Help Center
News
Help Center
News
Sign in
Erste Schritte
Anleitung zum EinstiegÜbersicht der Priverion GRC PlattformDokumentenliste für das OnboardingWie kann ein Benutzer die Sprache ändern?Einrichtung der ersten Organisation oder des ersten UnternehmensErstellen von passenden Attributen für Ihre Branche
Allgemeine Einstellungen
IT Einstellungen
Risiko Einstellungen
Module
Teilen und Gruppenfunktionen
Fragebögen
Features
Anleitungen & Tipps
Unterstützung erhalten
Release Notes

Übersicht der Priverion GRC Plattform

Die Priverion Plattform wurde entwickelt, um Datenschutz, Datensicherheit und Informationssicherheitsmanagement zu gewährleisten. Alle Komponenten dieses Managementsystems sind miteinander verbunden. Die Plattform ermöglicht es, die verschiedenen Elemente miteinander zu verknüpfen, was intelligente Suche und Benachrichtigungen ermöglicht.

Um die Verbindungen zwischen den verschiedenen Elementtypen des genannten Managementsystems besser zu verstehen, haben wir einen Überblick erstellt. Wir sind uns bewusst, dass dies anfangs eine grosse Menge an Informationen sein kann. Daher konzentrieren wir uns auf einen Anwendungsfall, um die Zusammenhänge transparenter zu machen.

Datenschutzmanagement

Das Kernstück eines jeden Datenschutzmanagementsystems ist das Verzeichnis der Verarbeitungstätigkeiten (VVT). Diese Dokumentation enthält alle Prozesse in Ihrer Organisation, die personenbezogene Daten berühren (diese Definition kann je nach anwendbarem Recht unterschiedlich sein. Weitere Informationen finden Sie hier). Das VVT beschreibt die Prozesse, beginnend mit dem Datenerhebungspunkt (DEP).

Dies ist die Schnittstelle, über die personenbezogene Daten in Ihre Organisation gelangen. Dies kann beispielsweise ein Webformular, ein Vertrag oder ein Vortrag auf einer Konferenz sein. An jedem DEP müssen die Informationsanforderungen gemäss dem Gesetz erfüllt werden. Dies bedeutet in der Regel, dass die Datenschutzerklärung am DEP angezeigt werden muss.

Sobald die Daten erfasst sind, fliessen sie in Assets. Dies können Software, Datenbanken, Papiere usw. sein. Die Assets können eigene sein (zum Beispiel Ihr Server) oder von einem Anbieter bereitgestellt werden, wie z.B. ein CRM von Salesforce.

Je nach Art des Anbieters muss ein spezifischer Vertrag, z.B. eine Vereinbarung zur Auftragsverarbeitung (AVV), unterzeichnet werden. Der Anbieter garantiert spezifische Sicherheitsmassnahmen, sogenannte Technische und Organisatorische Massnahmen (TOM). Abhängig von der Bedeutung des Anbieters sollte Ihr Unternehmen die TOM des Anbieters genauer bewerten. Der erste Schritt besteht darin, die TOM-Dokumentation des Anbieters zu überprüfen und mit Ihren eigenen TOM zu vergleichen. Gibt es Lücken? Fehlen Informationen?

Wenn ja, können Sie einen Fragebogen senden, um die Lücken zu schliessen oder weitere Informationen zu erhalten (für weitere Informationen zu Fragebögen finden Sie hier). Nun, da der Datenfluss und die Informationssicherheit dokumentiert sind, geht es um die Rechtmässigkeit der Verarbeitung. Was ist Ihre rechtliche Grundlage für die Verarbeitung personenbezogener Daten?

Sie können dies direkt im VVT dokumentieren, ebenso wie die Erwartungen und Risiken für die betroffenen Personen (die Personen, deren personenbezogene Daten Sie verarbeiten). Schliesslich ist der letzte Schritt der Datenverarbeitung die Löschung. Die meisten Datenschutzgesetze haben ein sogenanntes Prinzip der Datenminimierung (siehe Merkblatt für weitere Informationen). Das bedeutet, dass Daten gelöscht oder anonymisiert werden müssen, sobald der Zweck, für den sie erhoben wurden, erfüllt ist und keine rechtliche Verpflichtung zur Aufbewahrung der Daten besteht.

Für diese Zwecke nutzen wir die Aufbewahrungs- und Löschfristenbibliothek. Wenn diese Informationen alle im Verzeichnis der Verarbeitungstätigkeiten (VVT) dokumentiert sind, erfüllen wir bereits viele Anforderungen verschiedener Datenschutzgesetze. Aus Erfahrung wissen wir, dass beim Erstellen des VVT oft weitere Aspekte auftauchen, wie beispielsweise fehlende Datenschutzerklärungen, unvollständige Auftragsverarbeitungsvereinbarungen oder notwendige technische und organisatorische Massnahmen. Für diese Anforderungen bietet die Priverion Plattform zahlreiche unterstützende Module, wie beispielsweise Aufgaben, Projekte und einen Bereich für Meetings und Aktivitäten, um Ihre Arbeit effizient zu dokumentieren.

Informationssicherheitsmanagement

Bei der Informationssicherheit geht es darum, Informationen (nicht nur personenbezogene Daten) vor dem Verlust der Vertraulichkeit, der Integrität oder der Verfügbarkeit zu schützen, kurz gesagt, die CIA-Kriterien. Die meisten Managementsysteme für Informationssicherheit (InfoSec) konzentrieren sich auf den Schutz der Assets, auf oder in denen Informationen verarbeitet werden, weshalb sie auch als assetbasierter Ansatz bezeichnet werden. Verschiedene Standards wie die bekannten ISO27001- oder NIST-Frameworks verwenden diesen Ansatz.

Die zu schützenden Assets werden anhand einer Liste der Assets (dem Verzeichnis der Assets) identifiziert. Der nächste Schritt besteht darin, die Risikoszenarien zu identifizieren, die die Assets beeinträchtigen können. Zum Beispiel ein Stromausfall oder ein Brand, aber auch menschliche Fehler wie Fehlkonfigurationen oder verpasste Updates.

Basierend auf dem Risikomodell berechnet die Priverion Plattform das Risiko für Assets. Das Risiko kann je nach vorhandenen oder zu implementierenden TOM/Kontrollen reduziert werden. Ein Risikoszenario für ein Asset hat immer ein Basisrisiko (vor der Behandlung) und ein Risiko nach der Behandlung, also nach der Implementierung der TOM/Kontrolle. TOM/Kontrollen können entweder die Wahrscheinlichkeit, dass es zu dem Vorfall im Szenario kommt, oder die Höhe des Schadens, das aus dem Vorfall resultieren kann, beeinflussen. Als Ergebnis können IT-Sicherheitsmanager risikobasierte Massnahmen anwenden und Risiken über die gesamte Organisation hinweg verwalten.

Was this article helpful?

German
Powered by Product Fruits