Database Reference
In-Depth Information
Tab. 3.1
Schutzstandards vs. Risikobasiertes Datenschutzmanagement
Schutzstandards (z.B. IT-
Risikobasiert
Grundschutz-Kataloge des BSI)
Übergeordnetes
Managementsystems
Ziel des
Erreichung eines
Sicherheitsniveaus unabhängig
vom Unternehmen
Erreichung individuell
festgelegter Datenschutzziele
Vorgehensweise
Erreichung der vorgegebenen
Sicherheitsziele durch
Umsetzung standardmäßig
festgelegter Schutzmaßnahmen
Identifizierung der
erforderlichen Maßnahmen
über Risikoanalyse und
Umsetzung nach
Risikoabwägung
Vorteile
-
Auditierbarkeit
-
Unternehmensspezifität
-
Einheitlichkeit
-
Effizienz
-
Vergleichbarkeit des
Sicherheitsniveaus
-
Auditierbarkeit
unverhältnismäßig an das System angepasst werden sollte, sondern sich das System an den
Besonderheiten des Unternehmens auszurichten hat. Geeignete Standards berücksichtigen
dies, indem sie bewusst offen formuliert sind.
Generell muss im Bereich Datenschutzmanagement zwischen einer an Risiken oder an
Schutzstandards orientierten Vorgehensweise differenziert werden. Die Gemeinsamkeiten
und Unterschiede bei der Vorgehensweise zeigt Tab.
3.1
.
Ein
an Schutzstandards orientiertes
Managementsystem stellt in seinen Anforderun-
gen bereits konkrete technische Maßnahmen auf, die zur erfolgreichen Implementierung
umgesetzt werden müssen. Folglich kommt dem Verantwortlichen die Aufgabe zu, diese
einzelnen Maßnahmen möglichst alle umzusetzen. Ein Beispiel für einen solchen technik-
basierten Ansatz stellt ein Informationssicherheitsmanagementsystem (ISMS) auf Basis
des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
dar. ZudembestehtdafüraucheinergänzenderBausteinDatenschutz[
2
]. DadieserAnsatz
jedoch wenig Praxistauglichkeit für die Anforderungen der Wirtschaftlichkeit zeigt, kann
er allenfalls vollständigkeitshalber Betrachtung finden.
Demgegenüber legen
risikobasierte
Ansätze den Schwerpunkt auf die Identifizierung
von tatsächlich erforderlichen Maßnahmen über ein entsprechendes Risikomanagement
und gewähren damit dem Unternehmen einen größeren Ermessensspielraum in der Ge-
staltung und Umsetzung der Sicherheitsmaßnahmen. Einen solchen Ansatz etwa verfolgt
fürdenBereichderInformationssicherheitdieinternationaleISO-NormfüreinISMS(ISO
27001).
Faktisch enthalten bekannte Managementsystemstandards häufig Elemente aus beiden
Grundformen. So fordert der beschriebene IT-Grundschutz ebenfalls ein umfangreiches
Risikomanagement ein und im Zertifizierungs-Audit wird hauptsächlich die Umsetzung
der risikobehafteten Maßnahmen geprüft. Und auch die Maßnahmen aus den Grund-
Search WWH ::
Custom Search