SICHERHEITSKONZEPT: PRÜFE WER SICH EWIG BINDET

Datenschutzkonzept - Sicherheitskonzept - Datenschutz - DSGVO - Compliance - ISO 27001

Prü­fe wer, sich ewig bin­det, ob sich das Herz zum Her­zen fin­det. Der Wahn ist kurz, die Reu‘ ist lang.

Schon Fried­rich Schil­ler kann­te die Metho­den einer über­leg­ten und struk­tu­rier­ten Vor­gangs­wei­se, bevor man eine Ver­bin­dung ein­geht. Exakt die­se Über­le­gung ist auch zu tref­fen bevor ein neu­es IT-Sys­tem Ver­bin­dun­gen eingeht.

Ein schrift­lich defi­nier­tes Sicher­heits­kon­zept (SiKo) ist die Fort­füh­rung der struk­tu­rier­ten Vor­gangs­wei­se eines ISMS.

Das Ziel eine SiKo ist es Risi­ken und Gefähr­dun­gen zu ermit­teln und dafür ange­mes­se­ne Sicher­heits­maß­nah­men fest­zu­le­gen. Die Rest­ri­si­ken wer­den ermit­telt und durch die Ver­ant­wort­li­chen akzep­tie­ren zu lassen.

Ein schrift­lich defi­nier­tes Sicher­heits­kon­zept ist die Fort­füh­rung der struk­tu­rier­ten Vor­gangs­wei­se eines ISMS.

Im IT-Umfeld bedeu­tet ein SiKo vor der Inbe­trieb­nah­me jedes neu­en Sys­tems die am Sys­tem ver­ar­bei­te­ten Daten zu klas­si­fi­zie­ren und dann die erfor­der­li­chen Maß­nah­men zu setz­ten. Der Umfang des Kon­zep­tes hängt stark von der Kri­ti­k­ali­tät der ver­ar­bei­te­ten Daten und der Kom­ple­xi­tät der ein­ge­setz­ten Sys­te­me ab. Oft defi­niert sich das SiKo direkt aus den Min­dest­si­cher­heits­maß­nah­men für IT-Sys­te­me, die ggfls. durch höher­wer­ti­ge Sicher­heits­maß­nah­men erwei­tert wer­den müssen.

Ein Sicher­heits­kon­zept besteht in der Mini­mal­form aus:

  • Bestand­auf­nah­me und Struk­tur­ana­ly­se der ver­ar­bei­te­ten Daten und betei­lig­ten Systeme
  • Durch­füh­rung einer Schutzbedarfsfeststellung
  • Erfas­sung der Gefähr­dun­gen und Bewer­tung derselben
  • Defi­ni­ti­on der erfor­der­li­chen Maßnahmen
  • Bewer­tung und Doku­men­ta­ti­on der Restrisiken

Das Ziel des SiKo ist es, die ver­ar­bei­te­ten Daten zu schüt­zen und die Nach­voll­zieh­bar­keit der imple­men­tie­ren tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zu gewähr­leis­ten. Wäh­rend der gesam­ten Nut­zungs­dau­er eines Sys­tems soll das benö­tig­te Sicher­heits­ni­vea auf­recht­erhal­ten werden.

SEC4YOU unter­stützt ger­ne bei der Erstel­lung von Sicher­heits­kon­zep­ten, hier­bei wer­den alle Punk­te der Mini­mal­form struk­tu­riert erar­bei­tet und dokumentiert.


Das Daten­schutz­kon­zept im Rah­men der DSGVO

Ein Daten­schutz­kon­zept (DSK) – auch wenn es „Schutz“ Kon­zept lau­tet — wird die ver­ar­bei­te­ten Daten nicht schüt­zen, son­dern zielt dar­auf ab die Rech­te der betrof­fe­nen Per­so­nen schüt­zen. Im Zuge der DSGVO nimmt die Bedeu­tung der Erstel­lung DSK zu, da nur so gewähr­leis­tet wer­den kann, dass die not­wen­di­gen Daten­schutz­maß­nah­men in allen Berei­chen defi­niert und wirk­sam sind.

Die Ver­ant­wor­tung für die Erstel­lung eines DSK liegt beim Ser­vice­ver­ant­wort­li­chen und nicht beim Daten­schutz­be­auf­trag­ten, da der Daten­schutz­be­auf­trag­te in der Regel nur die Struk­tu­ren schaf­fen muss, nicht aber alle Anwen­dun­gen direkt verantwortet.

In einem DSK wer­den fol­gen­de Vor­ga­ben festgelegt:

  • Defi­ni­ti­on der Vor­ga­ben für die Erhe­bung, Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten
  • Defi­ni­ti­on der Maß­nah­men, um pri­mär den Miss­brauch von per­so­nen­be­zo­ge­nen Daten zu ver­hin­dert und die Ein­hal­tung der Anfor­de­run­gen des Daten­schutz­ge­setz­tes sicherzustellen

Das DSK einer Anwen­dung defi­niert den Soll-Zustand der im Zuge der DSGVO zu doku­men­tie­ren ist.

Das Ziel des DSK ist es die Anfor­de­run­gen des Daten­schutz­ge­set­zes zu erfül­len, indem die Per­sön­lich­keits­rech­te der betrof­fe­nen Per­so­nen geschützt wer­den und die hier­für erfor­der­li­chen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zu beschreiben.

Bei der Umset­zung von DSK nutzt SEC4YOU die im Sicher­heits­kon­zept erar­bei­te­ten Maß­nah­men und erwei­tert die­se um spe­zi­fi­sche daten­schutz­recht­li­che Maßnahmen.

IHRE VORTEILE

  • Ein Sicher­heits­kon­zept ist eine struk­tu­rier­te Vor­gangs­wei­se vor der Ein­füh­rung eines neu­es Services

  • Ermit­telt die Risi­ken und Gefah­ren und legt dafür ange­mes­se­ne Sicher­heits­maß­nah­men fest

  • Defi­ni­ti­on des benö­tig­ten Sicher­heits­ni­veau über die gesam­te Nutzungsdauer

  • Ein Daten­schutz­kon­zept soll die Rech­te der betrof­fe­nen Per­so­nen schüt­zen, nicht die ver­ar­bei­te­ten Daten

Fra­gen zu Sicher­heits­kon­zep­ten und Datenschutzkonzepten?
Sie möch­ten mit einem Exper­ten sprechen?