Inhaltsverzeichnis. A. Verschlüsselung personenbezogener Daten... 3 A.1. Ziel der Verschlüsselung... 3 A.2. Umsetzung der Verschlüsselung...

Ähnliche Dokumente
Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO. Der Firma avanti GreenSoftware GmbH Blumenstr Stuttgart

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis:

Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage. Für Auftragsnehmer

Leitlinie zur Informationssicherheit

Technisch-organisatorische Maßnahmen


Technische und organisatorische Maßnahmen

gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage Stand

Datensicherheitskonzept. Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage

Art. 32 DSGVO Sicherheit der Verarbeitung (BDSGneu)

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

Technisch-organisatorische Maßnahmen zum Datenschutz nach Art. 32 DSGVO

Technische und organisatorische Maÿnahmen

Anlage 2 zum ADV. Technische und organisatorische Maßnahmen der lblu AG

Anlage 1 zum Auftragsverarbeitungsvertrag (Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art.

Technisch-organisatorische Maßnahmen, Stand Seite 1 von 5. Technisch-organisatorische Maßnahmen

Technische und organisatorische Maßnahmen. der Personalkanzlei Hindenburg

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

Technisch-organisatorische Maßnahmen der EWS GmbH Besselstraße 10, Mannheim nach Art. 25 Abs. 1 und Art. 32 Datenschutz-Grundverordnung (DSGVO)

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen,

ANLAGE./1 TECHNISCH-ORGANISATORISCHE MASSNAHMEN

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

Technische und organisatorische Maßnahmen (TOM) des Auftragnehmers i.s.d. Art. 32 DSGVO der Firma blau direkt GmbH & Co. KG

Technische und organisatorische Maßnahmen

Auftragsdatenverarbeitung. vom

MUSTER 4 Technische und organisatorische Maßnahmen

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

2. Zugangskontrolle Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

SELBSTAUSKUNFT DER TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN

Self-Audit Datenschutz in der Arztpraxis/Zahnarztpraxis/MVZ

Je mehr Punkte mit JA beantwortet werden, desto besser wird auch das Datenaudit, evtl. durch Behörden ein besseres Ergebnis bringen.

Anlage 2 zum Auftrag gemäß Art. 28 DS-GVO: Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO und Anlage

Client Communication Platform (CCP) Technische und organisatorische Sicherheitsmaßnahmen

Checkliste. Technische und organisatorische Maßnahmen der Datensicherheit (TOMs)

EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) MUSTER

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

Technische und organisatorische Maßnahmen (nach 9 BDSG und Anlage)

I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) (Stand: April 2018) 1. Zutrittskontrolle

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 Datenschutz-Grundverordnung DSGVO

Technische und organisatorische Maßnahmen zur Daten- und IT-Sicherheit

Allgemeine Beschreibung zu den Maßnahmen nach 9 BDSG

Anlage 2 zum Vertrag zur Auftragsverarbeitung: Technische und organisatorische Maßnahmen beim Auftragsverarbeiter

Auftragsdatenverarbeitung

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. Art. 32 Abs. 1, Art. 25 Abs.

Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Verzeichnis von Verarbeitungstätigkeiten mit personenbezogenen Daten [1] gem. Artikel 30 DS-GVO

Beschreibung der technisch-organisatorischen Sicherheitsmaßnahmen

Auftragsverarbeitervereinbarung gemäß Art. 28 DS-GVO. vom

DATEN SCHUTZ MASS NAHMEN

Checkliste: Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen (TOM) der CONCEPTNET GmbH - Stand

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Auftragsverarbeitervereinbarung

Vereinbarung. (im folgenden Auftraggeber) HALE electronic GmbH Eugen-Müller.-Str Salzburg. (im folgenden Auftragnehmer)

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO

Technische und organisatorische Maßnahmen der KONTENT GmbH

Vereinbarung. gemeinsame Verarbeitung von Personenbezogenen Daten nach Art 26

Aufstellung der Maßnahmen zum Datenschutz ( Datenschutzplan für die Arztpraxis )

QM-System. Bericht des Datenschutzbeauftragten der Arztsysteme Rheinland GmbH (ASR)

Bestellschein Vereins-ID: Aktionscode:

Grasenhiller GmbH Sachsenstraße Neumarkt

Laboratoriumsmedizin Dortmund Dr. Eberhard & Partner

Datenverarbeitungsverzeichnis nach Art 30 Abs 2 EU-Datenschutz- Grundverordnung (DSGVO) (Auftragsverarbeiter) Inhalt

Technische und organisatorische Maßnahmen (TOM)

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische & organisatorische Maßnahmen der erecruiter GmbH

Datenverarbeitungsverzeichnis nach Art 30 Abs. 1 EU-Datenschutz- Grundverordnung (DSGVO)

Technische und organisatorische Maßnahmen der

DATENSCHUTZ UND DATENSICHERHEIT BEI COSMO CONSULT

Datenschutz und Systemsicherheit

conjectmi Sicherheitskonzept

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Checkliste: Technische und organisatorische Maßnahmen

Technisch-organisatorische Maßnahmen zur Einhaltung des Datenschutzes

Kassenzahnärztliche Vereinigung Bayerns

Technisch-organisatorische Maßnahmen zur Einhaltung des Datenschutzes

Erklärung zur Datensicherheit

Anlage I. Rahmenvertrag zur Auftragsverarbeitung technische & organisatorische Maßnahmen. Stand 12. März Auftragnehmer

Anlage. Praxis Datenschutz - Technische und organisatorische Maßnahmen. Hinweise zur Benutzung des Musters

Checkliste Prüfung des Auftragnehmers zur Auftragsdatenverarbeitung gemäß 11 BDSG

Anlage zur Auftragsverarbeitung gemäß Art. 28 EU-DSGVO. zwischen. FIO SYSTEMS AG Ritter-Pflugk-Str Leipzig. - im Folgenden "FIO SYSTEMS" und

VEREINBARUNG. über eine. Auftragsverarbeitung nach Art 28 DSGVO

Technische und organisatorische Maßnahmen (TOM) zur Datensicherheit (nach Art. 32 DSGVO)

Dokumentation: Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Verfahrensverzeichnis Europäische Meldeauskunft RISER (RISER-Dienst)

Technische und organisatorische Maßnahmen i. S. d. Art. 32 Abs. 1 DSGVO

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 5. Übungsblattes Bedrohungen der IT-Sicherheit

Technische und organisatorische Maßnahmen gemäß Artikel 32 DS-GVO Altmann Marketing GmbH

Technische und organisatorische Maßnahmen Anlage 2

Anlage 2: Dokumentation zugesicherter technischer und organisatorischer Maßnahmen beim Auftragnehmer (TOMs)

VEREINBARUNG ÜBER EINE AUFTRAGSVERARBEITUNGSVERTRAG NACH ART 28 DSGVO

Vereinbarung für den Remote-Zugriff auf die Software OpTra Dent

Transkript:

Technische und organisatorische Maßnahmen nach Art. 32 DSGVO der SDV Medien+Service GmbH geschäftsführend für SDV Direct World GmbH und SDV Winter GmbH Inhaltsverzeichnis A. Verschlüsselung personenbezogener Daten... 3 A.1. Ziel der Verschlüsselung... 3 A.2. Umsetzung der Verschlüsselung... 3 B. Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen... 3 B.1. Zutrittskontrolle (Sicherung der betrieblichen Räume)... 3 B.1.0. Ziel der Zutrittskontrolle... 3 B.1.1. Zutrittskontrolle Tore und Türen... 3 B.1.2. Zutrittskontrolle während produktionsfreier Tage bzw. produktionsfreier Nachtstunden... 3 B.1.3. Zutrittskontrolle für externe Mitarbeiter... 4 B.1.4. Zutrittskontrolle für nicht zutrittsberechtigte Personen (Besucherregelung)... 4 B.2. Zugangskontrolle... 4 B.2.0. Ziel der Zugangskontrolle... 4 B.2.1. Zugangskontrolle zu zentralen Datenverarbeitungsanlagen... 4 B.2.2. Zugangskontrolle zu dezentralen Datenverarbeitungsanlagen... 4 B.3. Zugriffskontrolle... 4 B.3.0. Ziel der Zugriffskontrolle... 4 B.3.1. Zugriffskontrolle zum Datennetz... 4 B.3.2. Zugriffskontrolle zu Software-Applikationen... 4 B.4. Weitergabekontrolle... 5 B.4.0. Ziel der Weitergabekontrolle... 5 B.4.1. Weitergabekontrolle bei elektronischer Übertragung von Daten... 5 B.4.2. Weitergabekontrolle von Backupdaten... 5 B.4.3. Weitergabekontrolle bei Datenvernichtung... 5 Technische und organisatorische Maßnahmen nach Art. 32 DSGVO der SDV Medien+Service GmbH geschäftsführend für SDV Direct World GmbH und SDV Winter GmbH 01-ISM-DS-002_TOMs_SDV-Gruppe / V 1.0 / Stand 12.03.2018 / öffentlich / 1 von 8

B.5. Eingabekontrolle... 6 B.5.0. Ziel der Eingabekontrolle... 6 B.5.1. Eingabekontrolle durch Festlegung der Dateiverantwortlichkeit... 6 B.5.2. Eingabekontrolle durch Regelung der Zugriffsrechte auf die personenbezogenen Daten... 6 B.6. Auftragskontrolle... 6 B.6.0. Ziel der Auftragskontrolle... 6 B.6.1. Auftragskontrolle des Vertrages zur Auftragsdatenverarbeitung... 6 B.6.2. Auftragskontrolle und Mitteilungspflicht des Auftragnehmers... 6 B.7. Verfügbarkeitskontrolle...6 B.7.0. Ziel der Verfügbarkeitskontrolle... 6 B.7.1. Sicherung und Wiederherstellung von Daten... 7 B.7.2. Virenschutz... 7 B.8. Zwecktrennungsgebot... 7 B.8.0. Ziel des Zwecktrennungsgebotes... 7 B.8.1. Logische Trennung von Daten innerhalb der Datenverarbeitungsanlage... 7 B.8.2. Abgestufte Berechtigungen innerhalb der Datenverarbeitungsanlage... 7 B.9. Belastbarkeitskontrolle... 7 B.9.0. Ziel der Belastbarkeitskontrolle... 7 B.9.1. Überwachung der Netzwerkdienste... 7 B.9.2. Richtlinie Kapazitätsmanagement... 7 C. Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen...8 C.1. Ziel der Verfügbarkeitskontrolle bei einem Zwischenfall... 8 C.2. Notfallmanagement... 8 C.3. Sicherheitsvorfall... 8 D. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung... 8 D.1. Ziel der Überprüfung der Wirksamkeit... 8 D.2. Verfahren für die Überwachung der Maßnahmen... 8 01-ISM-DS-002_TOMs_SDV-Gruppe / V 1.0 / Stand 12.03.2018 / öffentlich / 2 von 8

A. Verschlüsselung personenbezogener Daten A.1. Ziel der Verschlüsselung Durch Verschlüsselung beabsichtigt man, die Vertraulichkeit von personenbezogenen Daten sicherzustellen. A.2. Umsetzung der Verschlüsselung Zur Übertragung personenbezogener Daten wird ein dedizierter Server eingesetzt, welcher den aktuellen Verschlüsselungsstandards entspricht. B. Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen B.1. Zutrittskontrolle (Sicherung der betrieblichen Räume) B.1.0. Ziel der Zutrittskontrolle Ziel der Zutrittskontrolle ist es, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. B.1.1. Zutrittskontrolle Tore und Türen Bürogebäude und Produktionsgebäude: Nur berechtigte Personen haben Zutritt zu Büro- bzw. Produktionsgebäuden. Die Türen der Büro- und Produktionsgebäude sind mit Zugangs-Terminals ausgestattet, welche erst nach erfolgreicher berührungsloser Identifikation geöffnet werden können. Büroräume: Nur berechtigte Personen haben Zutritt zu den Büroräumen. Es gilt eine restriktive Schlüsselregelung. Zu Büroräumen, in denen Daten, welche einem besonderen Geheimnisschutz unterliegen, verarbeitet werden, haben nur besonders berechtigte Personen Zutritt. Die Eingangstür zu dieser Produktionsstätte ist ebenfalls mit einem Zugangs-Terminal ausgestattet, welche erst nach erfolgreicher berührungsloser Identifikation mit einem Transponder-Chip geöffnet werden kann. Die Freischaltung der Personen für diesen Sicherheitsabschnitt wird mit Hilfe einer zentralen Software realisiert, die die Zugangs- Terminals über einen Terminalcontroller instruiert, die Zugangstür zu diesem Produktionsabschnitt nur für berechtigte Personen zu öffnen. B.1.2. Zutrittskontrolle während produktionsfreier Tage bzw. produktionsfreier Nachtstunden Der Schutz der Bürogebäude und Produktionsgebäude vor unberechtigtem Zutritt (Einbruch, Sabotage) erfolgt durch eine elektronische Melde- und Übertragungsanlage, die auf eine Notruf- und Servicezentrale aufgeschaltet ist. Bei eingehenden Alarmsignalen erfolgt durch eine beauftragte Sicherheitsfirma die Alarmbearbeitung nach einem Rahmenalarmplan. 01-ISM-DS-002_TOMs_SDV-Gruppe / V 1.0 / Stand 12.03.2018 / öffentlich / 3 von 8

B.1.3. Zutrittskontrolle für externe Mitarbeiter Externe Mitarbeiter (Hilfskräfte der Produktion, Bürohilfskräfte, etc.) weisen sich mit einem Dienstausweis für Aushilfskräfte aus. Die externen Mitarbeiter führen die Dienstausweise ständig bei sich. B.1.4. Zutrittskontrolle für nicht zutrittsberechtigte Personen (Besucherregelung) Nicht zutrittsberechtigte Personen (z. B. Wartungstechniker, Lieferanten, Besucher) werden im Verwaltungsgebäude in Empfang genommen und betreten die Büro- und Produktionsgebäude in Begleitung eines Mitarbeiters. B.2. Zugangskontrolle B.2.0. Ziel der Zugangskontrolle Das Ziel der Zugangskontrolle ist es zu verhindern, dass Datenverarbeitungsanlagen von Unbefugten genutzt werden können. B.2.1. Zugangskontrolle zu zentralen Datenverarbeitungsanlagen Nur berechtigte Personen haben Zugang zu zentralen Datenverarbeitungsanlagen (Serverräume). Berechtigte Personen (Administratoren) besitzen Schlüssel zu den Serverräumen. Es gilt eine restriktive Schlüsselregelung. Wartungsarbeiten an zentralen Datenverarbei-tungsanlagen durch Fremdfirmen werden ausschließlich nur unter Beobachtung der Administratoren durchgeführt. B.2.2. Zugangskontrolle zu dezentralen Datenverarbeitungsanlagen Nur berechtigte Personen haben Zugang zu dezentralen Datenverarbeitungsanlagen (Büroarbeitsplatzrechner). Der Zugang zu dezentralen Datenverarbeitungsanlagen erfolgt mit Nutzernamen und Passwort. Nutzername und Passwort sind an den jeweiligen Nutzer gebunden und dürfen nicht weiter gegeben werden. Die Bildungsvorschrift der Passwörter unterliegt Domainrichtlinien (Zeichenlänge, Komplexität, Änderungszyklus und Passwortgenerationen). B.3. Zugriffskontrolle B.3.0. Ziel der Zugriffskontrolle Ziel der Zugriffskontrolle ist es, zu gewährleisten, dass die zur Benutzung einer Datenverarbeitungsanlage Berechtigten ausschließlich auf die ihrer Zugriffsberechtigungsstufe unterliegenden Daten zugreifen können. B.3.1. Zugriffskontrolle zum Datennetz Das Firmennetz ist durch eine Firewall geschützt. Die Firewall überwacht und protokolliert permanent den laufenden Datenverkehr aus und in Richtung Internet (Spionage/Sabotage). Nur Administratoren und deren Vorgesetzte haben das Recht, die Logfiles der Firewall zu überprüfen. Im Verdachtsfall der Sabotage bzw. der Spionage hat dieses Recht auch der Datenschutzbeauftragte. B.3.2. Zugriffskontrolle zu Software-Applikationen Nur berechtigte Personen haben Zugriff auf Software-Applikationen. Software-Applikationen, mit Hilfe derer besonders schützenswerte Daten verarbeitet werden, können nur durch Nutzerautorisierung mittels Benutzername/ Passwort aufgerufen werden. Beim Verlassen des Arbeitsplatzes werden die Arbeitsplatz- 01-ISM-DS-002_TOMs_SDV-Gruppe / V 1.0 / Stand 12.03.2018 / öffentlich / 4 von 8

rechner, an denen personenbezogene Daten verarbeitet werden, gesperrt. Die Entsperrung erfolgt über ein personengebundenes Passwort, welches nicht weitergegeben werden darf. B.4. Weitergabekontrolle B.4.0. Ziel der Weitergabekontrolle Durch die Weitergabekontrolle wird gewährleistet, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transportes oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welcher Stelle eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen sind. B.4.1. Weitergabekontrolle bei elektronischer Übertragung von Daten Vom Auftragnehmer wird eine verschlüsselte Datenübertragung vorausgesetzt. Dateiablageorte werden exklusiv für den Auftraggeber eingerichtet, so dass die eingehenden Daten nicht mit anderen Daten vermischt werden (Trennungsgebot). Eingehende Daten werden auf Richtigkeit und Vollständigkeit laut Weisungsvorschrift des Auftraggebers überprüft. Zur Übertragung personenbezogener Daten wird ein dedizierter Server eingesetzt, welcher den aktuellen Verschlüsselungsstandards entspricht. Der Login erfolgt über eine Benutzername- und Passwort-Kombination. Bei der Passwort-Vergabe greifen verschärfte Konventionen. Das Passwort wird dem Kunden auf einem physisch von den restlichen Zugangsdaten getrennten Übertragungskanal übermittelt. Auf die vom Kunden übermittelten Daten haben nur dazu berechtigte, dedizierte SDV-Mitarbeiter Zugriff. B.4.2. Weitergabekontrolle von Backupdaten Es ist gewährleistet, dass Datenträger auf denen sich Backupdaten befinden, verschlossen aufbewahrt werden. Lediglich für Administratoren besteht die technische Voraussetzung, auf die Backupdaten zum Zweck der Datenwiederherstellung zuzugreifen. Administratoren sind dazu verpflichtet, Daten jeder Art nur zur Sicherstellung von Funktionalitäten von Datenverarbeitungsanlagen zu verwenden. B.4.3. Weitergabekontrolle bei Datenvernichtung Der Auftragnehmer sammelt elektronische Datenträger (Disketten, CDs oder sonstige Speichermedien) die vernichtet werden sollen, in verschlossenen Spezialbehältern. Es gilt eine restriktive Schlüsselregelung. Die Datenvernichtung erfolgt aktenkundig durch einen dazu beauftragten zertifizierten Dienstleister. Der Auftragnehmer sammelt Akten, die vernichtet werden sollen, in verschlossenen Spezialbehältern. Es gilt eine restriktive Schlüsselregelung. Die Datenvernichtung erfolgt aktenkundig durch einen dazu beauftragten zertifizierten Dienstleister. 01-ISM-DS-002_TOMs_SDV-Gruppe / V 1.0 / Stand 12.03.2018 / öffentlich / 5 von 8

B.5. Eingabekontrolle B.5.0. Ziel der Eingabekontrolle Die Eingabekontrolle gewährleistet, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungsanlagen eingegeben, verändert oder entfernt worden sind. B.5.1. Eingabekontrolle durch Festlegung der Dateiverantwortlichkeit Nur explizit beauftrage Mitarbeiter haben das Recht, personenbezogene Daten in Datenverarbeitungsanlagen einzugeben, zu verändern oder zu entfernen. Die Beauftragung der Mitarbeiter erfolgt durch den zuständigen Abteilungsleiter, der die auszuführenden Arbeiten aus den vom Auftraggeber bereitgestellten Weisungen (Art. 28 DSGVO) entnimmt. B.5.2. Eingabekontrolle durch Regelung der Zugriffsrechte auf die personenbezogenen Daten Nur explizit beauftragte Mitarbeiter haben Zugriffsrechte auf personenbezogene Daten und die Methoden (Programme oder Programmteile, Operationen auf Objekten, Nutzung von Netzwerken, Druckern, Dateisystemen), um die personenbezogenen Daten zu verarbeiten. Zudem wird im Berechtigungskonzept festgelegt, welcher Benutzer welche Dateien und Verzeichnisse mit personenbezogenen Daten lesen, schreiben oder ausführen darf. Die Zugriffsrechte werden durch Administratoren an die Bearbeiter nach den Vorgaben der Abteilungsleiter unter Beachtung des Datentrennungsgebotes erteilt. Eine Änderung der Zugriffsrechte kann nur vom Abteilungsleiter ausgehend an den Administrator herangetragen werden, der daraufhin befugt ist, die Zugriffsrechte zu ändern. B.6. Auftragskontrolle B.6.0. Ziel der Auftragskontrolle Ziel der Auftragskontrolle ist es zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. B.6.1. Auftragskontrolle des Vertrages zur Auftragsdatenverarbeitung Der Auftragnehmer sichert zu, dass er die vom Auftraggeber bereitgestellten Daten entsprechend den Weisungen des Auftraggebers verarbeiten wird. Die Verarbeitung durch den Auftragnehmer erfolgt auf der Grundlage eines Vertrages, der gemäß den Anforderungen von Art. 28 DSGVO gestaltet ist. B.6.2. Auftragskontrolle und Mitteilungspflicht des Auftragnehmers Der Auftragnehmer wird die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen die DSGVO oder andere Vorschriften über den Datenschutz verstößt, wird er den Auftraggeber unverzüglich darauf hinweisen. B.7. Verfügbarkeitskontrolle B.7.0. Ziel der Verfügbarkeitskontrolle Durch die Verfügbarkeitskontrolle wird gewährleistet, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. 01-ISM-DS-002_TOMs_SDV-Gruppe / V 1.0 / Stand 12.03.2018 / öffentlich / 6 von 8

B.7.1. Sicherung und Wiederherstellung von Daten Nur Administratoren haben die Möglichkeit zur Sicherung und Wiederherstellung von personenbezogenen Daten. Die Standorte der Serverräume sind dezentralisiert. Es gilt ein restriktives Schlüsselkonzept. Serverkomponenten sind fest am Serverschrank verschraubt, um ein zufälliges Herausfallen von Komponenten zu verhindern. Sicherungskopien werden regelmäßig, entsprechend des Backup-Konzeptes, unter Verwendung eines Backup-Servers angefertigt. Die Datensicherung erfolgt je nach Erfordernis auf Festplatten oder Bandlaufwerken. Die Wiederherstellung von Daten wird regelmäßig überprüft. B.7.2. Virenschutz Der Auftragnehmer setzt eine zentral verwaltete Virenschutzlösung ein. Es wird sichergestellt, dass die Anti-Virensoftware jederzeit über die aktuellen Virendefinitionen verfügen. Die Installation der Anti-Virensoftware erfolgt auf den Server- und Clientsystemen. B.8. Zwecktrennungsgebot B.8.0. Ziel des Zwecktrennungsgebotes Ziel des Zwecktrennungsgebotes ist es zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. B.8.1. Logische Trennung von Daten innerhalb der Datenverarbeitungsanlage Zur logischen Trennung von Daten innerhalb von Datenverarbeitungsanlagen gilt eine restriktive Ordnerstruktur mit Zugriffsbeschränkungen. Die Zugriffsbeschränkungen werden durch Administratoren verwaltet. B.8.2. Abgestufte Berechtigungen innerhalb der Datenverarbeitungsanlage Ein Berechtigungskonzept regelt, welche Benutzer lesend und schreibend auf Datenbestände zugreifen können. Das Berechtigungskonzept wird durch die Administratoren umgesetzt. B.9. Belastbarkeitskontrolle B.9.0. Ziel der Belastbarkeitskontrolle Ziel der Belastbarkeitskontrolle ist die Gewährleistung und Erhaltung der Verfügbarkeit von Speicher-, Leistungs-, Zugriffs- und allgemeinen Netzwerk- und Rechenkapazitäten. B.9.1. Überwachung der Netzwerkdienste Sämtliche netzwerkbasierten Dienste werden durch ein proaktives Monitoring überwacht. B.9.2. Richtlinie Kapazitätsmanagement Werden definierte Grenzwerte einzelner Ressourcen nicht eingehalten, erfolgt eine automatische Notifikation über das Monitoring-System. Daraus resultierende Maßnahmen werden durch den Administrator eingeleitet. 01-ISM-DS-002_TOMs_SDV-Gruppe / V 1.0 / Stand 12.03.2018 / öffentlich / 7 von 8

C. Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen C.1. Ziel der Verfügbarkeitskontrolle bei einem Zwischenfall Ziel dieser Kontrolle ist die Gewährleistung der raschen Wiederherstellung der Verfügbarkeit der Dienste nach einem Zwischenfall. C.2. Notfallmanagement Ein umfassendes Notfallmanagement-Konzept sichert die Geschäftskontinuität nach einem schwerwiegenden Ereignis. Folgende wesentlichen Bestandteile des Sicherheitskonzeptes schaffen die Voraussetzungen für die Wirksamkeit des Notfallmanagements: Datensicherungskonzept unterbrechungsfreie Stromversorgung (USV) Redundante Infrastrukturen Virenschutz-/Patch-Management-Konzept C.3. Sicherheitsvorfall Die Reaktion auf Sicherheitsvorfälle nach einem gesteuerten Verfahren sichert die effektive Behandlung von relevanten Risiken. D. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung D.1. Ziel der Überprüfung der Wirksamkeit Ziel dieser Verfahren ist es die Effizienz und Effektivität der getroffenen Maßnahmen zu überwachen und diese zu optimieren. D.2. Verfahren für die Überwachung der Maßnahmen Folgende Verfahren dienen der regelmäßigen Evaluierung der Maßnahmen und liefern die erforderlichen Informationen für eventuell nötige Korrekturmaßnahmen: Umfassendes Datenschutz-Management-System (DMS) ISMS gemäß ISO 27001 Interne Audits Externe Audits (Kundenaudits, Zertifizierungsaudits) Auftragskontrolle 01-ISM-DS-002_TOMs_SDV-Gruppe / V 1.0 / Stand 12.03.2018 / öffentlich / 8 von 8

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback