ISO/IEC 27701:2019: Datenschutzinformationsmanagement

Übersicht über ISO/IEC 27701:2019

ISO/IEC 27701:2019 wurde entwickelt, um die weit verbreiteten Standards ISO/IEC 27001 und ISO/IEC 27002 für das Informationssicherheitsmanagement zu ergänzen. Es legt Anforderungen fest und bietet Anleitungen für ein Privacy Information Management System (PIMS), was die Implementierung von PIMS zu einer hilfreichen Ergänzung der Compliance für die vielen Organisationen macht, die auf ISO/IEC 27001 angewiesen sind, sowie einen starken Integrationspunkt für die Ausrichtung von Sicherheits- und Datenschutzkontrollen zu schaffen. ISO/IEC 27701 erreicht diese Integration durch ein Framework für die Verwaltung personenbezogener Daten, die sowohl von Datenverantwortlichen als auch von Datenverarbeitern verwendet werden können. Dies ist eine wichtige Unterscheidung bei der Einhaltung der Datenschutz-Grundverordnung (DSGVO).

Darüber hinaus erfordert jedes ISO/IEC 27701-Audit, dass der organization geltende Gesetze/Vorschriften in seinen Kriterien für die Prüfung deklarieren muss. Dies bedeutet, dass der Standard vielen Anforderungen der DSGVO, des California Consumer Privacy Act (CCPA) oder anderer Gesetze zugeordnet werden kann. Nach der Zuordnung werden die Betriebskontrollen nach ISO/IEC 27701 von Datenschutzexperten implementiert. Ein interner oder externer Dritter, der für die Bewertung akkreditiert ist, bewertet dann die Konformität des organization mit den Anforderungen des Standards und stellt ein Zertifikat zu diesem Zweck aus. Dieses universelle Framework ermöglicht Es Organisationen, die Einhaltung neuer gesetzlicher Anforderungen effizient zu implementieren. Microsoft unterstützt das Open-Sourced Data Protection Mapping Project , um ein gemeinsames Verständnis der Beziehung zwischen ISO/IEC 27701 und verschiedenen Datenschutzbestimmungen zu entwickeln.

Zu Microsoft gehörende Cloudplattformen und -dienste

Microsoft Onlinedienste im Bereich werden im Azure ISO/IEC 27701-Zertifikat angezeigt:

  • Azure (ausführliche Informationen finden Sie im Azure ISO/IEC 27701-Angebot)
  • Dynamics 365 (ausführliche Informationen finden Sie im Azure ISO/IEC 27701-Angebot).
  • Microsoft Defender XDR (nicht im Bereich für Azure Government)
  • Microsoft Bing for Commerce (nicht im Bereich für Azure Government)
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender für Endpunkt
  • Microsoft Graph
  • Microsoft Intune
  • Microsoft Managed Desktop (nicht im Bereich für Azure Government)
  • Microsoft Stream
  • Microsoft-Bedrohungsexperten (nicht im Bereich für Azure Government)
  • Office 365, Office 365 U.S. Government und Office 365 U.S. Government Defense
  • Power Apps
  • Power Automate
  • Power BI
  • Power BI Embedded
  • Power Virtual Agents (nicht im Bereich für Azure Government)
  • Universelles Drucken (nicht im Bereich für Azure Government)
  • Windows 365

Azure, Dynamics 365 und ISO 27701

Weitere Informationen zu Azure, Dynamics 365 und anderen Onlinedienste Compliance finden Sie im Azure ISO 27701:2019-Angebot.

Office 365 und ISO 27001

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Kunden-Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Kundenportal, Office 365 Microservices (einschließlich, aber nicht beschränkt auf Kaizala, ObjectStore, Sway, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, Project Online, Dienstverschlüsselung mit Microsoft Purview-Kundenschlüssel, SharePoint Online, Skype for Business, Stream
GCC Microsoft Entra ID, Azure Communications Service, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream
GCC High Microsoft Entra-ID, Azure Communications Service, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business
DoD Microsoft Entra-ID, Azure Communications Service, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business

Office 365-Audits, -Berichte und -Zertifikate

Microsoft Cloud- und kommerzielle technische Supportdienste werden einmal jährlich für den Zertifizierungsprozess für ISO/IEC 27701 überprüft.

Häufig gestellte Fragen

Wie hilft ISO/IEC 27701 bei der Entwicklung von regulatorischen Anforderungen?

ISO/IEC 27701 enthält einen Anhang mit den betrieblichen Kontrollen des Standards, die den einschlägigen Vorschriften für DSGVO für Controller und Verarbeiter zugeordnet sind. Diese Zuordnung ist nur ein Beispiel dafür, wie Datenschutzbestimmungen relativ zum ISO-Framework implementiert werden können. Da zusätzliche Zuordnungen zu anderen Bestimmungen zur Verfügung stehen und validiert werden, können die Betriebskontrollen aus dem Standard direkt von der Aufsichtsüberprüfung zur Implementierung übertragen werden. Dieses universelle Framework ermöglicht Es Organisationen, die relevanten gesetzlichen Anforderungen zuverlässig umzusetzen.

Wie hilft ISO/IEC 27701 bei Auditkosten?

Je mehr Datenschutzbestimmungen in unterschiedlichen Bereichen bzw. Staaten in Kraft treten, desto höher wird auch der Druck zur Bereitstellung von Compliance-Nachweisen. Allerdings werden die Kosten für die unterschiedlichen gesetzlichen Zertifizierungen unerschwinglich, wenn für jede Vorschrift eine einzelne Prüfung durchgeführt werden muss. Durch die Gliederung einer Reihe von universellen Betriebskontrollen beschreibt ISO/IEC 27701 auch ein universelles Compliance-Framework für die Überprüfung und ggf. Zertifizierung für mehrere regulatorische Anforderungen.

Es ist wichtig zu erkennen, dass die Einrichtung einer offiziellen DSGVO-Zertifizierung die Genehmigung durch die europäischen Regulierungsbehörden erfordert. Obwohl die Übereinstimmung zwischen ISO/IEC 27701 und DER DSGVO offensichtlich ist, sollte eine ISO/IEC 27701-Zertifizierung erst als Nachweis für die Einhaltung der DSGVO oder die offizielle DSGVO-Zertifizierung betrachtet werden, bis behördliche Entscheidungen abgeschlossen sind.

Wie hilft ISO/IEC 27701 bei kommerziellen Vereinbarungen, die personenbezogene Informationen betreffen?

Handelsvereinbarungen, die die Verschiebung personenbezogener Daten beinhalten, können eine Zertifizierung der Konformität rechtfertigen. Die modernen Unternehmen betreiben komplexe Datenübertragungen mit einem umfangreichen Netzwerk von Geschäftspartnern, einschließlich Partnerorganisationen oder Co-Controllern, Verarbeitern wie Cloud-Anbietern und Unterverarbeitern wie Anbietern, die dieselben Verarbeiter unterstützen. Die Nichteinhaltung von Bestimmungen in diesem Netzwerk kann zu einer Überlappung von Compliance-Problemen innerhalb der gesamten Lieferkette führen. An dieser Stelle kann eine Prüfung der Einhaltung der Vorschriften über die Zusicherung hinaus wertvoll sein, die durch die Vertragsbedingungen zwischen diesen Unternehmen gegeben ist. Da die globale Wirtschaft vorschreibt, dass die meisten dieser Organisationen auf der ganzen Welt verteilt sind, ist es praktisch, einen internationalen Standard von ISO zu verwenden, um die Compliance im gesamten Netzwerk zu verwalten.

Diese Abhängigkeit von der Konformität erhöht die Bedeutung der Zertifizierung nach dem Standard. Obwohl nicht alle Unternehmen und Organisationen eine derartige Zertifizierung erwerben müssen, profitieren die meisten von Partnern und Lieferanten, die dies tun, vor allem, wenn es um die Verarbeitung sensibler oder großer Datenmengen geht.

In welchem Zusammenhang steht ISO/IEC 27701 zu ISO/IEC 27001?

ISO/IEC 27701 basiert auf ISO/IEC 27001, einem der am weitesten verbreiteten internationalen Standards für das Informationssicherheitsmanagement. Wenn Ihr organization bereits mit ISO/IEC 27001 vertraut ist, ist es logisch und effizienter, die neuen Datenschutzkontrollen von ISO/IEC 27701 zu integrieren. Dieser Ansatz bedeutet, dass die Implementierung und Prüfung von beiden kostengünstiger und einfacher zu erreichen ist. Wichtige Punkte von ISO/IEC 27701 und ISO/IEC 27001:

  • ISO/IEC 27001 ist einer der am häufigsten verwendeten ISO-Standards auf der Welt und viele Unternehmen sind bereits dafür zertifiziert.
  • ISO/IEC 27701 enthält neue controller- und prozessorspezifische Kontrollen, die dazu beitragen, die Lücke zwischen Datenschutz und Sicherheit zu schließen. Es bietet einen Integrationspunkt zwischen zwei verschiedenen Funktionen in Organisationen.
  • Datenschutz hängt von der Sicherheit ab. Ebenso hängt ISO/IEC 27701 von ISO/IEC 27001 für das Sicherheitsmanagement ab. Die Zertifizierung für ISO/IEC 27701 muss als Erweiterung einer ISO/IEC 27001-Zertifizierung erworben werden und kann nicht unabhängig voneinander erworben werden.

Was sollten Ihre organization mit ISO/IEC 27701 tun?

Unabhängig von der Größe Ihres organization und unabhängig davon, ob es sich um einen Controller oder einen Prozessor handelt, sollte Ihr organization die Zertifizierung in Betracht ziehen, entweder für Ihre eigene organization, oder sie von Anbietern oder Lieferanten basierend auf Ihren Geschäftsanforderungen anzufordern. Dies gilt insbesondere für Verarbeiter, Unterverarbeiter und Mitverantwortliche, die sensible oder große Mengen personenbezogener Daten verarbeiten. Ihr organization sollte seine geschäftlichen Anforderungen bewerten, um zu ermitteln, ob die Zertifizierung für seine eigenen Produkte und Dienstleistungen geeignet ist.

Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos

Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Risikominderung zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen