Vertraulichkeit
Zutrittskontrolle
Massnahmen um Unbefugten den Zutritt zu Datenverarbeitungsanlagen zu verwehren.
Technische Massnahmen | Organisatorische Massnahmen |
---|---|
Manuelles Schliesssystem | Schlüsselregelung / Liste |
Absicherung der Gebäudeschächte | Empfang / Rezeption |
Videoüberwachung der Eingänge | Besuche nur in Begleitung von Mitarbeitenden |
|
Nur personengebundene Schlüssel |
|
Partner für Rechenzentren erfüllen die notwendigen, gesetzlichen Vorgaben |
Zugangskontrolle
Massnahmen, um zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können.
Richtlinie Datenschutz
Technische Massnahmen | Organisatorische Massnahmen |
---|---|
Login mit Benutzername, Passwort & Biometrie | Verwalten & Prüfen von Berechtigungen |
MFA zwingend, wo immer möglich | Richtlinie Passwörter & Umgang |
Antiviren-Software für Server & Clients | Richtlinie Datenaustausch |
Firewall mit Intrusion Detection System | Richtlinie Entsorgung / Löschen |
Mobile Device Management | Richtlinie Clean Desk |
VPN für Remote-Zugriffe | |
Verschlüsselung Festplatten von Clients | Richtlinie Fernzugriff |
Automatische Desktopsperre | Richtlinie Mobile- und Home-Office |
Firewall auf allen Geräten aktiviert |
|
Verschlüsselte Datenübertragung |
|
Zugriffskontrolle
Massnahmen bezüglich Zugriffsberechtigung und unbefugten Manipulation.
Technische Massnahmen | Organisatorische Massnahmen |
---|---|
Aktenschredder | Verwendung von Berechtigungskonzepten |
Physische Vernichtung von Datenträgern | Minimale Anzahl an Administratoren |
Protokollierung von Zugriffen (teilweise) | Verwaltung Rechte durch Administratoren |
|
Verhaltensrichtlinien Administratoren |
Trennungskontrolle
Massnahmen, um zu unterschiedlichen Zwecken erhobene Daten getrennt zu verarbeiten.
Technische Massnahmen | Organisatorische Massnahmen |
---|---|
Trennung von Produktiv- und Testumgebung | Steuerung über Berechtigungskonzept |
Mandantenfähigkeit relevanter Anwendungen | Datensätze mit Zweckattributen versehen |
|
Restriktives Berechtigungskonzept |
Pseudonymisierung
Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.
Technische Massnahmen | Organisatorische Massnahmen |
---|---|
Im Falle der Pseudonymisierung: Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem und abgesicherten System (mögl. Verschlüsselt) |
Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisieren |
Integrität
Weitergabekontrolle
Massnahmen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung von Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Technische Massnahmen | Organisatorische Massnahmen |
---|---|
Einsatz von VPN | Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen |
Protokollierung der Zugriffe und Abrufe | Weitergabe in anonymisierter oder pseudonymisierter Form |
Verschlüsselte Übertragung von Daten |
|
Eingangskontrolle
Massnahmen, um nachträglich zu prüfen / festzustellen, ob und von wem Daten in eingegeben, verändert oder entfernt worden sind.
Technische Massnahmen | Organisatorische Massnahmen |
---|---|
Technische Protokollierung der Eingabe, Änderung und Löschung von Daten | Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können |
Manuelle oder automatisierte Kontrolle der Protokolle | Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen |
|
Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts |
|
Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden |
|
Klare Zuständigkeiten für Löschungen |
Verfügbarkeit und Belastbarkeit
Verfügbarkeitskontrolle
Massnahmen gegen zufällige oder mutwillige Zerstörung oder Verlust.
Technische Massnahmen | Organisatorische Massnahmen |
---|---|
Feuer- und Rauchmeldeanlagen | Backup & Recovery-Konzept |
Feuerlöscher in Nähe Serverraum | Kontrolle des Sicherungsvorgangs |
Klimaüberwachung Serverräume | Regelmässige Tests zur Wiederherstellung und Protokollierung der Ergebnisse |
Serverraum Temperaturregelung | Aufbewahrung der Sicherungsmedien an einem sicheren Ort ausserhalb des Serverraums |
Unterbrechungsfreie Stromversorgung | Existenz eines Notfallplans |
Schutzsteckdosenleisten Serverraum |
|
RAID System / Festplattenspiegelung |
|
Videoüberwachung Serverraum |
|
Überprüfung, Bewertung und Evaluierung
Datenschutz-Massnahmen
Technische Massnahmen | Organisatorische Massnahmen |
---|---|
Dokumentation zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter | Interner Beauftragter Datenschutz |
Überprüfung der Wirksamkeit der technischen Schutzmassnahmen | Interner Beauftragter Informationssicherheit |
|
Mitarbeiter auf Vertraulichkeit sensibilisiert und zum Datengeheimnis verpflichtet |
|
DSFA wird bei Bedarf durchgeführt |
Incident-Response-Management
Unterstützung bei der Reaktion auf Sicherheitsverletzungen
Technische Massnahmen | Organisatorische Massnahmen |
---|---|
Firewall, regelmässig aktualisiert | Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen |
Spamfilter, regelmässig aktualisiert | Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen |
Virenscanner, regelmässig aktualisiert | Dokumentation von Sicherheitsvorfällen und Datenpannen via Ticket-System |
Intrusion Detection System (IDS) | Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen |
Intrusion Prevention System (IPS) |
|
Datenschutzfreundliche Voreinstellungen
Privacy by design / Privacy by default
Technische Massnahmen |
---|
Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind |
Einfache Ausübung des Widerrufsrechts des Betroffenen durch technische Massnahmen |
Auftragskontrolle
Massnahmen, um zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus
Organisatorische Massnahmen |
---|
Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmassnahmen und deren Dokumentation |
Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten in Bezug auf Datenschutz und Datensicherheit |
Abschluss der notwendigen Vereinbarungen zur Auftragsverarbeitung |
Schriftliche Weisungen an den Auftragnehmer |
Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis |
Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen Bestellpflicht |
Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer |
Regelung zum Einsatz weiterer Subunternehmer |
Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags |
Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.