Checkliste. Technische und organisatorische Maßnahmen der Datensicherheit (TOMs)

Größe: px

Ab Seite anzeigen:

Download "Checkliste. Technische und organisatorische Maßnahmen der Datensicherheit (TOMs)"

Ida Bieber
vor 5 Jahren
Abrufe

1 Checkliste Technische und organisatorische Maßnahmen der Datensicherheit (TOMs) Art. 32 DSGVO verpflichtet jeden Betrieb zu Maßnahmen, die die Integrität und Vertraulichkeit der Datenverarbeitung gewährleisten. Aus diesem Grund wird das aktuelle Niveau des Datenschutzes regelmäßig intern überprüft und etwaiger Handlungsbedarf festgestellt. Betrieb: Datum der internen Prüfung: Unterschrift Geschäftsführung: Ggf. Unterschrift Datenschutzbeauftragter: Ggf. Unterschrift IT-Dienstleister: 1. Zugangskontrolle Die Zugangskontrolle soll verhindern, dass Unbefugte Zugang zu Verarbeitungsanlagen erhalten, mit denen die Verarbeitung durchgeführt wird. Alarmanlage Chipkarten-/Transponder-Schließsystem Abschließbare Serverschränke Sorgfältige Auswahl Reinigungspersonal Sicherheitsschlösser Wo befinden sich die Datenverarbeitungsanlagen? Können diese Räume abgeschlossen werden? Haben nur mit der Datenverarbeitung betraute Personen Zutritt zu diesen Räumen?

2 2. Datenträgerkontrolle Die Datenträgerkontrolle soll verhindern, dass Unbefugte Datenträger lesen, kopieren, verändern oder löschen können. Sichere Aufbewahrung von Datenträgern Einrichtungen von Standleitungen beziehungsweise VPN-Tunneln Weitergabe von Daten in anonymisierter oder pseudonymisierter Form Verschlüsselung von (mobilen) Datenträgern Ordnungsgemäße Vernichtung von Datenträgern (DIN 32757) Einsatz von Aktenvernichtern beziehungsweise Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel) Protokollierung der Vernichtung Wo befinden sich Datenträger (z.b. Festplatten, USB-Sticks), auf denen personenbezogene Daten gespeichert sind? Ist gewährleistet, dass nur mit der Datenverarbeitung betraute Personen Zugriff auf diese Datenträger haben? Sind alle mit der Datenverarbeitung betraute Mitarbeiter angewiesen, Datenträger mit personenbezogenen Daten vertraulich und sorgsam zu behandeln und den Zugriff Dritter hierauf auszuschließen? Sind Datenträger mit personenbezogenen Daten verschlüsselt bzw. gesondert gegen unbefugten Zugriff geschützt? Werden zu entsorgende Schriftstücke und Datenträger ordnungsgemäß vernichtet? 3. Speicherkontrolle Die Speicherkontrolle soll verhindern, dass Unbefugte von gespeicherten personenbezogenen Daten Kenntnis nehmen sowie diese eingeben, verändern und löschen können. Festlegung von Berechtigungen in den IT-Systemen Differenzierte Berechtigungen für lesen, löschen und ändern

3 Differenzierte Berechtigungen für Daten, Anwendungen und Betriebssystem Verwaltung der Rechte durch Systemadministratoren Anzahl der Administratoren auf das Notwendigste reduziert Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel Protokollierung von Zugriffen auf Anwendungen Haben nur diejenigen Mitarbeiter Zugriff auf Daten, die diese für ihre Tätigkeit auch wirklich brauchen? Haben alle Mitarbeiter mit Zugang zu Datenverarbeitungssystemen ein sicheres Passwort? 4. Benutzerkontrolle Die Benutzerkontrolle soll verhindern, dass Unbefugte automatisierte Verarbeitungssysteme mit Hilfe von Datenübertragung nutzten können. Festlegung zugangsberechtigter Mitarbeiter Erstellen von Benutzerprofilen Passwortvergabe Authentifikation mit Benutzername/Passwort Regelmäßige Kontrolle von Berechtigungen Sperrung von Berechtigungen ausscheidender Mitarbeiter Zuordnung von Benutzerprofilen zu IT-Systemen Einsatz von Verschlüsselungs-Technologie Einsatz von Anti-Viren-Software Ist auf allen Datenverarbeitungssystemen eine aktuelle Anti-Viren-Software installiert? Besteht die Möglichkeit, Daten, insb. s, zu verschlüsseln?

4 5. Zugriffskontrolle Die Zugriffskontrolle soll gewährleisten, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben. Festlegung von Berechtigungen in den IT-Systemen Differenzierte Berechtigungen für lesen, löschen und ändern Differenzierte Berechtigungen für Daten, Anwendungen und Betriebssystem Verwaltung der Rechte durch Systemadministratoren Anzahl der Administratoren auf das Notwendigste reduziert Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel Protokollierung von Zugriffen auf Anwendungen Haben die Mitarbeiter nur Zugriff auf die absolut notwendigen Daten? 6. Übertragungskontrolle Die Übertragungskontrolle soll gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können. Einrichtungen von Standleitungen beziehungsweise Verschlüsselungs-Technologien Erstellen einer Übersicht von regelmäßigen Abruf- und Übermittlungsvorgängen Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung beziehungsweise vereinbarter Löschfristen Kann mit verschlüsselten s korrespondiert werden?

5 7. Transportkontrolle Die Transportkontrolle soll gewährleisten, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden. Einrichtungen von Standleitungen beziehungsweise Verschlüsselungs-Technologien Werden Datenträger, die das Betriebsgelände verlassen, verschlüsselt? 8. Wiederherstellbarkeit Die Wiederherstellbarkeit soll gewährleisten, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können. Erstellen eines Backup- & Recoverykonzepts Festplattenspiegelung nach Vereinbarung mit dem Auftraggeber Testen von Datenwiederherstellung Erstellen eines Notfallplans Ist eine funktionstüchtige Datensicherung eingerichtet? 9. Zuverlässigkeit Die Zuverlässigkeit soll gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden. Unabhängig von einander funktionierende Systeme Automatisierte Meldung von Fehlfunktionen Anti-Viren-Schutz

6 Ist eine Notstromeinheit vorhanden, um im Falle des Stromausfalls ein ordnungsgemäßes Speichern der Daten zu gewährleisten? 10. Datenintegrität Die Datenintegrität soll gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können. Erstellen eines Backup- & Recoverykonzepts Erfolgen regelmäßige Updates der eingesetzten Software? 11. Verfügbarkeitskontrolle Die Verfügbarkeitskontrolle soll gewährleisten, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind. Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen Feuer- und Rauchmeldeanlagen Feuerlöschgeräte in Serverräumen Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort Alarmmeldung bei unberechtigten Zutritten zu Serverräumen Erstellen eines Notfallplans Sind genügend Feuer- bzw. Rauchmelder in Räumen installiert, in denen Daten verarbeitet werden? Sind dort Feuerlöscher vorhanden?

7 Werden Sicherungsmedien an einem sicheren Ort aufbewahrt, z.b. einem Tresor? Diese Checkliste ist nach Durchführung der internen Prüfung zum Verarbeitungsverzeichnis zu nehmen.

Ähnliche Dokumente

Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden getroffen: A. Zutrittskontrolle Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen