DIN EN ISO/IEC 29151 beinhaltet Maßnahmenziele, Maßnahmen und Hilfestellungen für die Implementierung von Maßnahmen, um die von einer Risiko- und Auswirkungsbewertung identifizierten Anforderungen bezüglich des Schutzes von persönlich identifizierbaren Informationen (PII) zu erfüllen.

Insbesondere spezifiziert diese Norm Hilfestellungen, die auf ISO/IEC 27002 beruhen und die Anforderungen zur Verarbeitung von personenbezogenen Daten berücksichtigen, welche im Kontext der Informationssicherheitsrisikoumgebung anwendbar sein können.

Inhaltsverzeichnis

Einleitung

1 Anwendungsbereich

2 Normative Verweisungen

3 Begriffe und Abkürzungen

3.1 Begriffe

• leitender Datenschutzbeauftragter, en: chief privacy officer (CPO)
• Anonymisierungsprozess

Vermerk: vgl. DIN EN ISO/IEC 27002, DIN EN ISO/IEC 27018, DIN EN ISO/IEC 29100, DIN EN ISO/IEC 29184

3.2 Abkürzungen

4 Übersicht

4.1 Ziele des Schutzes von pbD
4.2 Anforderung an den Schutz von pbD
4.3 Kontrollen
4.4 Auswahl von Kontrollen
4.5 Entwicklung organisationsspezifischer Richtlinien
4.6 Erwägungen zur Lebensdauer
4.7 Aufbau dieser Spezifikation

5 Sicherheitsleitlinien

5.1 Managementvorgaben zur Informationssicherheit

5.1.1 Einleitung
5.1.2 Informationssicherheitsleitlinien
5.1.3 Überprüfung der Informationssicherheitsleitlinien

6 Organisation der Informationssicherheit

6.1 Interne Organisation

6.1.1 Einleitung
6.1.2 Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit
6.1.3 Aufgabentrennung
6.1.4 Kontakt zu Behörden
6.1.5 Kontakt mit Interessengruppen
6.1.6 Informationssicherheit im Projektmanagement

6.2 Mobilgeräte und Telearbeit

6.2.1 Einleitung
6.2.2 Leitlinie zu Mobilgeräten
6.2.3 Telearbeit

7 Personalsicherheit

7.1 Vor der Anstellung

7.1.1 Einleitung
7.1.2 Abschirmung
7.1.3 Arbeitsvertragsklauseln

7.2 Während der Anstellung

7.2.1 Einleitung
7.2.2 Verantwortung der obersten Leitung
7.2.3 Sensibilisierung, Aus- und Weiterbildung zur Informationssicherheit
7.2.4 Disziplinarverfahren

7.3 Beendigung und Wechsel der Anstellung

7.3.1 Einleitung
7.3.2 Zuständigkeiten bei Beendigung oder Wechsel der Anstellung

8 Management von organisationseigenen Werten

8.1 Verantwortung für organisationseigene Werte

8.1.1 Einleitung
8.1.2 Inventar der organisationseigenen Werte
8.1.3 Eigentum von organisationseigenen Werten
8.1.4 Zulässiger Gebrauch von organisationseigenen Werten
8.1.5 Rückgabe von organisationseigenen Werten

8.2 Klassifizierung von Informationen

8.2.1 Einleitung
8.2.2 Klassifizierung von Informationen
8.2.3 Kennzeichnung von Informationen
8.2.4 Handhabung von organisationseigenen Werten

8.3 Handhabung von Speicher- und Aufzeichnungsmedien

8.3.1 Einleitung
8.3.2 Verwaltung von Wechselmedien
8.3.3 Entsorgung von Medien
8.3.4 Transport physischer Medien

9 Zugangskontrolle

9.1 Geschäftliche Anforderungen in Bezug auf die Zugriffskontrolle

9.1.1 Einleitung
9.1.2 Leitlinie zur Zugangskontrolle
9.1.3 Zugang zu Netzwerken und Netzwerkdiensten

9.2 Benutzerverwaltung

9.2.1 Einleitung
9.2.2 An- und Abmeldung von Benutzern
9.2.3 Zugangsbereitstellung für Benutzer
9.2.4 Verwaltung von Sonderzugangsrechten
9.2.5 Verwaltung geheimer Authentifizierungsdaten von Benutzern
9.2.6 Überprüfung von Benutzerberechtigungen
9.2.7 Entziehung oder Anpassung von Zugangsrechten

9.3 Benutzerverantwortung

9.3.1 Einleitung
9.3.2 Verwendung geheimer Authentifizierungsdaten von Benutzern

9.4 Kontrolle des Zugangs zu Systemen und Anwendungen

9.4.1 Einleitung
9.4.2 Beschränkung des Zugangs zu Informationen
9.4.3 Sichere Anmeldeverfahren
9.4.4 Passwortmanagementsystem
9.4.5 Verwendung von Systemwerkzeugen
9.4.6 Kontrolle des Zugriffs auf Software-Quellcode

10 Kryptographie

10.1 Kryptographische Maßnahmen

10.1.1 Einleitung
10.1.2 Leitlinie zur Nutzung von kryptographischen Maßnahmen
10.1.3 Schlüssel-Management

11 Schutz vor physischem Zugang und Umwelteinflüssen

11.1 Sicherheitsbereiche

11.1.1 Einleitung
11.1.2 Physische Sicherheitszonen
11.1.3 Physische Zugangskontrollen
11.1.4 Sicherung von Büros, sonstigen Räumen und Einrichtungen
11.1.5 Schutz vor externen und umweltbedingten Bedrohungen
11.1.6 Arbeit in Sicherheitsbereichen
11.1.7 Anlieferungs- und Ladezonen

11.2 Ausrüstung

11.2.1 Einleitung
11.2.2 Platzierung und Schutz von Betriebsmitteln
11.2.3 Versorgungseinrichtungen
11.2.4 Sicherheit der Verkabelung
11.2.5 Anlageninstandhaltung
11.2.6 Entfernung von Werten
11.2.7 Sicherheit von Betriebsmitteln und Werten außerhalb der Betriebsgebäude
11.2.8 Sichere Entsorgung oder Weiterverwendung von Betriebsmitteln
11.2.9 Unbeaufsichtigte Endgeräte
11.2.10Der Grundsatz des aufgeräumten Schreibtischs und des leeren Bildschirms

12 Betriebssicherheit

12.1 Betriebsverfahren und Zuständigkeiten

12.1.1 Einleitung
12.1.2 Dokumentierte Betriebsverfahren
12.1.3 Änderungsmanagement
12.1.4 Kapazitätsmanagement
12.1.5 Trennung von Entwicklungs-, Test- und Betriebsumgebungen

12.2 Schutz vor Malware

12.2.1 Einleitung
12.2.2 Kontrollmaßnahmen gegen Malware

12.3 Backup

12.3.1 Einleitung
12.3.2 Datensicherungen

12.4 Protokollierung und Überwachung

12.4.1 Einleitung
12.4.2 Ereignisprotokollierung
12.4.3 Schutz von Protokollinformationen
12.4.4 Administrator- und Anwenderprotokolle
12.4.5 Synchronisierung der Uhren

12.5 Kontrolle von Betriebssoftware

12.5.1 Einleitung
12.5.2 Installation von Software auf betrieblichen Systemen

12.6 Technisches Schwachstellenmanagement

12.6.1 Einleitung
12.6.2 Management technischer Schwachstellen
12.6.3 Beschränkungen der Software-Installation

12.7 Auswirkungen von Audits auf Informationssysteme

12.7.1 Einleitung
12.7.2 Kontrollen für Audits von Informationssystemen

13 Sicherheit in der Kommunikation

13.1 Netzwerksicherheitsmanagement

13.1.1 Einleitung
13.1.2 Netzwerkkontrollen
13.1.3 Sicherheit von Netzwerkdiensten
13.1.4 Trennung in Netzwerken

13.2 Informationsübertragung

13.2.1 Einleitung
13.2.2 Leitlinien und Verfahren für die Informationsübertragung
13.2.3 Vereinbarungen zum Informationstransfer
13.2.4 Elektronische Nachrichtenübermittlung
13.2.5 Vertraulichkeits- oder Geheimhaltungsvereinbarungen

14 Anschaffung, Entwicklung und Instandhaltung von Systemen

14.1 Sicherheitsanforderungen für Informationssysteme

14.1.1 Einleitung
14.1.2 Analyse und Spezifikation von Sicherheitsanforderungen
14.1.3 Sicherung von Anwendungsdiensten in öffentlichen Netzen
14.1.4 Schutz von Transaktionen im Zusammenhang mit Anwendungsdiensten

14.2 Sicherheit in Entwicklungs- und Unterstützungsprozessen

14.2.1 Einleitung
14.2.2 Leitlinie für sichere Entwicklung
14.2.3 Änderungskontrollverfahren
14.2.4 Technische Prüfung von Anwendungen nach Wechseln der Betriebsplattform
14.2.5 Beschränkung von Änderungen an Software-Paketen
14.2.6 Leitlinien zur sicheren Systementwicklung
14.2.7 Sichere Entwicklungsumgebung
14.2.8 Ausgelagerte Entwicklung
14.2.9 Systemsicherheitsprüfungen
14.2.10 Systemabnahmeprüfung

14.3 Prüfdaten

14.3.1 Einleitung
14.3.2 Schutz von Prüfdaten

15 Lieferantenbeziehungen

15.1 Informationssicherheit bei Lieferantenbeziehungen

15.1.1 Einleitung
15.1.2 Informationssicherheitsleitlinie für Lieferantenbeziehungen
15.1.3 Sicherheitsthemen in Lieferantenverträgen
15.1.4 Lieferkette für Informations- und Kommunikationstechnologie

15.2 Management der Dienstleistungserbringung durch Lieferanten

15.2.1 Einleitung
15.2.2 Überwachung und Prüfung von Lieferantendienstleistungen
15.2.3 Management von Änderungen an Lieferantendienstleistungen

16 Management von Informationssicherheitsvorfällen

16.1 Management von Informationssicherheitsvorfällen und Verbesserungen

16.1.1 Einleitung
16.1.2 Zuständigkeiten und Verfahren
16.1.3 Meldung von Informationssicherheitsereignissen
16.1.4 Meldung von Sicherheitsschwachstellen
16.1.5 Bewertung von und Entscheidung über Informationssicherheitsereignisse
16.1.6 Reaktion auf Informationssicherheitsvorfälle
16.1.7 Erkenntnisse aus Informationssicherheitsvorfällen
16.1.8 Sammeln von Beweismaterial

17 Informationssicherheitsaspekte des Betriebskontinuitätsmanagements

17.1 Aufrechterhaltung der Informationssicherheit

17.1.1 Einleitung
17.1.2 Planung der Aufrechterhaltung der Informationssicherheit
17.1.3 Implementierung von Verfahren zur Aufrechterhaltung der Informationssicherheit
17.1.4 Überprüfung, Überarbeitung und Auswertung von Maßnahmen zur Aufrechterhaltung der Informationssicherheit

17.2 Redundanzen

17.2.1 Einleitung
17.2.2 Verfügbarkeit von informationsverarbeitenden Einrichtungen

18 Compliance

18.1 Einhaltung gesetzlicher und vertraglicher Anforderungen

18.1.1 Einleitung
18.1.2 Feststellung anwendbarer Gesetze und vertraglicher Anforderungen
18.1.3 Geistige Eigentumsrechte
18.1.4 Schutz von Aufzeichnungen
18.1.5 Privatsphäre und Schutz von personenbezogenen Informationen
18.1.6 Regulierung kryptographischer Kontrollmaßnahmen

18.2 Informationssicherheitsprüfungen

18.2.1 Einleitung
18.2.2 Unabhängige Prüfung der Informationssicherheit
18.2.3 Einhaltung von Sicherheitsleitlinien und -normen
18.2.4 Technische Konformitätsprüfung

Anhang A (normativ) - Erweiterter Kontrollsatz für den Datenschutz (Dieser Anhang ist integraler Bestandteil dieser Empfehlung | Internationalen Norm.)

A.1 Allgemeines

A.2 Allgemeine Leitlinien für die Nutzung und den Schutz von pbD

A.3 Einwilligung und Wahlfreiheit

A.3.1 Einwilligung
A.3.2 Wahl

A.4 Zulässigkeit des Zwecks und Spezifikation

A.4.1 Zulässigkeit des Zwecks
A.4.2 Spezifikation des Zwecks

A.5 Beschränkung der Erhebung

A.6 Datensparsamkeit

A.7 Beschränkung bei der Nutzung, Aufbewahrung und Offenlegung

A.7.1 Beschränkung bei der Nutzung, Aufbewahrung und Offenlegung
A.7.2 Sicheres Löschen temporärer Dateien
A.7.3 Mitteilung über die Offenlegung von pbD
A.7.4 Aufzeichnung der Offenlegung von pbD
A.7.5 Offenlegung der Verarbeitung von pbD durch Subunternehmer

A.8 Genauigkeit und Qualität

A.9 Offenheit, Transparenz und Benachrichtigung
A.9.1 Datenschutzmitteilung
A.9.2 Offenheit und Transparenz

A.10 Beteiligung und Zugang der betroffenen Person

A.10.1 Zugang der betroffenen Person
A.10.2 Abhilfe und Beteiligung
A.10.3 Behandlung von Beschwerden

A.11 Verantwortlichkeit

A.11.1 Lenkung
A.11.2 Datenschutz-Folgenabschätzung
A.11.3 Datenschutzanforderung für Auftragnehmer und Auftragsdatenverarbeiter
A.11.4 Überwachung und Prüfung des Datenschutzes
A.11.5 Datenschutzaufklärung und -schulung
A.11.6 Berichterstattung zum Datenschutz

A.12 Informationssicherheit

A.13 Einhaltung der Datenschutzpflichten

A.13.1 Compliance
A.13.2 Beschränkungen der grenzüberschreitenden Datenübertragung in einigen Ländern

Literaturhinweise