Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Transkript

1 Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Geprüftes Unternehmen: Firmenname: oberste Leitung; EDV-Abteilung: Datenschutzbeauftragter: Firmensitz: Niederlassungen: Prüfdaten: Prüfung am: Prüfung durch: Geprüfte Orte: Auditinterviews: Checkliste TOM zu 9 BDSG Seite 1 von 7

2 I. Zutrittskontrolle: I.1. Technische Maßnahmen: Alarmanlage Absicherung von Gebäudeschächten Automatisches Zugangskontrollsystem Biometrische Zugangssperren Chipkarten / Transponder-Schließsystem Lichtschranken / Bewegungsmelder Manuelles Schließsystem Schließsystem mit Codesperre Sicherheitsschlösser I.2. Organisatorische Maßnahmen: Personenkontrolle beim Pförtner/Empfang Protokollierung der Besucher Schlüsselregelung/Schlüsselbuch Sorgfältige Auswahl von Sicherheitspersonal Tragepflicht von Mitarbeiter-/ Gästeausweisen Videoüberwachung der Zugänge II. Zugangskontrolle: II.1. Technische Maßnahmen: Authentifikation mit Benutzer + Passwort Authentifikation mit biometrischen Daten Einsatz von Anti-Viren-Software Einsatz von Firewalls Einsatz von Mobile Device Management Einsatz von VPN Technologie Gehäuseverriegelungen Sperren von externen Schnittstellen Verschlüsselung von Datenträgern Verschlüsselung von Smartphones II.2. Organisatorische Maßnahmen: Benutzerberechtigungen verwalten Erstellen von Benutzerprofilen Passwortvergabe / Passwortregeln Personenkontrolle beim Empfang Checkliste TOM zu 9 BDSG Seite 2 von 7

3 Protokollierung der Besucher Schlüsselregelung / Schlüsselbuch Sorgfältige Auswahl von Reinigungspersonal Sorgfältige Auswahl von Sicherheitspersonal III. Zugriffskontrolle: III.1. Technische Maßnahmen: Einsatz von Aktenvernichtern Ordnungsgemäße Vernichtung von Datenträgern (gemäß DIN 32757) Physische Löschung von Datenträgern vor deren Wiederverwendung Protokollierung der Vernichtung von Daten Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten Verschlüsselung von Datenträgern Verschlüsselung von Smartphones III.2. Organisatorische Maßnahmen: Anzahl der Administratoren auf das Notwendigste reduzieren Einsatz von Dienstleistern zur Akten- und Datenvernichtung (nach Möglichkeit mit Zertifikat) Erstellen eines Berechtigungskonzeptes Passwortrichtlinie inkl. Länge und Wechsel Sichere Aufbewahrung von Datenträgern Verwaltung der Benutzerrechte durch Systemadministratoren IV. Weitergabekontrolle: IV.1. Technische Maßnahmen: Einrichtung von VPN Tunneln Verschlüsselung Sichere Transportbehälter /-verpackungen Checkliste TOM zu 9 BDSG Seite 3 von 7

4 IV.2. Organisatorische Maßnahmen: Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen Erstellen einer Übersicht von regelmäßigen Abruf- und Übermittlungsvorgängen Sorgfältige Auswahl von Transportpersonal und fahrzeugen Weitergabe von Daten in anonymisierter oder pseudonymisierter Form V. Eingabekontrolle: V.1. Technische Maßnahmen: Protokollierung der Eingabe, Änderung und Löschung von Daten V.2. Organisatorische Maßnahmen: Aufbewahren von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind Erstellen einer Übersicher, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzeptes VI. Auftragskontrolle: VI.2. Organisatorische Maßnahmen: Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit) Laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten Schriftliche Weisungen an den Auftragnehmer i.s.d. 11 II BDSG Checkliste TOM zu 9 BDSG Seite 4 von 7

5 Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis Vertragsstrafen bei Verstößen Vorherige Prüfung der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen und entsprechende Dokumentation Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbaren VII. Verfügbarkeitskontrolle: VII.1. Technische Maßnahmen: Feuerlöschgeräte in Serverräumen Feuer- und Rauchmeldeanlagen Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen Klimaanlage in Serverräumen Schutzsteckdosenleisten in Serverräumen Unterbrechungsfreie Stromversorgung (USV) VII.2. Organisatorische Maßnahmen: Alarmmeldung bei unberechtigten Zutritten zu Serverräumen Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort Erstellen eines Backup- & Recoverykonzepts Erstellen eines Notfallplans Testen von Datenwiederherstellung Serverräume nicht unter sanitären Anlagen In Hochwassergebieten: Serverräume über der Wassergrenze VIII. Trennungsgebot: VII.1. Technische Maßnahmen: Bei psedudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten IT-System Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern Checkliste TOM zu 9 BDSG Seite 5 von 7

6 Trennung von Produktiv- und Testsystemen Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden VIII.2. Organisatorische Maßnahmen: Erstellung eines Berechtigungskonzeptes Festlegung von Datenbankrechten Logische Mandantentrennung Versehen der Datensätze mit Zweckattributen Checkliste TOM zu 9 BDSG Seite 6 von 7

7 Feststellungen aus der Prüfung der technisch-organisatorischen Maßnahmen Lfd.Nr.: Feststellung Korrekturmaßnahme: Kontrolle: was bis wann? wer? wann wer? Ergebnis? Checkliste TOM zu 9 BDSG Seite 7 von 7