Technische und organisatorische Massnahmen (TOM)

Vertraulichkeit

Zutrittskontrolle

Massnahmen um Unbefugten den Zutritt zu Datenverarbeitungsanlagen zu verwehren.

Technische Massnahmen Organisatorische Massnahmen
Manuelles Schliesssystem Schlüsselregelung / Liste
Absicherung der Gebäudeschächte Empfang / Rezeption
Videoüberwachung der Eingänge Besuche nur in Begleitung von Mitarbeitenden
  Nur personengebundene Schlüssel
  Partner für Rechenzentren erfüllen die notwendigen, gesetzlichen Vorgaben

 

Zugangskontrolle

Massnahmen, um zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können.

Technische Massnahmen Organisatorische Massnahmen
Login mit Benutzername, Passwort & Biometrie Verwalten & Prüfen von Berechtigungen
MFA zwingend, wo immer möglich Richtlinie Passwörter & Umgang
Antiviren-Software für Server & Clients Richtlinie Datenaustausch
Firewall mit Intrusion Detection System Richtlinie Entsorgung / Löschen
Mobile Device Management Richtlinie Clean Desk
VPN für Remote-Zugriffe Richtlinie Datenschutz
Verschlüsselung Festplatten von Clients Richtlinie Fernzugriff
Automatische Desktopsperre Richtlinie Mobile- und Home-Office
Firewall auf allen Geräten aktiviert  
Verschlüsselte Datenübertragung  

 

Zugriffskontrolle

Massnahmen bezüglich Zugriffsberechtigung und unbefugten Manipulation.

Technische Massnahmen Organisatorische Massnahmen
Aktenschredder Verwendung von Berechtigungskonzepten
Physische Vernichtung von Datenträgern Minimale Anzahl an Administratoren
Protokollierung von Zugriffen (teilweise) Verwaltung Rechte durch Administratoren
  Verhaltensrichtlinien Administratoren

 

Trennungskontrolle

Massnahmen, um zu unterschiedlichen Zwecken erhobene Daten getrennt zu verarbeiten.

Technische Massnahmen Organisatorische Massnahmen
Trennung von Produktiv- und Testumgebung Steuerung über Berechtigungskonzept
Mandantenfähigkeit relevanter Anwendungen Datensätze mit Zweckattributen versehen
  Restriktives Berechtigungskonzept

 

Pseudonymisierung

Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.

Technische Massnahmen Organisatorische Massnahmen
Im Falle der Pseudonymisierung:
Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem und abgesicherten System (mögl. Verschlüsselt)
Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisieren

 

Integrität

Weitergabekontrolle

Massnahmen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung von Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Technische Massnahmen Organisatorische Massnahmen
Einsatz von VPN Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen
Protokollierung der Zugriffe und Abrufe Weitergabe in anonymisierter oder pseudonymisierter Form
Verschlüsselte Übertragung von Daten  

 

Eingangskontrolle

Massnahmen, um nachträglich zu prüfen / festzustellen, ob und von wem Daten in eingegeben, verändert oder entfernt worden sind.

Technische Massnahmen Organisatorische Massnahmen
Technische Protokollierung der Eingabe, Änderung und Löschung von Daten Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
Manuelle oder automatisierte Kontrolle der Protokolle Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen
  Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
  Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden
  Klare Zuständigkeiten für Löschungen

 

Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle

Massnahmen gegen zufällige oder mutwillige Zerstörung oder Verlust.

Technische Massnahmen Organisatorische Massnahmen
Feuer- und Rauchmeldeanlagen Backup & Recovery-Konzept
Feuerlöscher in Nähe Serverraum Kontrolle des Sicherungsvorgangs
Klimaüberwachung Serverräume Regelmässige Tests zur Wiederherstellung und Protokollierung der Ergebnisse
Serverraum Temperaturregelung Aufbewahrung der Sicherungsmedien an einem sicheren Ort ausserhalb des Serverraums
Unterbrechungsfreie Stromversorgung Existenz eines Notfallplans
Schutzsteckdosenleisten Serverraum  
RAID System / Festplattenspiegelung  
Videoüberwachung Serverraum  

 

Überprüfung, Bewertung und Evaluierung

Datenschutz-Massnahmen

Technische Massnahmen Organisatorische Massnahmen
Dokumentation zum Datenschutz mit
Zugriffsmöglichkeit für Mitarbeiter

Interner Beauftragter Datenschutz

Überprüfung der Wirksamkeit der technischen Schutzmassnahmen Interner Beauftragter Informationssicherheit
  Mitarbeiter auf Vertraulichkeit sensibilisiert und zum Datengeheimnis verpflichtet
  DSFA wird bei Bedarf durchgeführt

 

Incident-Response-Management

Unterstützung bei der Reaktion auf Sicherheitsverletzungen

Technische Massnahmen Organisatorische Massnahmen
Firewall, regelmässig aktualisiert Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen
Spamfilter, regelmässig aktualisiert Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
Virenscanner, regelmässig aktualisiert Dokumentation von Sicherheitsvorfällen und Datenpannen via Ticket-System
Intrusion Detection System (IDS) Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen
Intrusion Prevention System (IPS)  

 

Datenschutzfreundliche Voreinstellungen

Privacy by design / Privacy by default

Technische Massnahmen Organisatorische Massnahmen
Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind  
Einfache Ausübung des Widerrufsrechts des Betroffenen durch technische Massnahmen  

 

Auftragskontrolle

Massnahmen, um zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Technische Massnahmen Organisatorische Massnahmen
  Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmassnahmen und deren Dokumentation
  Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten in Bezug auf Datenschutz und Datensicherheit
  Abschluss der notwendigen Vereinbarungen zur Auftragsverarbeitung
  Schriftliche Weisungen an den Auftragnehmer
  Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis
  Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen Bestellpflicht
  Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer
  Regelung zum Einsatz weiterer Subunternehmer
  Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
  Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus

 

 

War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.

Beiträge in diesem Abschnitt

Weitere anzeigen