EU-DSGVO und ISMS?

Am 25. Mai 2018 wird die Europäische Datenschutzgrundverordnung (EU-DSGVO)wirksam. Damit wird es notwendig, dass Unternehmen gemäß dem Stand der Technik geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 DSGVO), um damit die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen. Weiterhin ist ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzurichten.

Mit den von der DSGVO genannten Sicherheitszielen wie Vertraulichkeit, Integrität, und Verfügbarkeit wird schon mal klar, dass man methodisch bewährten Vorgehensweisen der Informationssicherheit adressiert. Was aus meiner Sicht absolut Sinn macht.

Und spätestens jetzt wird klar was notwendig wird für Unternehmen, um die Anforderungen der DSGVO zu erfüllen: Die Unternehmen müssen ein Informationssicherheitsmanagementsystem (ISMS) einzuführen und zu betreiben.

Denn ein ISMS ist gang allgemein gesagt die Rahmenwerk von Richtlinien, Verfahren, Regelungen und zugehörigen Ressourcen innerhalb eines Unternehmens, welche dazu dienen die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

Die Normenreihe ISO/IEC 27000 definiert ein Informationssicherheitsmanagementsystem (ISMS) und beschreibt die entsprechende Methodik. Aber auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit den BSI IT-Grundschutz-Standards (100-1 bis 100-4) und den IT-Grundschutz-Katalogen entsprechende Methoden und Vorgehensweisen bezüglich der Implementierung eines ISMS entwickelt und herausgegeben.

Damit ist eigentlich klar was zu tun ist. Wer sich aber schon mal mit dem Thema beschäftigt hat weiß, das trotz aller Beschreibungen und Handlungsempfehlungen viele Stolpersteine auf dem Weg zu einer erfolgreichen Umsetzung liegen. Insbesondere der Aufwand, und damit am Ende die für die Unternehmen anfallenden Kosten für die Einführung und die dauerhafte Nutzung eines ISMS, hängen sehr stark von der Planung und Konzeption ab. In diesem Kontext kommt der Rolle des vom Unternehmen zu bestellenden Informationssicherheitsbeauftragten (CISO oder IT-SiBe) eine besondere Bedeutung zu. Da diese Rolle im Rahmen des Informationssicherheits-Managementprozesses wesentliche Aufgaben wahrnimmt.

Auch stellt sich die Frage, was denn der viel zitierte Stand der Technik darstellt und was nicht. Allein mit dieser Thematik kann man sich schon sehr umfassend und intensiv beschäftigen.

Aber jetzt sind wir schon mitten drin. Aber zunächst der Reihe nach. Daher werde ich in zukünftigen Beiträgen in diesem Blog in lockerer Folge die verschiedenen Aspekte der möglichen Umsetzung eines ISMS im Sinne der DSGVO betrachten und darstellen. Und auch die unterschiedlichen methodischen Vorgehensweisen, wie die ISO/IEC 27000 Normenreihe und den BSI IT-Grundschutz beleuchten und gegenüberstellen.

03 Mar 2017
EU-DSGVO Informationssicherheit Informationssicherheitsbeauftragter ISMS IT-Grundschutz ISO IEC27000
Autor: dirk-groesser