Technische und organisatorische Maßnahmen. der Personalkanzlei Hindenburg

Größe: px

Ab Seite anzeigen:

Download "Technische und organisatorische Maßnahmen. der Personalkanzlei Hindenburg"

Busso Fiedler
vor 5 Jahren
Abrufe

Technische und organisatorische der Personalkanzlei Hindenburg gem. Art. 32 Abs. 1 DSGVO für Verantwortliche (Art. 30 Abs. 1 lit. g) und Auftragsverarbeiter (Art.30 Abs. 2 lit.

1 Technische und organisatorische der Personalkanzlei Hindenburg gem. Art. 32 Abs. 1 DSGVO für Verantwortliche (Art. 30 Abs. 1 lit. g) und Auftragsverarbeiter (Art.30 Abs. 2 lit. d) Inhaltsverzeichnis des Unternehmens 1. Zutrittskontrolle zu den Arbeitsbereichen 2. Zugangskontrolle zu Datenverarbeitungssystemen 3. Zugriffskontrolle auf bestimmte Bereiche der Datenverarbeitungssysteme 4. Weitergabekontrolle 5. Eingabekontrolle 6. Auftragskontrolle 7. Verfügbarkeitskontrolle 8. Trennungskontrolle 1. Zutrittskontrolle zu den Arbeitsbereichen der Zutrittskontrolle, die es Unbefugten verwehren, sich den Büroräumen, Datenverarbeitungsanlagen sowie den vertraulichen Akten und Datenträgern physisch zu nähern. Organisation der Zutrittskontrolle Schlüsselregelung (Schlüsselausgabe) Schlüsselkasten mit Zahlencode Videoüberwachung mit Aufzeichnung Besucher-Regulierungen Sorgfältige Auswahl von Reinigungspersonal Allgemeine Gebäudesicherheit Manuelles Schließsystem Schließung aller Gebäudeeingänge, wie Fenster und Türen Büroräume und Gebäude sind außerhalb der Arbeitszeit verschlossen Datum: Ausdrucke/Kopien unterliegen nicht dem Änderungsdienst Seite 1 von 5

2 Video-Überwachung 2. Zugangskontrolle zu Datenverarbeitungssystemen einschließlich Aktenverwaltung der Zugangskontrolle, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Allgemeine Gebäudesicherheit Zusätzliche Zugangsbeschränkung (Authentifizierung mit Benutzerrechte/Passwort) Keine Standardkennwörter aller System- und Infrastrukturkomponenten Aktenschränke zusätzlich verschließbar Hardware- und Netzwerk-Sicherheitsmaßnahmen Schutz der Infrastruktur durch Hardware-Firewalls VPN-Beschränkungen Portregeln/Sperrung von nicht erforderlichen Ports Externer Zugang nur über sichere Verbindungen (VPN) mit Zwei-Faktor Authentifizierung W-LAN an allen Rechnern verschlüsselt Sichere Verschlüsselung aller Speichermedien Software-basierte Sicherheitsmaßnahmen Regelmäßige Software-Updates Benutzerauthentifizierung für Systemzugang- und/oder Anwendungszugriff erforderlich Zwangs- oder Pflicht-Änderung der Kennwörter nach der ersten Anmeldung Erforderliche Mindestkomplexität für Kennwörter Beschreibung Angemessene Gestaltung der Benutzeraccount-Wiederherstellung im Falle eines verlorenen oder vergessenen Authentifizierungsdatensatzes Konfigurationsänderungen Verschlüsselte Speicherung von User-Passwörtern User-Login-Verlauf Organisatorische Sicherheitsmaßnahmen Vertraulichkeitserinnerungen Regelmäßige Überprüfung der Systeme Aktenvernichtung nach DIN Datum: Ausdrucke/Kopien unterliegen nicht dem Änderungsdienst Seite 2 von 5

3 3. Zugriffskontrolle auf bestimmte Bereiche der Datenverarbeitungssysteme der Zugriffskontrolle, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können. Organisatorische Sicherheitsmaßnahmen Schriftliche Verpflichtung aller Mitarbeiter auf das Datengeheimnis (z. B. bezugnehmend auf 5 BDSG) administrative Aufgabentrennung Geregeltes Löschen / Entsorgen von Datenträgern wie Festplatten, CDs, DVDs, USB- Sticks Regelmäßige Sicherheitsprüfungen Trennung von Anwendungs- und Administrationszugängen Regelmäßige Sicherheits-Updates Nutzung von Aktenvernichter (Sicherheitsstufe 4, DIN 66399) 4. Weitergabekontrolle der Weitergabekontrolle, die bei der Übermittlung oder beim Transport von personenbezogenen Daten eingesetzt werden, um unberechtigte Zugriffe, insbesondere zum Lesen, Kopieren, Verändern oder Entfernen dieser Daten zu vermeiden. Protokollierung von externen Support-Prozessen Organisatorische Datentransfer und -weitergabe in Übereinstimmung mit den Anweisungen des Auftraggebers Verbot der Nutzung von privaten Datenträgern Dokumentation der Weitergabe von elektronischen und physischen Speicher- sowie Druckmedien Datenschutzkonforme Löschung aller Datenkopien und Datensicherungen nach Abschluss des Auftrags unter Einhaltung der gesetzlichen Löschungsfristen 5. Eingabekontrolle der Eingabekontrolle die feststellen, wer personenbezogene Daten in Systeme eingegeben, geändert oder entfernt hat und die die Überprüfbarkeit dessen gewährleisten. Datum: Ausdrucke/Kopien unterliegen nicht dem Änderungsdienst Seite 3 von 5

4 Technische Rollenabhängige Zugriffsbeschränkungen Protokollierung der relevanten Prozesse (Speicherung, Verarbeitung, Modifizierung, Abrufen, Übertragung, Löschung, etc.) Protokollierung von administrativen Änderungen entsprechend QM-Prozess Organisatorische Konzept zur Datenlöschung 6. Auftragskontrolle der Auftragskontrolle die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Organisatorische Verarbeitung personenbezogener Daten erfolgt ausschließlich entsprechend den Weisungen des Auftraggebers unter Berücksichtigung der rechtlichen Grundlagen Definition von Rollen für unterschiedliche Aufgaben - laut Organigramm QM Prozess Aufteilung der Zuständigkeiten - laut Organigramm QM Prozess Festgelegte Ansprechpartner für Änderungsanfragen - mittels QM Änderungsdienst Regelmäßige Datenschutz-Unterweisungen der Mitarbeiter und Dienstleister Aktuelle Informationen an die Unterauftragnehmer zu Änderungen im Datenschutz und den dazugehörigen Technischen und Organisatorischen Technische Automatisierte Kontrollmechanismen oder technische Beschränkungen, mit denen die Datenverarbeitung entsprechend den Weisungen des Auftraggebers und rechtlichen Bestimmungen sichergestellt wird Fern-Zugriff erfolgt per VPN nur mit starker Verschlüsselung, erfordert eine Benutzerauthentifizierung 7. Verfügbarkeitskontrolle Schutzmaßnahmen der Verfügbarkeitskontrolle gegen einen zufälligen Verlust oder eine zufällige Zerstörung von elektronischen Daten, Akten und Datenträgern. Technische Feuerlöscher Testen für die Datenwiederherstellung, Schutz gegen versehentliche Zerstörung und Verlust Datum: Ausdrucke/Kopien unterliegen nicht dem Änderungsdienst Seite 4 von 5

5 live inkrementelle Datensicherung Wöchentliche vollständige Datensicherung und Aufbewahrung an einen ausgelagerten sicheren Ort Wöchentliche Backups auf separat gespeicherten physischen Medien oder auf physikalisch getrennten Systeme Organisatorische Notfallplan Klar definierte Verwaltungsaufgaben für Auftraggeber und Auftragnehmer 8. Trennungskontrolle Ist in Ihrem Unternehmen die Trennungskontrolle gewährleistet, indem personenbezogenen Daten so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist? Physikalische Datentrennung: Getrennte Computersysteme oder Medien Logische Datentrennung: Separate Datenbanken oder strukturierte Dateiablage laut Verarbeitungsverzeichnis Ort, Datum Unterschrift Ersteller Ort, Datum Unterschrift Verantwortlicher Datum: Ausdrucke/Kopien unterliegen nicht dem Änderungsdienst Seite 5 von 5

Ähnliche Dokumente

Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen Grundeigentümer-Verband Glockengießerwall 19 20095 Hamburg Die personenbezogenen Daten der Online-Formulare werden in einem Rechenzentrum in Köln verarbeitet.