Zum Inhalt wechseln


Foto

ISO 27001 zwingend?


  • Bitte melde dich an um zu Antworten
10 Antworten in diesem Thema

#1 Thomas Maggnussen

Thomas Maggnussen

    Newbie

  • 21 Beiträge

 

Geschrieben 26. September 2017 - 13:09

Hallo Zusammen, 

 

ab dem 25.05.2018 tritt ja das neue Datenschutzgesetz in Kraft. Es ist hierbei immer wieder mal die Rede von der DIN ISO 27001 Zertifizierung. 

 

Ich bin jetzt etwas verunsichert, da ich kein Rechtler (sondern IT´ler bin). Muss man so eine ISO erstellen bzw. erstellen lassen bzw. ab welcher Größe? Oder ist das nur notwendig, wenn ich bekannt machen will das ich nach ISO 27001 Zertifiziert bin?

 

Danke & LG

Thomas



#2 Dukel

Dukel

    Board Veteran

  • 9.298 Beiträge

 

Geschrieben 26. September 2017 - 13:16

Diese Zertifizierung macht die Firma und nicht du. Das kann dir aber euer Datenschutzbeauftrage oder Rechtsbeistand genauer erläutern ob Ihr dies braucht.

 

EDIT: Habe etwas über das Datenschutzgesetz gefunden:

https://www.datensch...rundverordnung/


Bearbeitet von Dukel, 26. September 2017 - 13:18.

Stop making stupid people famous.


#3 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 26. September 2017 - 14:04

Moin,

 

die DSGVO und ISO 27001 haben zunächst einmal wenig miteinander zu tun. Allgemein ist aber sehr zu empfehlen, das Thema mit Fachjuristen zu besprechen.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#4 BuzzeR

BuzzeR

    Board Veteran

  • 1.006 Beiträge

 

Geschrieben 26. September 2017 - 18:21

Hallo zusammen.

 

 

In der Tat haben beide Themen nur bedingt etwas miteinander zu tun. Hier ist es vielleicht erst einmal hilfreich eine genaue Abgrenzung beider Themen vorzunehmen.

 

Die DSGVO hat den Schutz personenbezogener Daten zum Inhalt und wird federführend durch den i.d.R. externen Beauftragten für Datenschutz voran getrieben.

 

Die Normenreihe der DIN ISO / IEC 27000 behandelt den Aufbau eines Informationssicherheits-Managementsystems (ISMS) und definiert Prozesse und Maßnahmen

für die kontinuierliche Verbesserung der Informationssicherheit.

 

Hier möchte ich noch einen Tip los werden ... unter [1] findet Ihr eine Veröffentlichung des Bundesanzeiger-Verlags, welche die DIN ISO / IEC Normen 27001 / 2 zum

Inhalt hat und Ihr nicht gesondert für einige hundert Euro beschaffen müßt.

 

I love BSI!!!

 

Related Links

[1] https://shop.bundesa...rbeitshandbuch/

 

 

 

LG,

Marco



#5 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 26. September 2017 - 18:27

Moin,

 

cool, danke für den Tipp!

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#6 BuzzeR

BuzzeR

    Board Veteran

  • 1.006 Beiträge

 

Geschrieben 26. September 2017 - 19:18

Hi Nils.

 

Sehr gerne !!!

 

 

LG,

Marco


Hallo Thomas,

 

wurde Deine Frage beantwortet, oder benötigst Du weitere Informationen?

 

 

Gerne unterstützen wir Dich bei Deiner Fragestellung.

 

 

LG,

Marco



#7 Thomas Maggnussen

Thomas Maggnussen

    Newbie

  • 21 Beiträge

 

Geschrieben 27. September 2017 - 08:31

Hallo, 

 

ich bin ja gefragt worden, was da zu tun ist. Wir in bzg. Persönlich bezogene Daten seit jeher hohe Anforderungen (Reiswolf etc.) IT-Technisch sowieso (sichere Passwörter, Zugangskontrolle etc.). 

Bei dem Kunden handelt es sich aber um 20 Leute und daher die Frage ob man das ZWINGEND durchführen lassen muss? Fachjouristen und Beratungsunternehmen treiben wahrscheinlich die Kosten in die Höhe. 

 

Daher denke ich, würde doch eine komplette Dokumentation, Schulung der Mitarbeiter mit Notfallplan etc. ausreichen oder?

 

danke



#8 Otaku19

Otaku19

    Expert Member

  • 1.948 Beiträge

 

Geschrieben 27. September 2017 - 08:33

Wie schon geschrieben, zwingend ist hier garnichts, zwingend sind die Auflagen die einem die DSGVO  abverlangt, im Fall von Deutschland gibt es darüber hinaus noch strengere Auflagen aus anderen Rechtsvorschriften.. Da gibt es afaik einige bereiche die das gleiche Thema beleuchten. Daher mus sman sich alles was es an branchenrelevanten Vorschriften gibt vornehmen. Wie jede Firma das macht bleibt ihr überlassen, Rechtsberatung ist hier in jedem Fall schwer zu empfehlen.

 

Es gibt aber eien losen Zusammenhang der immer wieder genannt wird, Zertifizierungen des Unternehmens können sich im Kontext der DSGVO strafmildernd auswirken. Wie schnell und hart die kommende Datenschutzbehörde (ich glaube, die gibts auch bei euch noch nicht) strafen wird ist Spekulation, Von "wird schon nix passieren" bis "der erste den sie drankriegen wird zum Exempel gestempelt und gestraft das einem die Ohren schlackern" gibts da alles


Done: 640-801; 640-553; 642-524; 642-515; 642-892; 642-832; 642-504; 640-863; 642-627; 642-874; 642-785; ITIL v3 Foundation
Enterasys Systems Engineer; CompTIA Sec+; CompTIA Mobility+; CISSP; CISSP-ISSAP; Barracuda NGSE/NGSX; CISM


#9 Thomas Maggnussen

Thomas Maggnussen

    Newbie

  • 21 Beiträge

 

Geschrieben 27. September 2017 - 08:40   Lösung

Okay danke. Hab auch schon einiges darüber gelesen. Bei den meisten klingts nach ner Arbeitsbeschaffungsmaßnahme. Klar, für große Unternehmen ist das kein Ding, aber für den Mittelstand. 



#10 Otaku19

Otaku19

    Expert Member

  • 1.948 Beiträge

 

Geschrieben 27. September 2017 - 09:20

denke nicht das so vielen leuten langweilig ist, aber ja, um das sauber über die Bühne zu kommen benötigt man einiges an Manpower. Ein vernünftiges Verfahrensverzeichnis ist shcon jede Menge Arbeit. Oder man trennt sich von einem Großtel des Personenbezugs, wäre auch eine denkbare Alternative ;)


Done: 640-801; 640-553; 642-524; 642-515; 642-892; 642-832; 642-504; 640-863; 642-627; 642-874; 642-785; ITIL v3 Foundation
Enterasys Systems Engineer; CompTIA Sec+; CompTIA Mobility+; CISSP; CISSP-ISSAP; Barracuda NGSE/NGSX; CISM


#11 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 27. September 2017 - 10:43

Moin,

 

an der Stelle ist ein IT-Dienstleister nicht der richtige Ansprechpartner. Es braucht juristische Beratung. Die IT ist dann wieder dran, wenn es um die Umsetzung geht.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!