organisationsübergreifende Richtlinien für Datenschutz und Informationssicherheit
das Management von Datenschutzvorfällen (durch formalisierte Prozesse und Verantwortlichkeiten),
Regeln und Vorschriften für Mitarbeiter – Verpflichtung der Mitarbeiter zur Vertraulichkeit und Einhaltung des Datenschutzes bei Beschäftigungsbeginn – Dienstanweisungen
regelmäßige Datenschutzschulungen für Mitarbeiter.
Login mit Benutzername und Passwort, d.h. Einrichtung eines persönlichen und individuellen Benutzerkontos, – Definition bestimmter Anforderungen für das Passwort, etwa Sonderzeichen, Mindestlänge, regelmäßiger Kennwortwechsel, – automatische Sperrung (z.B. Kennwort oder Pausenschaltung), – Protokollierung der Anmeldeversuche und Abbruch des Anmeldevorgangs nach festgelegter Anzahl von erfolglosen Versuchen,
die Vergabe von Zugriffsrechten und die Verwaltung von Benutzerberechtigungen,
Rollen- und Rechtevergabe über ein systemseitig implementiertes und dokumentiertes Rollen- und Berechtigungskonzept
die Anonymisierung von Daten, d.h. Entfernung des Personenbezugs,
die Pseudonymisierung, d.h. die derartige Veränderung von Daten, dass der unmittelbare Personenbezug entfernt und der Schutz vor missbräuchlicher Verwendung erhöht wird,
Verschlüsselung von Daten, für die verschlüsselte Speicherung oder den verschlüsselten Transport,
Multi-Faktor-Authentifizierung oder Zwei-Faktor-Authentifizierung,
Einsatz von VPN bei Remote-Zugriffen,
Schutz vor schädlichem Code (Viren, Spyware) durch den Einsatz von Firewalls und Anti-Virus-Software (Server und Mobilgeräten),
Abkapselung von sensiblen Systemen durch getrennte Netzbereiche,
Trennung von Test- und Produktivsystemen,
Systemische Trennung von Kunden- und Mitarbeiterdaten.
Protokollierung und Logging innerhalb der Systeme, wodurch nachträglich überprüft und festgestellt wird, ob und von wem Daten verändert wurden,
Protokollierung sämtlicher Systemaktivitäten und Aufbewahrung dieser Protokolle von mindestens drei Jahren,
Einsatz von Protokollauswertungsystemen.
Übermittlung von Daten über verschlüsselte Datennetze oder Tunnelverbindungen (VPN),
Verschlüsselungsverfahren die Datenveränderungen während des Transports aufdecken,
Logging, d.h. Speicherung von Log-Files mit den wesentlichen Informationen (Datenempfänger, Datenbereitsteller, Zweck der Übermittlung, Genehmigung, Datum der Übermittlung).
physische Zugangskontrollen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen verwehren, – Klingelanlagen, – automatische Zutrittskontrollsysteme mittels Chipkarten und Transpondern – Kontrolle des Zutritts durch einen Empfang oder Pförtnerdienste etc.,
Schutz von Hardware, d.h. insbesondere Servern, Telekommunikationsanlagen, Netzwerktechnik vor äußerem Zugriff durch, – verschließbare Serverschränke, – Überwachungseinrichtungen z.B. Alarmanlagen, Videoüberwachung,
Sicherheit im Umgang mit Papierdokumenten und Datenträgern, – abschließbare Schränke und Büros, – Aktenschredder und Aktentonne zur Aktenvernichtung, – sicherer Transportbehälter bei einem physischen Transport eines Datenträgers,
Schutz von Daten gegen zufällige Zerstörung oder Verlust, etwa durch Konzepte zum Brandschutz und zur Datensicherung, Systemmonitoring etc.
Notfallpläne und Backupkonzepte, die alle Daten und Systeminformationen umfassen und absichern,
regelmäßige Datensicherung,
Spiegeln von Festplatten,
Unterbrechungsfreie Stromversorgung, – die Absicherung kritischer Systeme mit einer robusten Stromversorgung (Kompensation von Stromschwankungen, Ausgleich von Stromausfall) – Nutzung unterschiedlicher Stromquellen
Brandschutz, d.h. insbesondere Ausstattung der Serverräume mit Brand- und Rauchmeldern,
Installation von Klimaanlagen zum Schutz der Hardware vor Überhitzung,
Alarmanlage
regelmäßige Tests der Datenwiederherstellung.
kontinuierliche Überprüfung und Weiterentwicklung des Datenschutzmanagements,
regelmäßige Re-Zertifizierung, d.h. neuerliche Prüfung ob die Anforderungen festgelegter Kompetenzen noch erfüllt werden,
formalisiertes Auftragsmanagement, d.h. für den Einsatz von Auftragsverarbeitern werden feste Regeln festgesetzt insb. hinsichtlich Auswahl, Überprüfung, Abschluss notwendiger Zusatzvereinbarungen
Service-Level-Agreements für die Durchführung von Kontrollen
Link kopieren