Technische und organisatorische Massnahmen (TOM)

Vertraulichkeit

Zutrittskontrolle

Massnahmen um Unbefugten den Zutritt zu Datenverarbeitungsanlagen zu verwehren.

Technische Massnahmen Organisatorische Massnahmen
Manuelles Schliesssystem Schlüsselregelung / Liste
Absicherung der Gebäudeschächte Empfang / Rezeption
Videoüberwachung der Eingänge Besuche nur in Begleitung von Mitarbeitenden

 

Nur personengebundene Schlüssel

 

Partner für Rechenzentren erfüllen die notwendigen, gesetzlichen Vorgaben

Zugangskontrolle

Massnahmen, um zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können.

Richtlinie Datenschutz

Technische Massnahmen Organisatorische Massnahmen
Login mit Benutzername, Passwort & Biometrie Verwalten & Prüfen von Berechtigungen
MFA zwingend, wo immer möglich Richtlinie Passwörter & Umgang
Antiviren-Software für Server & Clients Richtlinie Datenaustausch
Firewall mit Intrusion Detection System Richtlinie Entsorgung / Löschen
Mobile Device Management Richtlinie Clean Desk
VPN für Remote-Zugriffe
Verschlüsselung Festplatten von Clients Richtlinie Fernzugriff
Automatische Desktopsperre Richtlinie Mobile- und Home-Office
Firewall auf allen Geräten aktiviert

 

Verschlüsselte Datenübertragung

 

Zugriffskontrolle

Massnahmen bezüglich Zugriffsberechtigung und unbefugten Manipulation.

Technische Massnahmen Organisatorische Massnahmen
Aktenschredder Verwendung von Berechtigungskonzepten
Physische Vernichtung von Datenträgern Minimale Anzahl an Administratoren
Protokollierung von Zugriffen (teilweise) Verwaltung Rechte durch Administratoren

 

Verhaltensrichtlinien Administratoren

Trennungskontrolle

Massnahmen, um zu unterschiedlichen Zwecken erhobene Daten getrennt zu verarbeiten.

Technische Massnahmen Organisatorische Massnahmen
Trennung von Produktiv- und Testumgebung Steuerung über Berechtigungskonzept
Mandantenfähigkeit relevanter Anwendungen Datensätze mit Zweckattributen versehen

 

Restriktives Berechtigungskonzept

Pseudonymisierung

Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.

Technische Massnahmen Organisatorische Massnahmen
Im Falle der Pseudonymisierung:
Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem und abgesicherten System (mögl. Verschlüsselt)
Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisieren

 


 

Integrität

Weitergabekontrolle

Massnahmen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung von Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Technische Massnahmen Organisatorische Massnahmen
Einsatz von VPN Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen
Protokollierung der Zugriffe und Abrufe Weitergabe in anonymisierter oder pseudonymisierter Form
Verschlüsselte Übertragung von Daten

 

Eingangskontrolle

Massnahmen, um nachträglich zu prüfen / festzustellen, ob und von wem Daten in eingegeben, verändert oder entfernt worden sind.

Technische Massnahmen Organisatorische Massnahmen
Technische Protokollierung der Eingabe, Änderung und Löschung von Daten Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
Manuelle oder automatisierte Kontrolle der Protokolle Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen

 

Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

 

Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden

 

Klare Zuständigkeiten für Löschungen

 


 

Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle

Massnahmen gegen zufällige oder mutwillige Zerstörung oder Verlust.

Technische Massnahmen Organisatorische Massnahmen
Feuer- und Rauchmeldeanlagen Backup & Recovery-Konzept
Feuerlöscher in Nähe Serverraum Kontrolle des Sicherungsvorgangs
Klimaüberwachung Serverräume Regelmässige Tests zur Wiederherstellung und Protokollierung der Ergebnisse
Serverraum Temperaturregelung Aufbewahrung der Sicherungsmedien an einem sicheren Ort ausserhalb des Serverraums
Unterbrechungsfreie Stromversorgung Existenz eines Notfallplans
Schutzsteckdosenleisten Serverraum

 

RAID System / Festplattenspiegelung

 

Videoüberwachung Serverraum

 

 


 

Überprüfung, Bewertung und Evaluierung

Datenschutz-Massnahmen

Technische Massnahmen Organisatorische Massnahmen
Dokumentation zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter Interner Beauftragter Datenschutz
Überprüfung der Wirksamkeit der technischen Schutzmassnahmen Interner Beauftragter Informationssicherheit

 

Mitarbeiter auf Vertraulichkeit sensibilisiert und zum Datengeheimnis verpflichtet

 

DSFA wird bei Bedarf durchgeführt

Incident-Response-Management

Unterstützung bei der Reaktion auf Sicherheitsverletzungen

Technische Massnahmen Organisatorische Massnahmen
Firewall, regelmässig aktualisiert Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen
Spamfilter, regelmässig aktualisiert Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
Virenscanner, regelmässig aktualisiert Dokumentation von Sicherheitsvorfällen und Datenpannen via Ticket-System
Intrusion Detection System (IDS) Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen
Intrusion Prevention System (IPS)

 

Datenschutzfreundliche Voreinstellungen

Privacy by design / Privacy by default

Technische Massnahmen
Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind
Einfache Ausübung des Widerrufsrechts des Betroffenen durch technische Massnahmen

Auftragskontrolle

Massnahmen, um zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus

Organisatorische Massnahmen
Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmassnahmen und deren Dokumentation
Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten in Bezug auf Datenschutz und Datensicherheit
Abschluss der notwendigen Vereinbarungen zur Auftragsverarbeitung
Schriftliche Weisungen an den Auftragnehmer
Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis
Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen Bestellpflicht
Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer
Regelung zum Einsatz weiterer Subunternehmer
Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
 
War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.

Beiträge in diesem Abschnitt

Weitere anzeigen