Was ist ein ISMS?
Ein ISMS ist ein Management-System für Informationssicherheit. Es bildet ab,
- welche technischen und organisatorischen IT-Sicherheitsmaßnahmen notwendig sind,
- wie sie sich umsetzen lassen und
- wie Verantwortliche ihren Erfolg kontrollieren und überwachen.
Aus Sicht des Datenschutzes ist wichtig: Personenbezogene Daten haben darin keine Sonderstellung. Ein ISMS behandelt sie wie andere zu schützende Daten.
Wie stehen Datenschutz und Informationssicherheit zueinander?
Datenschutz und IT-Sicherheit gehören zusammen, so sagen Datenschützer. IT-Sicherheitsbeauftragte sehen das häufig genauso. Denn sie erachten den Datenschutz persönlich als wichtig.
Genau betrachtet käme die Informationssicherheit jedoch ohne den Datenschutz aus. Im Gegenteil: Manchmal erscheint der Datenschutz für die IT-Sicherheit sogar als hinderlich.
ISMS und Datenschutz im IT-Grundschutz des BSI
Der IT-Grundschutz, den das BSI entwickelt hat, versteht sich als Basis der Informationssicherheit. Er hilft, die erforderlichen IT-Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Daher ist das ISMS ein eigener Baustein im IT-Grundschutz-Kompendium des BSI.
Was bei ISMS zu beachten ist, beschreibt unter anderem der BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS).
Ebenfalls ein Baustein im IT-Grundschutz ist der BSI-Baustein „Datenschutz“. Er basiert auf dem Datenschutzrecht und ist nicht Teil der internationalen Norm ISO/IEC 27001 (Information Security Management). Er stellt die Verbindung her zwischen den Anforderungen des Standard-Datenschutzmodells und dem IT-Grundschutz.
ISMS setzt keinen Fokus auf personenbezogene Daten!
Für Datenschutzbeauftragte jedoch ist es entscheidend, sich mit der Sicherheit der Verarbeitung personenbezogener Daten zu befassen. Das zeigt ganz deutlich die Datenschutz-Grundverordnung (Artikel 32 DSGVO).
Das Instrument ISMS hilft generell, zu schützende Daten – gleich ob personenbezogen oder nicht – abzusichern. Damit dient es jedoch zugleich der Sicherheit personenbezogener Daten.
Aufgaben von DSB und ISB
Die Aufgabenteilung zwischen den Datenschutzbeauftragten (DSB) und den Informationssicherheitsbeauftragten (ISB) sieht der IT-Grundschutz so:
- Grundsätzlich sind die DSB zuständig dafür, die Einhaltung der Anforderungen der DSGVO zu überwachen.
- Die ISB sind aber bei strategischen Entscheidungen stets einzubeziehen. Außerdem sind die ISB dafür zuständig, dass alle Sicherheitsanforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden.