Datenschutz

ISO 27701

Zu allen Themenbereichen bieten wir Ihnen individuelle Beratungen und Seminare

Was ist eine ISO 27701 Norm?

Mit der ISO 27701 können Organisationen die bekannte ISO 27001 zur Etablierung eines Informationssicherheits-Managementsystems (ISMS) um datenschutzrechtliche Aspekte ergänzen. Die Norm ISO 27701 führt den Begriff des Privacy Information Management System (PIMS) – auf Deutsch Datenschutz-Managementsystem (DSMS) – ein und bietet Leitlinien für alle Beteiligten. Dabei werden die Rollen und Verantwortlichkeiten innerhalb der Organisation definiert, sowie das Vertrauen der Kunden und Mitarbeiter in die Fähigkeit Ihres Unternehmens gestärkt, personenbezogene Daten zu verwalten.

Wen betrifft die ISO 27701?

Unternehmen erbringen mit dem Zertifikat nach ISO 27001 samt Erweiterungsnorm ISO 27701 den Nachweis, die hohen Anforderungen an Informationssicherheit und Datenschutz zu erfüllen.

Damit lassen sich nationale und internationale Märkte erschließen, wenn es um Leistungen geht, bei denen großer Wert auf Datenschutz gelegt wird. Immer öfter werden solche Zertifizierungen zur Voraussetzung, um an Ausschreibungen teilnehmen zu können.

Welche Vorteile bietet die ISO 27701?

Die Ergänzung der ISO 27001 um die Zertifizierung nach ISO 27701 ermöglicht eine verstärkte Auseinandersetzung mit dem Thema Datenschutz. Insgesamt wird mit der ISO 27701 eine verstärkte Transparenz bei der Verwaltung von Daten und eine Minimierung des Risikos von Datenschutzverletzungen erreicht. Dadurch wird die Einhaltung aktuell gültiger Datenschutzbestimmungen weltweit begünstigt und eine Vertrauenssteigerung bei Kunden und Geschäftspartnern erzielt.

Voraussetzungen für eine ISO 27701

Die Voraussetzungen für eine ISO 27701 ist eine bestehende ISO 27001-Zertifizierung. Darüber hinaus ist eine umfassende Überprüfung von Prozessen und Systemen, eine enge Zusammenarbeit mit Kunden und Lieferanten, eine Dokumenten- und Datenkontrolle sowie regelmäßige Audits und Überwachungen notwendig. Unternehmen müssen beweisen, dass sie Prozesse der kontinuierlichen Verbesserungen leben und Risiken systematisch bewerten und bewältigen. Die ISO 27701 Zertifizierung setzt auch voraus, dass das Unternehmen ein effektives Datenschutz-Managementsystem hat, das alle relevanten Gesetze und Vorschriften einhält.

Über die ISO 27701 Zertifizierung

Eine ISO 27701 Zertifizierung beginnt mit einer umfassenden Überprüfung der Geschäftsprozesse, Systeme und Dokumente des Unternehmens durch eine unabhängige Zertifizierungsstelle. Die Zertifizierungsstelle überprüft die Umsetzung des Managementsystems und der Prozesse sowie die Zusammenarbeit mit Kunden und Lieferanten.

Wie wir arbeiten

Um das Ziel der Zertifizierungsreife zu erreichen, beginnen unsere Berater mit einer GAP-Analyse in Ihrem Unternehmen, in Form eines Audits, mit abschließendem Auditbericht. Dabei sollen mögliche Abweichungen (“Lücken”) identifiziert und Maßnahmen zur Verbesserung dieser definiert werden. Anhand des Audits werden gemeinsam mit Ihnen Projektziele festgelegt und passend dazu ein Zeitplan erstellt. Um die Ziele möglichst schnell und wirksam zu erreichen, erfolgt eine Priorisierung von Aufgaben und Zuständigkeiten.

In dieser Hinsicht profitieren Sie von unseren langjährig erfahrenen Beratern. Wir sind stets an einer engen Zusammenarbeit mit Ihnen und Ihren Mitarbeitern interessiert. In diesem Zusammenhang ist es uns auch möglich, Schulungen und Seminare in Ihrem Unternehmen durchzuführen. Nach erfolgtem Projekt prüfen wir die Wirksamkeit der getroffenen Maßnahmen und passen diese gegebenenfalls an, um alle Anforderungen der ISO 27701 zu erfüllen und Sie zur Zertifizierungsreife zu führen.

Projektablauf ISO 27701

1. Potenzialanalyse

Jedes Beratungsprojekt startet zunächst mit der Potentialanalyse. Somit müssen wir nicht in die Glaskugel schauen, um den schlussendlichen Projektumfang abzuschätzen, sondern können den tatsächlichen Arbeitsaufwand für die Herstellung der Zertifizierungsreife bestimmen. Ziel ist es mit der Potentialanalyse mögliche Lücken und Schwachstellen aufzudecken, um den konkreten Umfang der Umsetzung abschätzen zu können. Somit erhalten Sie bei Anfrage eines Projektes zunächst lediglich ein Angebot über die Potentialanalyse und Dokumentation der Ergebnisse. Ein Angebot mit einem konkreten Projektumfang erhalten Sie erst nach Durchführung der ersten beiden Schritte „Potentialanalyse“ & „Dokumentation“. Die Ist-/Potential oder auch GAP-Analyse erfolgt mittels eines Systemaudits. Je nach Unternehmensgröße und bisherigen Bearbeitungsstand der Normvorgaben kann dieses Audit zwischen 1 – 3 Tage Zeit benötigen.

2. Dokumentation

Im Nachgang des Audits (GAP-Analyse) werden die Ergebnisse in einem Auditbericht festgehalten und in einen Maßnahmenplan transformiert. Dieser Maßnahmenplan beinhaltet die konkreten Handlungsempfehlungen und Notwendigkeiten, um die Zertifizierungsreife zu erreichen. Nach der Identifikation der vorhandenen Lücken und der notwendigen Maßnahmen, legen wir gemeinsam fest in welchem Umfang unsere Beratungsleistung zum Tragen kommt.

3. Umsetzung

Mit dem dritten Schritt beginnt die tatsächliche Abarbeitung der Lücken und Maßnahmen zur Erreichung der Zertifizierungsreife. Zunächst wird in einem Projektplan festgelegt, welche Arbeitspakete in welcher Reihenfolge und mit welcher Priorität abgearbeitet werden müssen. In diesem Zusammenhang werden ebenfalls die Verantwortlichkeiten und Ansprechpartner festgelegt. Die Umsetzung kann dabei die Erarbeitung und Optimierung von Prozessen, Arbeitsanweisungen und Dokumentationen beinhalten. Gleichzeitig ist es uns ein Anliegen nicht nur die für die Norm notwendigen Prozesse und Dokumente zu erstellen und anzupassen, sondern auch bei den Mitarbeitenden ein nachhaltiges Bewusstsein für die Anforderungen und deren Vorteile zu schaffen. Dies gelingt zum einen durch konkrete Gespräche, das Einbeziehen in die Erarbeitung und zum anderen durch Workshops und Mitarbeiterschulungen.

4. Wirksamkeitsprüfung

Nach der Umsetzung der konkreten Maßnahmen erfolgt mittels eines erneuten Audits die Überprüfung der Wirksamkeit der getroffenen Maßnahmen. Dies bietet die Möglichkeit noch kleinere Ungereimtheiten und Probleme zu identifizieren und zu beheben. Darüber hinaus können mittels weiterer Bewusstseins-Schulungen die Kompetenzen und Methoden vertieft werden, um Ihnen eine nachhaltige Implementierung zu ermöglichen.

5. KVP (Kontinuierlicher Verbesserungsprozess)

Ziel des KVP ist es eine Erhöhung der Effektivität und Effizienz in allen Bereichen zu ermöglichen. Gerne stehen wir auch nach Erreichung der Zertifizierungsreife für Sie als Ansprechpartner zur Verfügung, um Sie bei Ihrem Prozess der kontinuierlichen Verbesserung zu unterstützen und zu begleiten. Mittels regelmäßiger Audits können wir Ihr Managementsystem auf Aktualität und mögliche auftretende Probleme überprüfen. Als Schulungsanbieter mit unserer qdc® Akademie liefern wir Ihren Mitarbeitenden aktuellen Input aus Theorie und Praxis genauso wie neue methodische Ansätze zur Optimierung Ihrer Prozesse und Arbeitsabläufe. Somit sind Ihre Mitarbeiter auf dem aktuellen Stand und Ihre Firma auf dem richtigen Kurs.

ISO 27701 Beratung anfragen