Technische und organisatorische Massnahmen (TOM)

Version: 01.08.2023

Diese Dokumentation enthält die technischen und organisatorischen Massnahmen gemäss Art. 8 revDSG und Art. 24, 32 Abs. 1 DSGVO. Die Massnahmenkategorien werden den Schutzbedarfszielen Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit untergeordnet, wobei die Belastbarkeit als Unterkategorie der Verfügbarkeit betrachtet wird.

1. Vertraulichkeit

1.1 Zutrittskontrolle

Massnahmen Büroräumlichkeiten:

Videoüberwachung
Automatisches Zugangskontrollsystem
Elektronisches Schliesssystem mit Berechtigungsmanagement
Türen mit Knauf Aussenseite
Klingelanlage mit Kamera
Besucherregelung
Besucherbegleitung durch Mitarbeitende
Vertragliche Absicherung Servicepersonal (Reinigung)

Massnahmen Rechenzentren:

Videoüberwachung
Automatisches Zugangskontrollsystem
Elektronisches Schliesssystem mit Berechtigungsmanagement
Biometrische Zugangssperren
Restriktive Zugangsrichtlinien
Wachpersonal
Besucherbegleitung ausschliesslich durch berechtigte Mitarbeitende
Alarmsystem Eingänge
Vertragliche Absicherung mit Dienstleistern (Wartung)
Sicherheitsschlösser

1.2 Zugangskontrolle

Massnahmen:

strikte Fernzugriffsrichtlinien
wo möglich Zwei-Faktor-Authentifizierung
Firewall
regelmässige Überprüfung von Berechtigungen
verpflichtende Verschlüsselung von Datenverbindungen
Verhaltensrichtlinien für Mitarbeitende im Umgang mit schützenswerten Daten
Passwortrichtlinien
Zentrales Passwortmanagement
restriktive Berechtigungsregelung für besonders schützenswerte Daten
Mobile und Telearbeit Policy

1.3 Zugriffskontrolle

Massnahmen:

professionelle, externe Vernichtung von Datenträgern
Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten
Einsatz Berechtigungskonzepte
Minimale Anzahl an Administratoren
Verhaltensrichtlinien Administratoren
Verwaltung Benutzerrichtlinien durch Administratoren

1.4 Trennungskontrolle

Massnahmen:

Trennung von Produktiv- und Testumgebung
Physikalische Trennung (Systeme / Datenbanken / Datenträger)
Mandantenfähigkeit relevanter Anwendungen
Steuerung über Berechtigungskonzept
Festlegung von Datenbankrechten
restriktives Berechtigungskonzept

1.5 Pseudonymisierung

Massnahmen:

Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisieren
Pseudonymisierung personenbezogenen Daten zu analytischen Zwecken in Zusammenarbeit mit Dritten

2. Integrität

2.1 Weitergabekontrolle

Massnahmen:

Einsatz VPN
Protokollierung der Zugriffe und Abrufe
Verschlüsselte Übertragung von Daten
Dokumentation der Datenempfänger sowie der Dauer der geplanten Über- lassung bzw. der Löschfristen
Weitergabe in anonymisierter oder pseudonymisierter Form
Lieferantenmanagement nach ISO 27001

2.2 Eingangskonrolle

Massnahmen:

Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
Klare Zuständigkeiten für Löschungen

3. Verfügbarkeit und Belastbarkeit

3.1 Verfügbarkeitskontrolle

Massnahmen:

Zusätzlicher Sicherheitsstandard durch ISO 27001 Zertifizierung
Feuer- und Rauchmeldeanlage
Automatisches Feuerlöschsystem
Klimaüberwachung Serverräume
USV
Notstromgenerator
Redundante Stromversorgung
RAID Systeme
Videoüberwachung
Alarmanlage
Backup- und Recoverykonzept (Business Continuity Policy)
Monitoringsysteme
Offsite Backups
Existenz eines Notfallplans
Redundante Netzzuleitung
Regelmässige Überprüfung und Tests der Notfallpläne
Incident-Management-Policy

4. Verfahren für regelmässige Überprüfung, Bewertung und Evaluierung

4.1 Datenschutzmassnahmen

Massnahmen:

Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung
Sicherheitszertifizierung nach ISO 27001
regelmässige Überprüfung der Wirksamkeit der technischen Schutzmassnahmen
Interner Datenschutzbeauftragte
Datenschutzpolicy für Mitarbeitende und Awarenesstraining
Sensibilisierung der Mitarbeitenden
CISO / interner Informationssicherheitsbeauftrage
Externe Audits
Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach

4.2 Incident-Response-Managment

Massnahmen:

Einsatz von Firewall
regelmässige Aktualisierung
regelmässige Überprüfung nach Sicherheitslücken
Risikomanagement
Spamfilter
Virenscanner
Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
Incident-Management-Policy

4.3 Datenschutzfreundliche Voreinstellungen

Massnahmen:

Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind

4.4 Auftragskontrolle

Massnahmen:

Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmass- nahmen und deren Dokumentation
Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit
Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus
Sorgfalt bei Auswahl von Lieferanten

Compute

Storage

Network

Container

Streaming

Outsourcing

Database

Ich möchte...

Streaming Lösungen

Cloud-Ansätze

Modern Infrastructure

Business Continuity

Managed Services

Consulting

Profitieren Sie von 25 Jahren Erfahrung im IT-Bereich.

Über Uns

Wichtiges

Netstream AG

Technische und organisatorische Massnahmen (TOM)

1. Vertraulichkeit

1.1 Zutrittskontrolle

1.2 Zugangskontrolle

1.3 Zugriffskontrolle

1.4 Trennungskontrolle

1.5 Pseudonymisierung

2. Integrität

2.1 Weitergabekontrolle

2.2 Eingangskonrolle

3. Verfügbarkeit und Belastbarkeit

3.1 Verfügbarkeitskontrolle

4. Verfahren für regelmässige Überprüfung, Bewertung und Evaluierung

4.1 Datenschutzmassnahmen

4.2 Incident-Response-Managment

4.3 Datenschutzfreundliche Voreinstellungen

4.4 Auftragskontrolle

Rund und Ihre Services

Links

Erfahren Sie mehr.