlossen sind.

Wie hilft ISO/IEC 27701 bei kommerziellen Vereinbarungen, die personenbezogene Informationen betreffen?

Kommerzielle Vereinbarungen, die den Verkehr personenbezogener Daten betreffen, können eine Zertifizierung der Compliance rechtfertigen. Die modernen Unternehmen betreiben komplexe Datenübertragungen mit einem umfangreichen Netzwerk von Geschäftspartnern, einschließlich Partnerorganisationen oder Co-Controllern, Verarbeitern wie Cloud-Anbietern und Unterverarbeitern wie Anbietern, die dieselben Verarbeiter unterstützen. Die Nichteinhaltung von Bestimmungen in diesem Netzwerk kann zu einer Überlappung von Compliance-Problemen innerhalb der gesamten Lieferkette führen. An dieser Stelle kann eine Prüfung der Einhaltung der Vorschriften über die Zusicherung hinaus wertvoll sein, die durch die Vertragsbedingungen zwischen diesen Unternehmen gegeben ist. Da die Weltwirtschaft vorschreibt, dass die meisten dieser Organisationen auf der ganzen Welt verteilt sind, ist es praktisch, einen internationalen Standard von ISO zu verwenden, um die Compliance im gesamten Netzwerk zu verwalten.

Diese Abhängigkeit von der Konformität erhöht die Bedeutung der Zertifizierung nach dem Standard. Obwohl nicht alle Unternehmen und Organisationen eine derartige Zertifizierung erwerben müssen, profitieren die meisten von Partnern und Lieferanten, die dies tun, vor allem, wenn es um die Verarbeitung sensibler oder großer Datenmengen geht.

In welchem Zusammenhang steht ISO/IEC 27701 zu ISO/IEC 27001?

ISO/IEC 27701 basiert auf ISO/IEC 27001, einem der am weitesten verbreiteten internationalen Standards für das Informationssicherheitsmanagement. Wenn Ihre Organisation bereits mit ISO/IEC 27001 vertraut ist, ist es logischer und effizienter, die neuen Datenschutzkontrollen von ISO/IEC 27701 zu integrieren. Dieser Ansatz bedeutet, dass die Implementierung und Überwachung von beiden kostengünstiger und einfacher zu erreichen ist. Kernpunkte von ISO/IEC 27701 und ISO/IEC 27001:

  • ISO/IEC 27001 ist einer der am häufigsten verwendeten ISO-Standards auf der Welt und viele Unternehmen sind bereits dafür zertifiziert.
  • ISO/IEC 27701 enthält neue controller- und prozessorspezifische Steuerelemente, die dazu beitragen, die Lücke zwischen Datenschutz und Sicherheit zu schließen. Es bietet einen Integrationspunkt zwischen zwei verschiedenen Funktionen in Organisationen.
  • Datenschutz hängt von der Sicherheit ab. Ebenso hängt ISO/IEC 27701 für das Sicherheitsmanagement von ISO/IEC 27001 ab. Die Zertifizierung nach ISO/IEC 27701 muss als Erweiterung einer ISO/IEC 27001-Zertifizierung erworben werden und kann nicht unabhängig voneinander erworben werden.

Was sollte Ihre Organisation mit ISO/IEC 27701 tun?

Unabhängig von der Größe Ihrer Organisation und unabhängig davon, ob es sich um einen Verantwortlichen oder einen Auftragsverarbeiter handelt, sollte Ihre Organisation erwägen, eine Zertifizierung für Ihre eigene Organisation zu verfolgen oder sie basierend auf Ihren geschäftlichen Anforderungen von Lieferanten oder Lieferanten anzufordern. Dies gilt insbesondere für Auftragsverarbeiter, Unterauftragsverarbeiter und Mitverantwortliche, die sensible oder große Mengen personenbezogener Daten verarbeiten. Ihre Organisation sollte ihre Geschäftsanforderungen bewerten, um festzustellen, ob die Zertifizierung für ihre eigenen Produkte und Dienstleistungen geeignet ist.

Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos

Microsoft Purview Compliance Manager ist ein Feature in der Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer Organisation zu verstehen und Maßnahmen zu ergreifen, um Risiken zu reduzieren. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen