Zertifizierungen bleiben branchenübergreifend und auch abseits regulatorischer Pflichtbereiche eine beliebte Methode, um Vertrauen und Image in Richtung der Kunden, Partner und Dienstleister zu demonstrieren. Mit dem Privacy Information Management System (PIMS / ISO 27701) wurde zuletzt im August 2019 eine Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 geschaffen, welche der Definition nach Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) von Unternehmen sowie öffentlichen oder gemeinnützigen Organisationen definieren.
Praktisch wurde somit eine Erweiterung der beiden Vorgängerrichtlinien um Datenschutzaspekte realisiert. Das ISMS ist dabei nach wie vor das Herzstück und garantiert die Etablierung von Prozessen und Richtlinien zur Informationsverwaltung, wobei es weiterhin auch den Schutz aller als kritisch definierten Informationen sichert. Mit der ISO 27701 schließt die Informationssicherheit nun jedoch auch erstmals explizit personenbezogene Daten mit ein.
Zertifizierung als Sicherheitsaspekt und Vetrauensgarant
Wie bereits erwähnt, erfreuen sich Zertifizierungen und die dafür notwendigen Audits branchen- und themenübergreifend weiterhin großer Beliebtheit. Gerade im Bereich des Datenschutzes und der Informationssicherheit bieten sie jedoch mehr, als nur eine Imagepolitur: Durch Sensibilisierung der Mitarbeiter steigt die Awareness und damit das generelle Sicherheitsniveau, auf welchem bereichsbezogen agiert wird. Sensible Daten können zuverlässiger vor Verlust und Missbrauch geschützt werden, da ein hochoperables ISMS potenzielle Sicherheitsrisiken schneller erkennbar macht. Haftungsrisiken können letztlich auch durch Prozessoptimierung weiter minimiert werden, die Unternehmensresilienz wird gestärkt.
Wichtig scheint es, zum Abschluss nochmals auf die zwingende Interoperabilität zwischen ISO/IEC 27001 bzw. 27002 sowie dem PIMS (ISO 27701) hinzuweisen: So, wie eine Zertifizierung letzterer Richtlinie nicht ohne die nachgewiesene Erfüllung der Vorhergehenden möglich ist, so erwächst sich auch der unternehmerische Vorteil erst aus einem präzise abgestimmten Zusammenwirken beider Managementsysteme.
Quellen:
www.dqs.de/de/audits/produkte/iso-27701/
www.m-q.ch/de/iso-27701-datenschutz-zertifizierung-fuer-mehr-unternehmensresilienz/