verinice. Risikokatalog inkl. Datenschutzmodul 3 (ISO/ISM)
1.356,60 €
Preise inkl. MwSt
Netto Preis: 1.140,00 €
Versandkostenfrei
Das verinice. Datenschutzmodul Version 3.4 beinhaltet wie die bisherige Version die Datenschutz-Folgenabschätzung (DSFA) und die Datenschutz-Risikoanalyse inklusive der Berücksichtigung von datenschutzrelevanten Szenarien. Die Erstellung des Verzeichnis der Verarbeitungstätigkeiten, die Verwaltung der technischen und organisatorischen Maßnahmen (TOM) orientiert an den Datenschutzzielen aus Art. 32 EU-DSGVO sowie die EU-weite rechtskonforme Dokumentation der Auftragsverarbeitungen werden komplettiert durch einen Datenschutz-Kurzcheck. Zur optimalen Orientierung sind zudem die Gesetzestexte von DS-GVO inklusive Erwägungsgründen und BDSG (neu) im Datenschutzmodul hinterlegt und miteinander verknüpft.
Das neue verinice. Datenschutzmodul in der Version 3.4 basiert auf dem neuen Risikokatalog (ISO 27001 / NIS 2). Dieser wurde erweitert um Anforderungen für wichtige Einrichtungen der NIS 2, die mit passenden Anforderungen der DIN EN ISO/IEC 27001:2024 verknüpft wurden. Anhand des Verknüpfungtyps in verinice ist es ersichtlich, ob DIN EN ISO/IEC 27001:2024 die NIS-2-Anforderungen umfassen oder ob die NIS 2 über DIN EN ISO/IEC 27001:2024 Anforderungen hinausgehen.
Dieses Mapping kann Dank der Kooperation mit dem VDMA als Arbeitsgrundlage in verinice verwendet und individuell angepasst oder erweitert werden.
Für die Umsetzung der Anforderungen in verinice, müssen Sie innerhalb der ISM-Perspektive arbeiten und können daher auch die Standardfunktionen von verinice nutzen. Bitte beachten Sie, dass Sie für das konkrete Arbeiten mit diesem Modul ggf. auch das verinice-Handbuch, die Originalnormen der DIN EN ISO/IEC 27001:2024, DIN EN ISO/IEC 27002:2024 und ISO/IEC 27005:2022 sowie die NIS-2-Richtlinie und DS-GVO benötigen.
Einsatzzweck
Das Datenschutzmodul 3.4 ISM ist verwendbar ab verinice 1.27 oder höher zum Einsatz in der ISM-Perspektive. Zur Verwendung der technischen und organisatorischen Maßnahmen (TOM) sind Inhalte aus den Originalstandards DIN ISO/IEC 27001:2024, DIN ISO/IEC 27002:2024 und ISO/IEC 27005:2024, lizenziert über den Beuth Verlag, enthalten. Die hier vorliegende ISM-Variante ist geeignet für Anwender, die Synergieeffekte mit der Informationssicherheit nutzen wollen und/oder die ISO-Controls als technische und organisatorische Maßnahmen (TOM) einsetzen. Die Datenschutz-Risikoanalyse folgt dem semiquantitativen Ansatz der Risikoanalyse nach ISO 27005 in der ISM Perspektive in verinice.
Anwender des modernisierten IT-Grundschutz verwenden die IT-Grundschutz-Variante des Datenschutzmoduls 3 und nutzen das IT-Grundschutz-Kompendium zur Abbildung der TOM. Die Datenschutz-Risikoanalyse verwendet dort die qualitative Risikoanalyse nach BSI-Standard 200-3. |
Funktionen
DS-GVO-Kurzcheck
Neueinsteiger erhalten mit den Controls des „Datenschutz-Kurzcheck“ einen ersten Überblick über den Umsetzungsstand der Anforderungen nach DS-GVO.
Gesetzliche Anforderungen
Zur besseren Orientierung innerhalb der gesetzlichen Anforderungen sind die Inhalte aus BDSG (neu), DS-GVO sowie die Erwägunsgründe enthalten und miteinander verknüpft.
Verzeichnis der Verarbeitungstätigkeiten
Bei der Erfassung von Verarbeitungstätigkeiten als zentralem Element können erforderliche Informationen zu z.B. Daten oder Datenkategorien, Betroffenen, Rechtsgrundlagen, datenschutzrelevanten Assets, Personen oder Zugriffsberechtigten dokumentiert werden. Das Datenschutzmodul 3.4 ISM enthält eine Beispielorganisation mit einer exemplarischen Verarbeitungstätigkeit, die kopiert und unternehmensspezifische angepasst werden kann. Die in der Verarbeitungstätigkeit angewendete Hardware, Anwendungssoftware und datenschutzrelevante Personen bzw. Personengruppen können im View Verknüpfungen eingesehen und angepasst werden.
Technische und organisatorische Maßnahmen
Als technische und organisatorische Maßnahmen (TOM) können Controls nach der Norm ISO 27001 direkt mit jeder Verarbeitungstätigkeit verknüpft werden. Sämtliche Controls sind den Datenschutzzielen aus Art. 32 DS-GVO zugeordnet, so dass sich die Nutzer schnell zurechtfinden. Für den Fall, dass Sie verinice bereits für die Implementierung eines ISMS im Einsatz haben, können die bereits vorhandenen abgehandelten oder umgesetzten Informationssicherheitscontrols oder benutzerdefinierte Maßnahmen einer oder mehreren Verarbeitungstätigkeit(en) als technische und organisatorische Maßnahmen zugewiesen werden. Diese Schnittstelle zwischen Datenschutz und Informationssicherheitsmanagement erfolgt innerhalb von verinice und stellt für die Nutzer einen beachtlichen Mehrwert dar – es werden Kosten gespart, Dokumentationsaufwand wird verringert.
Datenschutzfolgenabschätzung
Für jede Verarbeitungstätigkeit kann die Erfordernis einer Datenschutzfolgenabschätzung (DSFA) geprüft und bewertet werden. Neben der Schwellwertanalyse kann die Stellungnahme des Datenschutzbeauftragten detailliert dokumentiert werden. Das Ergebnis kann mittels Reportvorlage Datenschutzfolgenabschätzung für die Verarbeitungstätigkeit ausgegeben werden.
Datenschutz-Risikoanalyse
Ist eine Datenschutzfolgenabschätzung erforderlich, kann die Datenschutz-Risikoanalyse für eine Verarbeitungstätigkeit durchgeführt werden. Das Datenschutzmodul 3.4 ISM bringt dazu neu datenschutzrelevante Szenarien mit, die mit Assets verknüpft werden können. Die Datenschutz-Risikobewertung und die Datenschutz-Risikobehandlung können analog der Vorgehensweise nach ISO 27005 durchgeführt und die Ergebnisse mittels Reportvorlagen ausgegeben werden.
Auftragsverarbeitung
Das Datenschutzmodul hilft die Auftragsverarbeitung im Unternehmen EU-weit rechtskonform umzusetzen. Neben einer Übersicht über die Auftragnehmer und der jeweils übernommenen Dienstleistungen können auch Auftraggeber, mit denen ein Auftragsverarbeitungsverhältnis nach Art. 28 DS-GVO besteht, dokumentiert und auf Knopfdruck ausgeben werden. Selbstverständlich können die entsprechenden Verträge direkt im Datenschutzmodul mit eingebunden werden. Mit Hilfe der AVV-Controls bietet SerNet darüber hinaus einen Maßnahmenkatalog, der bei der Überprüfung und Dokumentation der Auftragsverarbeitung unterstützt. Die ADV-Controls können darüber hinaus für Audits von Dienstleistern als Erst- oder Folgekontrollen im Rahmen eines Auftragsverarbeitungsverhältnisses verwendet werden.
Reportvorlagen
Das Datenschutzmodul 3.4 ISM beinhaltet Reportvorlagen für alle im Rahmen der DS-GVO erforderlichen Dokumentationen:
-
Verzeichnis von Verarbeitungstätigkeiten
-
Datenschutzfolgenabschätzung (DSFA)
-
Datenschutz-Risikobewertung
-
Datenschutz-Risikobehandlung
Darüber hinaus bietet das Datenschutzmodul eine Reihe an zusätzlichen Übersichtsreports. Diese Reportvorlagen geben zu einem bestimmten datenschutzrelevanten Themenbereich jeweils die notwendigen Informationen aus dem gesamten Datenschutzmodell aus:
-
Umsetzungsübersicht von technischen und organisatorischen Maßnahmen
-
Übersicht von verwendeten Assets für Verarbeitungstätigkeiten
-
Übersicht über Löschfristen für Verarbeitungstätigkeiten
-
Übersicht über Verarbeitungsgruppe und Verarbeitungstätigkeit
-
Übersicht über Datenschutzvorfälle
-
Meldeformular Datenschutzvorfall
-
Übersicht über Fachkundenachweise
-
Übersicht über Zuständigkeiten in der Verarbeitung
-
Auflistung Datentransfer
-
Übersicht über interne und externe Anfragen
-
Übersicht der Auftragnehmer mit zugehöriger Verarbeitungstätigkeit
-
Auflistung der Auftragsverarbeitungen mit zugehörigen Auftraggebern
Als tabellarische Ausgaben können diese Informationen z.B. auch in Tabellenkalkulationen weiter bearbeitet, aggregiert oder in selbst erstellten Diagrammen präsentiert werden.
Lieferumfang
Der Lieferumfang des Pakets beinhaltet:
-
eine kurze Modul-Beschreibung
-
eine Installationsanleitung
-
eine in verinice zu importierende Datei einer Beispielfirma
-
das Verzeichnis der Verarbeitungstätigkeiten der Beispielfirma
-
AVV-Controls zur Abbildung der Auftragsverarbeitung
-
einen Datenschutz-Kurzcheck
-
Reportvorlagen
-
Beispiel-Reports
Herausgeber
Beuth Verlag GmbH
Saatwinkler Damm 42/43
13627 Berlin
VDMA e. V.
Lyoner Str. 18
60528 Frankfurt
Bundesamt für Sicherheit in der Informationstechnik
Postfach 20 03 63
53133 Bonn
SerNet Service Network GmbH
Bahnhofsallee 1b
37081 Göttingen
Urheberrechte
© 2024
DIN Deutsches Institut für Normung e. V.
Saatwinkler Damm 42/43
13627 Berlin
© 2023
VDMA e. V.
Lyoner Str. 18
60528 Frankfurt
© 2023
Bundesamt für Sicherheit in der Informationstechnik
Postfach 20 03 63
53133 Bonn
© 2024
SerNet Service Network GmbH
Bahnhofsallee 1b
37081 Göttingen
Erstnutzung in verinice / Neuinstallation
Das Datenschutzmodul wird als ZIP-komprimiertes verinice-Archiv (.vna) bereitgestellt, das Sie an einen Ort Ihrer Wahl entpacken können. Im entpackten Ordner finden Sie
-
ein Verzeichnis mit der Beispielorganisation (.vna)
-
ein Verzeichnis mit den Reportvorlagen (.rptdesign) und Beispielreports
-
eine Anleitung zur Installation und eine Produktbeschreibung im PDF-Format
Import der Beispielorganisation
Wechseln Sie über Ansicht >Zeige Perspektive… >Information Security Management in die Information Security Management Perspektive. Wählen Sie anschließend über Importiere Organisation aus Datei… im Dialog XML Import durch Klick auf den Button Datei auswählen… die Datei Datenschutzmodul_3.4_inkl_verinice_Risikokatalog_nach_DIN_ISOIEC_270012024_und_VDMA_NIS2_Mapping.lic.vna aus und bestätigen Ihre Auswahl mit OK. Nach dem ersten Importvorgang befindet sich der IT-Verbund unterhalb eines zusätzlich angelegten Wurzelobjekts Importierte Objekte.
Um Probleme auszuschließen, sollte die importierte Beispielorganisation per rechtem Mausklick mit den Funktionen Ausschneiden und Einfügen auf die höchste Ebene verschoben werden. Dabei muss vor dem Einfügen sichergestellt werden, dass kein weiteres Objekt selektiert (markiert) ist. Sie können ein selektiertes Objekt mit Strg-Mausklick abwählen. |
Einfügen von Report-Vorlagen:
verinice.PRO
verinice.PRO Anwender können die Report-Vorlagen komfortabel über den View Report-Ablage importieren und damit zentral auf Ihrem verinice.PRO Server für alle Anwender zur Verfügung stellen. Den View erreichen Sie über Ansicht >Zeige View… >Report-Ablage.
Eine genaue Beschreibung des Views finden Sie in der verinice-Benutzeranleitung.
verinice.Client
Für den verinice Client in der Einzelplatzversion können Sie die Reportvorlagen in einem speziell dafür konfigurierbaren Verzeichnis ablegen. Das Verzeichnis konfigurieren Sie über das Menü Bearbeiten >Einstellungen >Reports >Report Templates. Die Standard-Einstellung ist das Verzeichnis <HOME>/verinice/report_templates_local des Heimatverzeichnisses. Wird eine Reportvorlage im Dateiformat .rptdesign in diesem Verzeichnis abgelegt, wird sie im Reportdialog aufgelistet. Die dort zur Auswahl angebotenen Ausgabeformate und der vorgeschlagene Name können über eine speziell für diese Vorlage vorhandene Datei (.properties) konfiguriert werden. Diese Datei wird, sofern nicht vorhanden, beim ersten Öffnen des Reportdialogs angelegt und kann anschließend in einem beliebigen Texteditor an die eigenen Anforderungen angepasst werden.