与 ISO 27001 认证的区别
尽管符合 GDPR 的认证还有很长的路要走,但对国际认可认证的追求很高。此时,公司可以使用 ISO 27001 认证。该认证为公司内部发展和建立专业的安全管理提供了机会。目的是尽量减少和预防因信息安全不足而导致的风险。实施信息安全管理体系(ISMS)旨在提高信息的保密性,满足国际要求并控制IT风险,从而提高竞争优势。对公司的正面评价是每项认证的重点。根据 ISO 27001 进行认证可提高技术和组织措施 (TOM) 的完整性和准确性,这尤其是 GDPR 第 32 条所要求的。相比之下,根据GDPR的要求,还有上面描述的认证。两种认证的主要区别在于对安全性的关注程度。而ISO 27001认证重点关注信息安全,即公司内所有信息的安全。 GDPR 认证的重点是个人数据的安全处理。在遵守数据保护要求方面,根据 GDPR 进行认证是更好的选择,因为 ISO 27001 认证虽然总体上加强了信息安全,但对数据保护的关注程度不够。
ISO27701作为数据保护认证?
然而,ISO 27001认证缺乏对数据保护的提及,可以通过补充认证来弥补。这是指 ISO 27701 认证。这个名称与其前身故意只留有最小的差别,因为这两项认证都旨在使信息安全和数据安全认证标准化。从新认证的名称也可以看出这一点。完整版本为:《安全技术 – ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展 – 要求和指南》。由于 ISO 27701 仅仅是一个扩展,因此必须满足 ISO 27001 的所有要求才能成功获得认证。不过这也表明,这依然是信息安全管理体系(ISMS)领域的认证,而非GDPR意义内的独立认证。仔细检查后还会发现,根据 ISO 27701 进行的认证并不符合 GDPR 第 43 条。这要求认证机构在 ISO 17065 框架内进行认可。
但这个障碍未来还是可以克服的。尽管 ISO 27701 尚未完全满足 GDPR 的要求,但该立法明确提供了认证选项(参见 GDPR 第 42 条)。因此,根据 ISO 27001 和 27701 获得的认证可以成为公司履行其文档义务的第一个联系点。尤其是因为目前市场上还没有广泛的认证。
欧盟每个成员国都必须实施并遵守GDPR。这也直接影响到德国企业。为了遵守GDPR的法律规定,负责机构还必须提供并确保遵守GDPR的证明。这是根据 GDPR 第 5 条第 2 款的原则制定的。
“控制者应对第 1 款的遵守负责,并应能够证明其遵守规定(“问责制”)。”
为了遵守问责原则,负责机构必须遵守 GDPR 的进一步规定。文档义务尤其体现在 GDPR 第 30 条中。每个控制者必须仔细维护处理活动登记册,并随时可用。该目录的要求源自 GDPR 第 30 条第 1 款第 2 句 a) 至 g) 项中的目录。例如,其中包括处理的目的、数据接收者的类别以及技术和组织措施的一般描述。在这里,GDPR 的整体性也再一次变得清晰起来。技术和组织措施不仅列在处理活动登记册中,而且本身也具有文件性质(参见GDPR 第 32 条)。技术措施旨在通过物理措施确保数据处理的安全。示例包括警报系统、用户帐户和密码。组织措施规范公司员工执行某些程序的行为。例如,其中包括维护数据保密的义务和IT 使用指南。
数据保护审计可帮助公司选择确保最高级别信息和 阿联酋号码数据 数据安全的技术和组织措施 (TOM),并将其记录下来。全面实施和记录的 TOM 使公司即使没有获得认证也能达到较高的数据保护标准。
数据保护审计作为认证的准备
无论如何,建议尽可能地遵守 GDPR 的要求,这不仅是因为否则会受到处罚和罚款,还因为相关的客户导向和质量标准。为了最大限度地减少数据丢失和数据泄露等风险,应引入外部审计等控制机制。在审计期间,数据保护流程会接受详细检查,然后提出切实可行的解决方案。首先,对当前情况进行分析,并记录所有相关信息。在此基础上,进行TOM测试。目前实施的保护措施将接受有效性测试,并最终根据 GDPR 第 32 条的规定被定义为适当或不适当。审计的第三阶段是制定议程,以尽快实施要求。最后,是审计最重要的阶段,审计报告。关于公司数据保护状况的全面信息,以及可直接实施的实用解决方案。尤为值得注意的是,审计报告还可以用来履行对监管部门的问责义务。此外,外部审计确保了客观和中立的基础,因为不存在利益冲突。此外,外部审计师可以拥有多年的实践经验,并且通常接受过法律培训和认证。