PIMS

ISO Privacy Framework − Privacy Information Management System (PIMS) − Teil 3

ISO Privacy Framework − Privacy Information Management System (PIMS) − Teil 3

Unsere Artikelserie zeigte bereits, wie das Privacy Framework und das Privacy Impact Assessment alleine verwendet werden können. Firmen, die sich kontinuierlich verbessern möchten, sollten beide formalisieren und optimieren. Dazu eignet sich das Privacy Information Management System (PIMS), welches sich über ISO 27701:2019 ins ISMS integrieren lässt.

Firmen, die über ein ISMS verfügen, werden die ISO-Standards der Reihe 27000 kennen und vielleicht auch bereits danach zertifiziert sein. Der noch relativ neue Standard 27701:2019 erlaubt nun die Ausweitung des ISMS um die Privacy-Aspekte. Die Grafik zeigt, wie die Integration aussehen kann und wie die Standards interagieren.
 

ISO-PIMS-Teil3

 

 

 

 

 

 

 

 

Was ist PIMS?

Mit einem Privacy Information Management System (PIMS) können Firmen ein Privacy Framework und die Verfahren zum Privacy Impact Assessement dauerhaft in ihre Umgebung einbinden, steuern und kontinuierlich verbessern. Dadurch kann ein starker Datenschutz gewährleistet werden. Mit ISO 27701:2019 steht ein Standard zur Verfügung, mit dem Firmen ihr ISMS erweitern können und so die Information Security und den Datenschutz koordiniert managen können.

Wer schon mit ISMS gearbeitet hat kennt folgende Standards:

  • ISO 27001 für das Managementsystem und die Etablierung des PDCA-Zyklus
  • ISO 27005 als Methodik für das Risikomanagement
  • Anhang A von ISO 27001 (bzw. ISO 27002) als Best-Practice zur Wahl von Controls

In der Privacy hat jeder Standard ein Gegenstück:

  • ISO 29100 (Privacy Framework vorheriger Artikel)für ein Framework
  • ISO 29134 (Privacy Impact Assessment vorheriger Artikel) als Methodik für das Risk-Assessment
  • optional ISO 29151 (Code of Practice PII Protection) als Best-Practice zur Wahl von Controls 

ISO 27701:2019 schlägt nun die Brücke zwischen den beiden Welten: Die Vorgaben in ISO 27001 werden erweitert und das Privacy Framework sowie die PIA werden auch ein Teil des PDCA-Zyklus. Bestandteil sind auch Erweiterung um weitere Controls. Damit wird es bereits möglich, dass eigene Statement of Applicability (SoA) um die privacy-relevanten Aspekte zu erweitern.

Je nach Themenfeld gibt es noch weitere Standards, die Best-Practices erläutern:

  • ISO 29151 kann als optional betrachtet werden − die in ISO 27701 mitgebrachten Ergänzungen reichen für den Start. ISO 29151 wird später für eine Steigerung des Detaillierungsgrads interessant.
  • ISO 27018 ist spezifisch für alle gedacht, die einen Cloud-Dienst als PII Processor einsetzen und entsprechende Schutzmassnahmen auswählen müssen. Dies kann auch später ein Hilfsmittel zur Steigerung des Detaillierungsgrads darstellen.
  • ISO 29101 eignet sich für Entwickler und Software-Architekten, die vertieft auf den Aufbau eines Privacy Architecture Framework eingehen wollen − weil sie z. B. selber PII-verarbeitende Software entwickeln.

Umsetzung − für Neueinsteiger ins Thema und ohne bestehendes ISMS

Wer neu einsteigt in das Thema und noch über kein ISMS verfügt, der vergisst am besten die meisten Standards und fokussiert sich vorerst auf die in den vorherigen Artikeln gezeigten Standards ISO 29100 und ISO 29134. Denn wer schnell auf einen akzeptablen Zustand kommen möchte, beginnt damit, in einer Umgebung die Überlegungen aus dem ISO Privacy Framework umzusetzen sowie erste PIA auf den wichtigen Prozessen und Systemen vorzunehmen.

Damit sind schon mal die Risiken identifiziert und Best-Practices angewendet. Um die Brücke zur IS zu schlagen gilt es abzugleichen, welche der identifizierten Risiken aus dem PIA bereits durch Massnahmen behandelt werden. Es fehlt dabei natürlich die Formalität, die ein Managementsystem mit sich bringen würde - vereinfacht zu starten ist jedoch immer noch besser als gar nicht zu starten. Der Nachweis des Nutzens solcher ersten Aktivitäten kann auch das Budget für eine weitere Formalisierung rechtfertigen.
Mittel- bis langfristig kann das Ziel darin bestehen, anhand von Anhang A von ISO 27001 die Auswahl von Controls zu formalisieren und ein strukturiertes Inventar über Schutzmassnahmen der IS, der IT und der Privacy zu erstellen, zu pflegen und basierend auf den PIA den Schutz auf einem konstanten Niveau zu halten. Dies ist zwar immer noch kein ISMS, kann gegenüber dem Ist-Zustand jedoch schon eine deutliche Steigerung der Maturität darstellen.

Für alle Firmen, die aufgrund rechtlicher oder regulatorischer Vorgaben unter grossem Druck stehen einen hohen Reifegrad nachweisen und Evidenzen erbringen zu müssen, ist ein schneller Einstieg jedoch nicht der richtige Weg. Dann sollte bereits von Beginn an eine Projektplanung zum Aufbau eines ISMS und PIMS erstellt und festgelegt werden, was in welcher Reihenfolge umgesetzt werden muss.

Umsetzung − für Neueinsteiger ins Thema und mit bestehendem ISMS

Wer bereits über ein ISMS verfügt, kann dies erweitern und über ISO 27701 beginnen die Prinzipien des Privacy Framework in die tägliche Arbeit zu integrieren. Der grösste Aufwand dürfte dafür anfallen, das Personal in den Prinzipien von ISO 29100 und dem Assessment nach ISO 29134 zu schulen.

Auch zu berücksichtigen ist eine Erweiterung der eigenen Prozesse um das PIA. So wird z. B. im Rahmen des Change Managements nicht nur ein Abgleich des zu besprechenden Change gegenüber den identifizieren Risiken der IS notwendig, sondern auch ein Abgleich mit dem PIA.

Sobald das Unternehmen ein erstes PIA von kritischen Diensten gemacht hat, kann ein Abgleich mit den Controls und eine Ergänzung des Statement of Applicability (SoA) stattfinden. Zunächst ist es dafür ausreichend, die ergänzenden Controls aus Anhang A und B von ISO 27701 zu verwenden und erst zu einem späteren Zeitpunkt zu prüfen, ob man den Detaillierungsgrad mit ISO 29151, 29101 oder 27018 steigern will - ausser die Privacy spielt für das eigene Unternehmen und seine Kunden eine so grosse Rolle, dass bereits von Beginn an ein detaillierter Einstieg gerechtfertigt ist.

Relevante Rollen

ISO 27701 verlangt neu einerseits einen Data Protection Officer zu definieren, andererseits aber auch den PII Principals eine Kontaktstelle für Anfragen zur Verarbeitung ihrer Daten anzubieten.

Der Data Protection Officer nimmt eine ähnliche Rolle wie der CISO ein: Er muss unabhängig sein, vertraut mit den rechtlichen, regulatorischen und weiteren Vorgaben sowie vom Management die notwendigen Kompetenzen erhalten haben. Dies kann dazu führen, dass in vielen Vorhaben des Unternehmens eine Person mehr involviert sein wird − neben dem CISO auch der DPO. Für die Projektleiter mag es mitunter unangenehm sein, wenn eine zusätzliche Person im Fachgremium sitzt − dies ist im Sinne eines starken Datenschutzes aber unerlässlich.

Auch die Geschäftsleitung des Unternehmens spielt eine wichtige Rolle: Was beim ISMS die Information Security Policy ist, wird bei Umsetzung von ISO 27701 neu zur «Information Security and Privacy Policy». Abgesehen davon werden mitunter auch an anderen Stellen Anpassungen an Policies notwendig. Ein Management Commitment ist daher unerlässlich und die Geschäftsleitung muss eine entsprechende Vorbildrolle einnehmen.

Bezug zur DSGVO und anderen Gesetzen

Wer den Weg von ISO 27701 geht und eine Erweiterung seines ISMS vornimmt, wird zukünftig in der Lage sein, das eigene SoA und die PIA gegen DSGVO-Paragrafen zu mappen. Wie in der nächsten Tabelle gezeigt, stellt ein Privacy-Principle aus ISO 29100 und ein ISO 27701 Control jeweils einen Bezug zu einem oder mehreren DSGVO-Paragrafen dar.

Anhand der PIA kann gezeigt werden, inwiefern selektiv einzelne Dienstleistungen den Vorschriften der DSGVO entsprechen; anhand eines SoA wiederum, wie das gesamte Unternehmen der DSGVO entspricht.

DSGVO

Analog lassen sich Mappings auch auf andere Gesetze vornehmen, z. B. das Schweizer DSG.

Abgesehen von einem solchen Mapping stellen Reports des PIA, sofern diese für strategisch wichtigen Dienste der eigenen Firma vorgenommen und einsehbar sind, alleine bereits eine gute Dokumentation für einen Audit dar. Sofern sie entsprechend aufbereitet sind, eignen sie sich auch gut dazu, dem Kunden das Schutzniveau seiner Daten zu zeigen.

Wieso das wichtig ist

Wichtig ist zu verstehen, dass keiner der Standards alleine die Lösung sein wird, um auf eine sehr hohe Maturität zu kommen und strukturiert und nachvollziehbar die Einhaltung einer DSGVO zu dokumentieren. Dazu gilt es, die verschiedenen Komponenten an richtiger Stelle zu platzieren und interagieren zu lassen.

Wer schon Erfahrung mit dem Unterhalt eines ISMS hat, wird die für ihn neuen Konzepte aus dem Privacy Framework und dem PIA lernen müssen und wird danach relativ schnell in der Lage sein, sein ISMS zum PIMS aufzurüsten. Eine bereits stark formalisierte Umgebung mit einer hohen Maturität ist sehr gut erweiterbar.

Wer noch ohne ISMS ist, ist noch nicht verloren − die Frage stellt sich hier, was es zu erreichen gilt. Es ist mitunter nicht falsch, sich als Einstieg sehr zurückhaltend nur mit dem Privacy Framework und der PIA zu beschäftigen und erst später die Formalität auszubauen. Ein vereinfachter Einstieg liefert jedoch auch nur vereinfachte Resultate und jeder, der von aussen unter Druck steht, sollte sich genau überlegen was getan werden soll. Im Rahmen unserer Consulting-Services unterstützt Sie terreActive bei der Konzeptionierung und Umsetzung der richtigen Lösung.