Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Übersicht über ISO/IEC 27701:2019
ISO/IEC 27701:2019 ergänzt die weit verbreiteten Standards ISO/IEC 27001 und ISO/IEC 27002 für das Informationssicherheitsmanagement. Es gibt Anforderungen an und bietet Anleitungen für ein Datenschutzinformationsverwaltungssystem (PIMS). Die Implementierung eines PIMS ist eine hilfreiche Ergänzung zur Compliance für Organisationen, die sich auf ISO/IEC 27001 verlassen. Der Standard schafft einen starken Integrationspunkt für die Ausrichtung von Sicherheits- und Datenschutzkontrollen. ISO/IEC 27701 bietet einen Rahmen für die Verwaltung personenbezogener Daten, die sowohl Datenverantwortliche als auch Datenverarbeiter verwenden können. Dieses Framework ist eine wichtige Unterscheidung für die Einhaltung der Datenschutz-Grundverordnung (DSGVO).
Darüber hinaus erfordert jedes ISO/IEC 27701-Audit, dass der organization die anwendbaren Gesetze und Vorschriften in seinen Kriterien für das Audit deklarieren muss. Diese Anforderung bedeutet, dass der Standard vielen Anforderungen der DSGVO oder anderer Gesetze zugeordnet werden kann. Nach der Zuordnung implementieren Datenschutzexperten die Betriebskontrollen nach ISO/IEC 27701. Ein interner oder externer Dritter, der für die Bewertung akkreditiert ist, bewertet die Einhaltung der Anforderungen des organization und stellt ein Zertifikat zu diesem Zweck aus. Dieses universelle Framework ermöglicht Es Organisationen, die Einhaltung neuer gesetzlicher Anforderungen effizient zu implementieren. Microsoft unterstützt das Open-Sourced Data Protection Mapping Project , um ein gemeinsames Verständnis der Beziehung zwischen ISO/IEC 27701 und verschiedenen Datenschutzbestimmungen zu entwickeln.
In-Scope-Cloudplattformen und -Dienste von Microsoft
Das Azure ISO/IEC 27701-Zertifikat zeigt Microsoft Onlinedienste im Umfang an:
- Azure (ausführliche Informationen finden Sie im angebot Azure ISO/IEC 27701).
- Dynamics 365 (ausführliche Informationen finden Sie im angebot Azure ISO/IEC 27701).
- Microsoft Defender XDR (nicht im Bereich für Azure Government)
- Microsoft Bing for Commerce (nicht im Bereich für Azure Government)
- Microsoft Defender for Cloud Apps
- Microsoft Defender für Endpunkt
- Microsoft Graph
- Microsoft Intune
- Microsoft Managed Desktop (nicht im Bereich für Azure Government)
- Microsoft Stream
- Microsoft-Bedrohungsexperten (nicht im Bereich für Azure Government)
- Office 365, Office 365 U.S. Government und Office 365 U.S. Government Defense
- Power Apps
- Power Automate
- Power BI
- Power BI Embedded
- Power Virtual Agents (nicht im Bereich für Azure Government)
- Universelles Drucken (nicht im Bereich für Azure Government)
- Windows 365
Azure, Dynamics 365 und ISO 27701
Weitere Informationen zu Azure, Dynamics 365 und anderen Onlinedienste Compliance finden Sie im Angebot Azure ISO 27701:2019.
Office 365 und ISO 27001
Office 365 Umgebungen
Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.
In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:
- Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
- Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
- Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
- Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
- Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.
Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.
Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.
Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:
| Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
|---|---|
| Kommerziell | Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Kunden-Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender für Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Kundenportal, Office 365 Microservices (einschließlich, aber nicht beschränkt auf Kaizala, ObjectStore, Sway, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, Project Online, Dienstverschlüsselung mit Microsoft Purview Customer Key, SharePoint Online, Skype for Business, Stream |
| GCC | Microsoft Entra ID, Azure Communications Service, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream |
| GCC High | Microsoft Entra ID, Azure Communications Service, Exchange Online, Formulare, Microsoft Defender für Office 365, Microsoft Teams Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business |
| DoD | Microsoft Entra ID, Azure Communications Service, Exchange Online, Formulare, Microsoft Defender für Office 365, Microsoft Teams Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business |
Office 365-Audits, -Berichte und -Zertifikate
Cloud- und kommerzielle technische Supportdienste von Microsoft durchlaufen im Rahmen des Zertifizierungsprozesses für ISO/IEC 27701 jährlich ein Audit.
Häufig gestellte Fragen
Wie hilft ISO/IEC 27701 bei der Entwicklung von regulatorischen Anforderungen?
ISO/IEC 27701 enthält einen Anhang, der die Betriebskontrollen der Norm enthält. Der Anhang ordnet diese Kontrollen den relevanten Anforderungen der DSGVO für Verantwortliche und Auftragsverarbeiter zu. Diese Zuordnung ist nur ein Beispiel dafür, wie Organisationen Datenschutzbestimmungen in Bezug auf das ISO-Framework implementieren können. Wenn zusätzliche Zuordnungen mit anderen Vorschriften verfügbar und validiert werden, können Organisationen die operativen Kontrollen aus dem Standard direkt von der behördlichen Überprüfung in die Implementierung übertragen. Dieses universelle Framework ermöglicht Es Organisationen, die relevanten gesetzlichen Anforderungen zuverlässig umzusetzen.
Wie hilft ISO/IEC 27701 bei Auditkosten?
Mit zunehmenden Datenschutzbestimmungen in verschiedenen Rechtsordnungen in Kraft treten, steigt der Druck, Nachweise für die Einhaltung der Vorschriften vorzulegen. Allerdings werden die Kosten für die unterschiedlichen gesetzlichen Zertifizierungen unerschwinglich, wenn für jede Vorschrift eine einzelne Prüfung durchgeführt werden muss. Durch die Gliederung einer Reihe von universellen Betriebskontrollen beschreibt ISO/IEC 27701 auch ein universelles Compliance-Framework für die Überprüfung und ggf. Zertifizierung für mehrere regulatorische Anforderungen.
Es ist wichtig zu erkennen, dass die Einrichtung einer offiziellen DSGVO-Zertifizierung die Genehmigung durch die europäischen Regulierungsbehörden erfordert. Obwohl die Übereinstimmung zwischen ISO/IEC 27701 und DER DSGVO offensichtlich ist, sollte eine ISO/IEC 27701-Zertifizierung erst als Nachweis für die Einhaltung der DSGVO oder die offizielle DSGVO-Zertifizierung betrachtet werden, bis behördliche Entscheidungen abgeschlossen sind.
Wie hilft ISO/IEC 27701 bei kommerziellen Vereinbarungen, die personenbezogene Informationen betreffen?
Handelsvereinbarungen, die die Weitergabe personenbezogener Daten beinhalten, können die Zertifizierung der Compliance rechtfertigen. Moderne Organisationen führen komplexe Datenübertragungen mit einem tiefen Netzwerk von Geschäftspartnern ein, einschließlich Partnerorganisationen oder Cocontrollern, Prozessoren wie Cloudanbietern und Unterauftragsverarbeitern wie z. B. Anbietern, die dieselben Prozessoren unterstützen. Die Nichteinhaltung von Vorschriften in einem Teil dieses Netzwerks kann zu kaskadierenden Complianceproblemen in der gesamten Lieferkette führen. An dieser Stelle kann eine Prüfung der Einhaltung der Vorschriften über die Zusicherung hinaus wertvoll sein, die durch die Vertragsbedingungen zwischen diesen Unternehmen gegeben ist. Da die globale Wirtschaft vorschreibt, dass die meisten dieser Organisationen auf der ganzen Welt verteilt sind, ist es praktisch, einen internationalen Standard von ISO zu verwenden, um die Compliance im gesamten Netzwerk zu verwalten.
Diese Abhängigkeit von der Konformität erhöht die Bedeutung der Zertifizierung nach dem Standard. Obwohl nicht alle Unternehmen und Organisationen eine solche Zertifizierung erwerben müssen, profitieren die meisten von Partnern und Anbietern, die dies tun, insbesondere wenn sensible oder große Datenmengen verarbeitet werden.
In welchem Zusammenhang steht ISO/IEC 27701 zu ISO/IEC 27001?
ISO/IEC 27701 basiert auf ISO/IEC 27001, einem der am weitesten verbreiteten internationalen Standards für das Informationssicherheitsmanagement. Wenn Ihr organization bereits mit ISO/IEC 27001 vertraut ist, ist es logisch und effizienter, die neuen Datenschutzkontrollen von ISO/IEC 27701 zu integrieren. Dieser Ansatz bedeutet, dass die Implementierung und Prüfung beider Standards kostengünstiger und einfacher zu erreichen ist. Wichtige Punkte von ISO/IEC 27701 und ISO/IEC 27001:
- ISO/IEC 27001 ist einer der am häufigsten verwendeten ISO-Standards auf der Welt und viele Unternehmen sind bereits dafür zertifiziert.
- ISO/IEC 27701 enthält neue controller- und prozessorspezifische Kontrollen, die dazu beitragen, die Lücke zwischen Datenschutz und Sicherheit zu schließen. Es bietet einen Integrationspunkt zwischen zwei verschiedenen Funktionen in Organisationen.
- Datenschutz hängt von der Sicherheit ab. Ebenso hängt ISO/IEC 27701 von ISO/IEC 27001 für das Sicherheitsmanagement ab. Die Zertifizierung für ISO/IEC 27701 muss als Erweiterung einer ISO/IEC 27001-Zertifizierung erworben werden und kann nicht unabhängig voneinander erworben werden.
Was sollten Ihre organization mit ISO/IEC 27701 tun?
Unabhängig von der Größe Ihres organization und unabhängig davon, ob es sich um einen Verantwortlichen oder einen Auftragsverarbeiter handelt, sollten Sie die Zertifizierung in Erwägung ziehen, entweder für Ihre eigene organization oder indem Sie sie von Lieferanten oder Lieferanten basierend auf Ihren geschäftlichen Anforderungen anfordern. Dies gilt insbesondere für Verarbeiter, Unterauftragsverarbeiter und Cocontroller, die sensible oder große Mengen personenbezogener Daten verarbeiten. Bewerten Sie die Anforderungen Ihres Unternehmens, um zu ermitteln, ob die Zertifizierung für Ihre eigenen Produkte und Dienstleistungen geeignet ist.
Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos
Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Portal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Risikominderung zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.
Ressourcen
- ISO/IEC 27701:2019 (erhältlich)
- ISO/IEC 27701– Einführungsvideo
- Microsoft Common Controls Hub-Complianceframework
- Datenzugriffsrichtlinien für Cloud- und technische Dienste von Microsoft Enterprise
- Microsoft Online Services-Nutzungsbedingungen
- Microsoft Government Cloud
- Compliance im Microsoft Trust Center