Artikel 32 EU-DSGVO: Sicherheit der Verarbeitung

1.Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

  1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

  1. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.
  2. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
  3. Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

 Quelle: EU-DSGVO Mai.2018

DIN, EN, ISO, IEC – verbessern Ihr Image

Was welche Norm aussagt, wo die Unterschiede liegen und wozu Normen und Zertifizierungen wichtig sind.

Was steckt hinter den Abkürzungen:

DIN = Standards in Deutschland

EN = Standards in Europa

ISO = Internationale Standards (Mechanik)

IEC = Internationale Standards (Elektrik und Elektrotechnik)

 

DIN, EN, ISO und IEC: Wo liegen die Unterschiede?

DIN: Standards in Deutschland

Jedes europäische Land hat seine eigenen Normen. In Deutschland ist das die DIN-Norm. DIN steht für „Deutsches Institut für Normung“, das die Kriterien für die jeweilige Norm festlegt. Ausgewiesene Experten auf ihren jeweiligen Gebieten entwickeln, ausgehend vom aktuellsten Stand der Technik und unter wirtschaftlichen Gesichtspunkten, Regeln, die dann idealerweise für alle Produkte und Lösungen gelten.

EN-Norm: Normen auf europäischer Ebene

In der EU wird heute weitgehend eine Vereinheitlichung der nationalen Normen angestrebt. Normen, die auf europäischer Ebene verabschiedet werden, werden mit dem Kürzel EN gekennzeichnet. Dabei erhalten auch nationale Normen, wie eben die DIN-Norm, einen entsprechenden Zusatz. Eine DIN-EN-Norm bedeutet somit, dass eine ursprünglich deutsche Norm zukünftig als europäische auftritt. Inhaltlich macht das meist keinen Unterschied. Eine EN-Norm wird von einem aus drei europäischen Komitees bestehendem Gremium verabschiedet.

Wann eine EN-Norm in den Normungskatalog aufgenommen wird, entscheidet sich in einem standardisierten Prozess. Vorschlagen kann die Norm prinzipiell jedes Mitglied einer europäischen Normungsorganisation. Die EN-Norm hat sich neben der DIN-Norm in Deutschland bei einem Großteil der bestehenden Normen durchgesetzt. Zahlreiche Normen tragen daher die Bezeichnung DIN-EN, oftmals sind sie zusätzlich ISO-genormt.

ISO und IEC: Internationale Standards

ISO steht für „International Organisation for Standardization“ und bezeichnet folglich internationale Normen. Die Organisation wurde im Jahr 1946 gegründet, um Industriestandards aufzustellen und technische Regeln zu vereinfachen und international vergleichbar zu machen. ISO-Normen sind vor allem mechanischer Natur. Auch ISO-Normen können für sich allein stehen oder als ursprünglich europäische oder nationale Norm mit dem ISO-Zusatz geführt werden. Das bedeutet letztendlich nur, dass zum Beispiel eine deutsche DIN-Norm internationalen Anforderungen entspricht.

Für Themen, die mit Elektrik und Elektronik zu tun haben, haben sich die IEC-Normen der „International Electrotechnical Commission“ durchgesetzt.

DIN, EN, ISO, IEC — verbessern Ihr Image !

 

Grundsätzlich die Normen sind nicht verpflichtend, aber sie können angewendet werden. Es sei denn, sie sind vertraglich oder gesetzlich festgelegt. Sie versprechen Verbindlichkeit und schaffen ein Vertrauen beim Kunden was gerade zu Wünschen bei einem Unternehmer liegt.

Heute gibt es mehr als 24.000 DIN-Normen. Neue Normen werden heute direkt auf europäischer Ebene verabschiedet.

Warum sollten Sie einen der Standards festlegen?

Schließlich kostet etwa eine Zertifizierung z.B. mit der DIN-EN-ISO 9001, die ein standardisiertes Qualitätsmanagement belegt, auch Geld: interne Kosten für die Implementierung des Systems im Unternehmen sowie externe Stakeholder Analyse, das Audit durch externen Auditor und, oder Ausbildung einer Mitarbeiter und etc. für kleine und mittlere Unternehmen zum finanziellen Last kommen können.

Die Einhaltung der ISO wird von einem Lead — Auditor der Zertifizierungsstelle zertifiziert. Dieses Zertifikat ist drei Jahre gültig, anschließend findet ein Re- Zertifizierungsaudit statt.

Allerdings versprechen Normen auch enorme Vorteile:

  1. Normen steigern Qualität und Sicherheit!
    Unternehmen, die sie anwenden oder mitgestalten, profitieren von reibungslosen und sicheren Arbeitsabläufen, Steuerung von internen und auch externen Prozessen, hohen Qualitätsstandards. All das spart letztendlich Geld und hilft dabei, dass Kunden Vertrauen gewinnen – was wiederum die Einnahmen erhöht.
  2. Internationale Normen: eine Sprache sprechen
    Wenn Ihr Geschäftspartner Normen nutzt, werden seine Betriebsabläufe transparent und Sie können einschätzen, ob er und seine Lieferanten etwa Umweltauflagen oder Sicherheitsstandards einhalten.
  3. Innovationstreiber und Fortschritt
    Neue Entwicklungen am Markt, ob Produkt oder Dienstleistung zu zertifizieren, kann dabei helfen, sie nachhaltig und langfristig zu positionieren. Die Normung verrät etwa die Kompatibilität zu anderen Lösungen und Produkten und steht für einheitliche Messmethoden.
  4. Dies schafft angesichts ständiger Verbesserungen wiederum Vertrauen — und das ist entscheidend für den Markterfolg.

 

Quelle*: Wikipedia.

Vorwort  DIN EN ISO/27001:2017-06. Beuth Verlag GmbH.

2.01.2021

 

Die Norm ISO 8601

ISO 8601 definiert ein international anerkanntes Format für die Darstellung von Daten. 🌐

Dies wird in Stunden-Minuten-Sekunden ausgedrückt.

Für große Zeiten wird es in der Form Jahr-Monat-Tag verwendet. Das Grundformat dieser Darstellung ermöglicht es Ihnen, Zahlen nacheinander zu schreiben. Aus Gründen der Übersichtlichkeit können sie jedoch auch durch Trennzeichen getrennt werden. Im ISO 8601-Basisformat ist das Datum «07. September 2019 «in der folgenden Notation:» 20190907 «oder in abgegrenztem Format ausgedrückt:» 2019-09-07 «. Die Zeit ist in Stunden, Minuten und Sekunden unterteilt. Darstellung in ISO 8601 — 12:07:22. Bei dieser Darstellung von ISO-Datenformaten (sogenannte ISO-Datumsformate) entfällt — zumindest bei elektronischen Informationen — das länderspezifische Schreiben. Auf diese Weise werden Informationen standardisiert, wodurch Irritationen reduziert werden.

ISO 8601 ist auch als EN 28601 (Bezeichnung für EU-Normen) bekannt. Es wird auch verwendet, um nicht nur die Zeit anzuzeigen, sondern auch um Zeiträume anzuzeigen. In solchen Fällen wird das Startdatum oder die Startzeit durch den Buchstaben „P“ vom nachfolgenden Zeitraum getrennt. Der Zeitraum, der am 6. September 2019 um 20:00 Uhr beginnt und gemäß der ISO-Norm einen Monat, 5 Tage und 3 Stunden dauert, ist wie folgt: 2019-09-06T20P1M5T3H.

Alle Informationen wie Uhrzeit, Datum oder Zeitintervalle werden in einer bestimmten Reihenfolge gemäß der ISO-Norm dargestellt: Sie beginnen mit der größten Einheit und folgen dann immer der nächst kleineren Einheit. Diese Bezeichnung wird auch als «fallende Rechtschreibung» bezeichnet. Dies entspricht der natürlichen mathematischen Wertigkeit von Zahlen. Daher werden große Einheiten immer vor kleineren geschrieben. Dies ist vorteilhaft, da die lexikografische und chronologische Sortierung von Datum und Uhrzeit das gleiche Ergebnis liefert.

21.12.2020

ISO/IEC 27001 Audit Stufe 2, Tag 3

In der Regel werden Kontrollpunkte aus der Norm ISO / IEC 27001 A 17 &  A18 untersucht

Was ist der Zweck von ISO 27001: 2013 Anhang A.18.1? 🥇
Anhang A.18.1 befasst sich mit der Einhaltung von Gesetzen und Verträgen. Ziel ist es, Verstöße gegen gesetzliche, gesetzliche, behördliche oder vertragliche Verpflichtungen im Zusammenhang mit der Informationssicherheit sowie gegen Sicherheitsanforderungen zu vermeiden. Dies ist ein wichtiger Bestandteil eines Informationssicherheits-Managementsystems (ISMS), insbesondere wenn Sie eine ISO 27001-Zertifizierung erhalten möchten. Schauen wir uns nun diese Anforderungen und ihre Bedeutung genauer an.

Rechte an geistigem Eigentum A.18.1.2  🥈

beschreibt, wie geeignete Verfahren die Einhaltung gesetzlicher, behördlicher und vertraglicher Anforderungen in Bezug auf Rechte an geistigem Eigentum und die Verwendung proprietärer Softwareprodukte sicherstellen. Einfach ausgedrückt, muss eine Organisation geeignete Verfahren einrichten, um sicherzustellen, dass alle rechtlichen, behördlichen oder vertraglichen Anforderungen in Bezug auf die Verwendung von Softwareprodukten oder Rechten an geistigem Eigentum erfüllt werden.

Zwei Aspekte der Verwaltung von Rechten des geistigen Eigentums müssen berücksichtigt werden. Schutz der Rechte des geistigen Eigentums der Organisation; und Verhinderung von Missbrauch oder Verletzung der geistigen Eigentumsrechte anderer Personen. Ersteres wird auch in A.13.24 für Geheimhaltungs- und Vertraulichkeitsvereinbarungen behandelt, in denen wir Unternehmen auch einladen, ihre umfassenderen Rahmenverträge mit Dritten sowie innerhalb von A.15, insbesondere für die Lieferkette, zu verwalten. In Bezug auf das Personal gelten in A7.1.2 Beschäftigungsbedingungen auch Rechte des geistigen Eigentums…

 

30.11.2020

Ahlers-Consultant

ISO/IEC 27001 — ist wirklich gut für Ihr Unternehmen (?/!)

Lassen Wir uns über ISO 27001🔑 sprechen ↗️

ISO / IEC 27001 ist eine internationale Informationssicherheitsnorm, die gemeinsam von der Internationalen Organisation für Normung und der Internationalen Elektrotechnischen Kommission entwickelt wurde. Der Standard enthält Informationssicherheitsanforderungen für die Erstellung, Entwicklung und Wartung eines Informationssicherheits-Managementsystems (ISMS).
Viele erfahrene Prüfer prognostizieren den Weg und das große Wachstum dieser Norm als ISO 9001.

Warum gewinnt sie allmählich an Dynamik? 🥇
Es ist für Niemanden ein Geheimnis, dass die Welt der Technologie sich schneller bewegt und entwickelt, als wir vielleicht denken. Vor ein paar Jahre gab es überhaupt kein Instagram. Der Informationsfluss fließt aus allen möglichen Quellen —  Internet, Zeitungen, Fernsehen, Rundfunk

Die Fragen sind:

Wie kann ein Informationsverlust sich  auf das Unternehmen auswirken? ☣️

Oder Verlust von KUNDENINFORMATIONEN und Ihren Bedürfnissen? ⚠️

Insbesondere die Weitergabe personenbezogener Daten z. B. von Patienten? ⛔

Wie stark wirken die Versicherungsprämien auf ein Unternehmen aus, wenn das Unternehmen kein ISMS hat ?!

HIER STELLEN WIR FRAGEN ZU:

  1. FÜR DIE QUALITÄT UNSERER PROZESSE….
  2. SCHADENSHÖHE
  3. ERWARTUNGEN UND ANFORDERUNGEN DER KUNDEN
  4. STAKHOLDER ERWARTUNGEN

Ahlers- Consultant

Cyber Attacken ?

Ist Ihr Unternehmen von Cyber-Attacken abgesichert?  

Haben Sie sicherlich Phishing-Mails erhalten?

Phishing-Mails — Gefälschte E-Mails sind ein hohes Sicherheitsrisiko.

Dabei wird versucht, Ihnen als Empfänger wichtige Daten zu stehlen. Auf den ersten Blick sehen diese E-Mails häufig täuschend echt aus. Genau das wird vielen Nutzern zum Verhängnis, wenn sie gutgläubig ihre sensiblen Daten angeben. So kann das Öffnen von Phishing-Mails nicht nur dazu führen, dass Sie Ihren Computer mit einem Virus infizieren, sondern es kann Sie auch richtig Geld kosten.

Stellen Sie immer die Frage, bevor Sie auf den Link klicken!

Warum meine z. B. Bank, oder Ebay, Amazon und etc. plötzlich mich anschreibt?!

— Sie haben alle meine persönliche und für Ihre Arbeit notwendige Daten parat!

Bitte rufen Sie den Absender an, wenn Ihnen diejenige Firma bekannt ist oder wenn nicht, recherchieren Sie einfach im Internet!

 

Wie ISO /IEC 27001 kann Sie dabei unterstützen, bzw. Ihre Mitarbeiter?

Wir haben aus unseren Praxiserfahrung festgestellt, dass mindestens zweimalige Schulung in der Phase der Implementierung mit übergreifenden Beispielen hilft den Mitarbeiter die Informationssicherheitsrisiken im Alltag zu erkennen und gerecht zu handeln!

Während der Implementierung Phase – gestalten wir mehrmalige ISMS Schulungen für Mitarbeiter. Diese Schulungen basieren sich auf praktische Anwendung von Kenntnissen Risikovermeidung und richtige, angemessene Handlung in Ihrem Unternehmen.  

03.12.2020

Ahlers-Consultant

Auf dieser Webseite werden lediglich Cookies verwendet, um Ihnen eine bessere Browser-Erfahrung bieten zu können. Weitere Informationen finden Sie in der Datenschutzerklärung.
Zustimmen
Ablehnen
Datenschutz-Bestimmungen