verinice. Risikokatalog inkl. Datenschutzmodul 3 (ISO/ISM)

1.356,60 €

Preise inkl. gesetzlicher MwSt.

Netto Preis: 1.140,00 €

Versandkostenfreie Lieferung!

Als Download verfügbar

Laufzeit:

  • DSM3-DE-ISM.1
Das  verinice. Risikokatalog inkl.  Datenschutzmodul 3  unterstützt das... mehr
Produktinformationen "verinice. Risikokatalog inkl. Datenschutzmodul 3 (ISO/ISM)"

Das verinice. Risikokatalog inkl. Datenschutzmodul 3 unterstützt das Verzeichnis der Verarbeitungstätigkeiten mit einem Datenschutz-Beispielkatalog, vereinfacht mit den technischen und organisatorischen Maßnahmen (TOMs) eine Orientierung an den Datenschutzzielen aus Art. 32 EU-DSGVO und ermöglicht die EU-weite rechtskonforme Umsetzung der Auftragsverarbeitung. 

Die vorliegende Version 3 wurde erweitert um die Datenschutz-Folgenabschätzung (DSFA) und die Datenschutz-Risikoanalyse inklusive der Berücksichtigung von datenschutzrelevanten Szenarien. Die Erstellung des Verzeichnis der Verarbeitungstätigkeiten, die Verwaltung der technischen und organisatorischen Maßnahmen (TOM) orientiert an den Datenschutzzielen aus Art. 32 EU-DSGVO sowie die EU-weite rechtskonforme Dokumentation der Auftragsverarbeitungen werden komplettiert durch einen Datenschutz-Kurzcheck. Zur optimalen Orientierung sind zudem die Gesetzestexte von DS-GVO inklusive Erwägungsgründen und BDSG (neu) im Datenschutzmodul hinterlegt und miteinander verknüpft.

Das Datenschutzmodul 3 ISM ist verwendbar ab verinice 1.19 oder höher zum Einsatz in der ISM-Perspektive. Zur Verwendung der technischen und organisatorischen Maßnahmen (TOM) sind Inhalte aus den Originalstandards DIN ISO/IEC 27002:2017 und ISO/IEC 27005:2011, lizenziert über den Beuth Verlag, enthalten. Die hier vorliegende ISM-Variante ist geeignet für Anwender, die Synergieeffekte mit der Informationssicherheit nutzen wollen und/oder die ISO-Controls als technische und organisatorische Maßnahmen (TOM) einsetzen. Die Datenschutz-Risikoanalyse folgt dem semiquantitativen Ansatz der Risikoanalyse nach ISO 27005 in der ISM Perspektive in verinice.

Anwender des modernisierten IT-Grundschutz verwenden die IT-Grundschutzvariante des Datenschutzmoduls 3 und nutzen das IT-Grundschutz-Kompendium zur Abbildung der TOM. Die Datenschutz-Risikoanalyse verwendet dort die qualitative Risikoanalyse nach BSI-Standard 200-3.

Der Lieferumfang des Pakets beinhaltet:

  • eine kurze Modul-Beschreibung
  • eine Installationsanleitung
  • eine Anleitung zum Umstieg vom bisherigen Datenschutzmodul 2
  • eine in verinice zu importierende Datei einer Beispielfirma
  • das Verzeichnis der Verarbeitungstätigkeiten der Beispielfirma
  • AVV-Controls zur Abbildung der Auftragsverarbeitung
  • einen Datenschutz-Kurzcheck
  • Reportvorlagen
  • Beispiel-Reports
  • Meldeformular Datenschutzvorfall

Funktionen

DS-GVO-Kurzcheck [NEU]

Neueinsteiger erhalten mit den Controls des „Datenschutz-Kurzcheck“ einen ersten Überblick über den Umsetzungsstand der Anforderungen nach DS-GVO.

Gesetzliche Anforderungen [NEU]

Zur besseren Orientierung innerhalb der gesetzlichen Anforderungen sind die Inhalte aus BDSG (neu), DS-GVO sowie die Erwägunsgründe enthalten und miteinander verknüpft.

Verzeichnis der Verarbeitungstätigkeiten

Bei der Erfassung von Verarbeitungstätigkeiten als zentralem Element können erforderliche Informationen zu z.B. Daten oder Datenkategorien, Betroffenen, Rechtsgrundlagen, datenschutzrelevanten Assets, Personen oder Zugriffsberechtigten dokumentiert werden. Das Datenschutzmodul 3 ISM enthält eine Beispielorganisation mit einer exemplarischen Verarbeitungstätigkeit, die kopiert und unternehmensspezifische angepasst werden kann. Die in der Verarbeitungstätigkeit angewendete Hardware, Anwendungssoftware und datenschutzrelevante Personen bzw. Personengruppen können im View Verknüpfungen eingesehen und angepasst werden.

Technische und organisatorische Maßnahmen

Als technische und organisatorische Maßnahmen (TOM) können Controls nach der Norm ISO 27001 direkt mit jeder Verarbeitungstätigkeit verknüpft werden. Sämtliche Controls sind den Datenschutzzielen aus Art. 32 DS-GVO zugeordnet, so dass sich die Nutzer schnell zurechtfinden. Für den Fall, dass Sie verinice bereits für die Implementierung eines ISMS im Einsatz haben, können die bereits vorhandenen abgehandelten oder umgesetzten Informationssicherheitscontrols oder benutzerdefinierte Maßnahmen einer oder mehreren Verarbeitungstätigkeit(en) als technische und organisatorische Maßnahmen zugewiesen werden. Diese Schnittstelle zwischen Datenschutz und Informationssicherheitsmanagement erfolgt innerhalb von verinice und stellt für die Nutzer einen beachtlichen Mehrwert dar – es werden Kosten gespart, Dokumentationsaufwand wird verringert.

Datenschutzfolgenabschätzung [NEU]

Für jede Verarbeitungstätigkeit kann die Erfordernis einer Datenschutzfolgenabschätzung (DSFA) geprüft und bewertet werden. Neben der Schwellwertanalyse kann die Stellungnahme des Datenschutzbeauftragten detailliert dokumentiert werden. Das Ergebnis kann mittels Reportvorlage Datenschutzfolgenabschätzung für die Verarbeitungstätigkeit ausgegeben werden.

Datenschutz-Risikoanalyse [NEU]

Ist eine Datenschutzfolgenabschätzung erforderlich, kann die Datenschutz-Risikoanalyse für eine Verarbeitungstätigkeit durchgeführt werden. Das Datenschutzmodul 3 ISM bringt dazu neu datenschutzrelevante Szenarien mit, die mit Assets verknüpft werden können. Die Datenschutz-Risikobewertung und die Datenschutz-Risikobehandlung können analog der Vorgehensweise nach ISO 27005 durchgeführt und die Ergebnisse mittels Reportvorlagen ausgegeben werden.

Auftragsverarbeitung

Das Datenschutzmodul hilft die Auftragsverarbeitung im Unternehmen EU-weit rechtskonform umzusetzen. Neben einer Übersicht über die Auftragnehmer und der jeweils übernommenen Dienstleistungen können auch Auftraggeber, mit denen ein Auftragsverarbeitungsverhältnis nach Art. 28 DS-GVO besteht, dokumentiert und auf Knopfdruck ausgeben werden. Selbstverständlich können die entsprechenden Verträge direkt im Datenschutzmodul mit eingebunden werden. Mit Hilfe der AVV-Controls bietet SerNet darüber hinaus einen Maßnahmenkatalog, der bei der Überprüfung und Dokumentation der Auftragsverarbeitung unterstützt. Die ADV-Controls können darüber hinaus für Audits von Dienstleistern als Erst- oder Folgekontrollen im Rahmen eines Auftragsverarbeitungsverhältnisses verwendet werden.

Reportvorlagen

Das Datenschutzmodul 3 ISM beinhaltet Reportvorlagen für alle im Rahmen der DS-GVO erforderlichen Dokumentationen:

  • Verzeichnis von Verarbeitungstätigkeiten
  • Datenschutzfolgenabschätzung (DSFA) [NEU]
  • Datenschutz-Risikobewertung [NEU]
  • Datenschutz-Risikobehandlung [NEU]

Darüber hinaus bietet das Datenschutzmodul eine Reihe an zusätzlichen Übersichtsreports. Diese Reportvorlagen geben zu einem bestimmten datenschutzrelevanten Themenbereich jeweils die notwendigen Informationen aus dem gesamten Datenschutzmodell aus:

  • Umsetzungsübersicht von technischen und organisatorischen Maßnahmen
  • Übersicht von verwendeten Assets für Verarbeitungstätigkeiten
  • Übersicht über Löschfristen für Verarbeitungstätigkeiten
  • Übersicht über Verarbeitungsgruppe und Verarbeitungstätigkeit
  • Übersicht über Datenschutzvorfälle
  • Übersicht über Fachkundenachweise
  • Übersicht über Zuständigkeiten in der Verarbeitung
  • Auflistung Datentransfer
  • Übersicht über interne und externe Anfragen
  • Übersicht der Auftragnehmer mit zugehöriger Verarbeitungstätigkeit
  • Auflistung der Auftragsverarbeitungen mit zugehörigen Auftraggebern

Als tabellarische Ausgaben können diese Informationen z.B. auch in Tabellenkalkulationen weiter bearbeitet, aggregiert oder in selbst erstellten Diagrammen präsentiert werden.

Erstnutzung in verinice / Neuinstallation

Das Datenschutzmodul wird als ZIP-komprimiertes verinice-Archiv (.vna) bereitgestellt, das Sie an einen Ort Ihrer Wahl entpacken können. Im entpackten Ordner finden Sie

  • ein Verzeichnis mit der Beispielorganisation (.vna)
  • ein Verzeichnis mit den Reportvorlagen (.rptdesign) und Beispielreports
  • eine Anleitung zu Installation und Update sowie eine Produktbeschreibung im PDF-Format

Import der Beispielorganisation

Wechseln Sie über Ansicht >Zeige Perspektive… >Information Security Management in die Information Security Management Perspektive. Wählen Sie anschließend über "Importiere Organisation aus Datei…​" im Dialog XML Import durch Klick auf den Button Datei auswählen…​ die Datei Datenschutzmodul-3.0.lic.vna aus und bestätigen Ihre Auswahl mit OK. Nach dem ersten Importvorgang befindet sich der IT-Verbund unterhalb eines zusätzlich angelegten Wurzelobjekts Importierte Objekte.

Um Probleme auszuschließen, sollte die importierte Beispielorganisation per rechtem Mausklick mit den Funktionen Ausschneiden und Einfügen auf die höchste Ebene verschoben werden. Dabei muss vor dem Einfügen sichergestellt werden, dass kein weiteres Objekt selektiert (markiert) ist. Sie können ein selektiertes Objekte mit Strg-Mausklick abwählen.

Einfügen von Report-Vorlagen:

Für den verinice Client in der Einzelplatzversion können Sie die Reportvorlagen in einem speziell dafür konfigurierbaren Verzeichnis ablegen. Das Verzeichnis konfigurieren Sie über das Menü Bearbeiten >Einstellungen >Reports >Report Templates. Die Standard-Einstellung ist das Verzeichnis /verinice/report_templates_local des Heimatverzeichnisses. Wird eine Reportvorlage im Dateiformat .rptdesign in diesem Verzeichnis abgelegt, wird sie im Reportdialog aufgelistet. Die dort zur Auswahl angebotenen Ausgabeformate und der vorgeschlagene Name können über eine speziell für diese Vorlage vorhandene Datei (.properties) konfiguriert werden. Diese Datei wird, sofern nicht vorhanden, beim ersten Öffnen des Reportdialogs angelegt und kann anschließend in einem beliebigen Texteditor an die eigenen Anforderungen angepasst werden.

Umstieg vom Datenschutzmodul 2 zum Datenschutzmodul 3

Für Anwender mit Risikomanagement nach Risikokatalog

Das Datenschutzmodul 3 ISM stellt Anwendern der Vorgängerversion zusätzlich Funktionen zur Verfügung, die wie folgt eingebunden werden können:

  • Importieren Sie die Beispielorganisation (.vna) und übernehmen Sie die folgenden Inhalte in den/die auf Basis des Datenschutzmoduls Version 2 erstellten Scope(s):
  • Schneiden Sie die Anforderungs-Gruppe Gesetzliche Anforderungen aus dem DSM 3 aus fügen Sie diese in die auf Basis des DSM 2 erstellten Scope ein.
  • Schneiden Sie die Control-Gruppe Datenschutz Kurzcheck aus dem DSM 3 aus und fügens Sie dies in die auf Basis des DSM 2 erstellten Scope ein.
  • Schneiden Sie die Szenarien-Gruppe Datenschutzrelevante Szenarien aus dem DSM 3 aus und fügen Sie diese in die auf Basis des DSM 2 erstellten Scope ein.
  • Sofern erwünscht bzw. erforderlich. schneiden Sie verknüpfte Assets aus der Asset-Gruppe Informationen aus und fügen diese in die auf Basis des DSM 2 erstellten Scope ein.
  • Erweitern Sie die Schutzbedarfsdefinitionen um die Datenschutzaspekte (siehe Vorschlag aus dem DSM 3).
  • Tauschen Sie die vorhandenen Reportvorlagen gegen die neuen Versionen des DSM 3 aus und fügen Sie die neuen Reportvorlagen hinzu.

Anwender, die in Ihrem Scope bereits ein Risikomanagement mit dem Risikokatalog implementiert haben, können die zusätzlichen Funktionen nun verwenden.

Für Anwender ohne Risikomanagement

Anwender, die bisher noch kein Risikomanagement durchgeführt haben, müssen zusätzlich die folgenden Schritte ausführen:

  • Für Szenarien, Bedrohungen und Schwachstellen jeweils die Gruppen mit grundlegenden, spezifischen und technischen Elementen aus dem DSM 3 ausschneiden und in den eigenen Scope einfügen.
  • Falls erforderlich verknüpfte Assets nachführen oder die Verknüpfung in das Datenschutzmodul 3 löschen.
  • Die Verknüpfungen zu Controls im Datenschutzmodul 3 löschen und auf die bereits verwendeten Controls anwenden.

Deutscher obligatorischer Urheberrechtsvermerk des Beuth Verlags:

"Die in dieser Software wiedergegebenen technischen Regeln (DIN-, EN-, ISO- und ISO/IEC-Normen) sind urheberrechtlich geschützt und für die Nutzung im Rahmen dieser Software von Beuth Verlag GmbH, Berlin, lizenziert. Jegliche Vervielfältigung der technischen Regeln außerhalb dieser Software, z.B. durch Ausdruck oder Speicherung, ist untersagt. Die technischen Regeln können bei der Beuth Verlag GmbH (www.beuth.de) bezogen werden."

Weitere Informationen

Diskussion im verinice.FORUM: https://forum.verinice.de/

Herausgeber

Beuth Verlag GmbH
Saatwinkler Damm 42/43
13627 Berlin

SerNet Service Network GmbH
Bahnhofsallee 1b
37081 Göttingen

Urheberrechte

© 2022
DIN Deutsches Institut für Normung e. V.
Saatwinkler Damm 42/43
13627 Berlin

© 2023
SerNet Service Network GmbH
Bahnhofsallee 1b
37081 Göttingen

Weiterführende Links zu "verinice. Risikokatalog inkl. Datenschutzmodul 3 (ISO/ISM)"