Technische und organisatorische Massnahmen (TOM)

Version: 01.08.2023

Diese Dokumentation enthält die technischen und organisatorischen Massnahmen gemäss Art. 8 revDSG und Art. 24, 32 Abs. 1 DSGVO. Die Massnahmenkategorien werden den Schutzbedarfszielen Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit untergeordnet, wobei die Belastbarkeit als Unterkategorie der Verfügbarkeit betrachtet wird.

1. Vertraulichkeit

1.1 Zutrittskontrolle

Massnahmen Büroräumlichkeiten:

  • Videoüberwachung
  • Automatisches Zugangskontrollsystem
  • Elektronisches Schliesssystem mit Berechtigungsmanagement
  • Türen mit Knauf Aussenseite
  • Klingelanlage mit Kamera
  • Besucherregelung
  • Besucherbegleitung durch Mitarbeitende
  • Vertragliche Absicherung Servicepersonal (Reinigung)
 

Massnahmen Rechenzentren:

  • Videoüberwachung
  • Automatisches Zugangskontrollsystem
  • Elektronisches Schliesssystem mit Berechtigungsmanagement
  • Biometrische Zugangssperren
  • Restriktive Zugangsrichtlinien
  • Wachpersonal
  • Besucherbegleitung ausschliesslich durch berechtigte Mitarbeitende
  • Alarmsystem Eingänge
  • Vertragliche Absicherung mit Dienstleistern (Wartung)
  • Sicherheitsschlösser

1.2 Zugangskontrolle

Massnahmen:

  • strikte Fernzugriffsrichtlinien
  • wo möglich Zwei-Faktor-Authentifizierung
  • Firewall
  • regelmässige Überprüfung von Berechtigungen
  • verpflichtende Verschlüsselung von Datenverbindungen
  • Verhaltensrichtlinien für Mitarbeitende im Umgang mit schützenswerten Daten
  • Passwortrichtlinien
  • Zentrales Passwortmanagement
  • restriktive Berechtigungsregelung für besonders schützenswerte Daten
  • Mobile und Telearbeit Policy

1.3 Zugriffskontrolle

Massnahmen:

  • professionelle, externe Vernichtung von Datenträgern
  • Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten
  • Einsatz Berechtigungskonzepte
  • Minimale Anzahl an Administratoren
  • Verhaltensrichtlinien Administratoren
  • Verwaltung Benutzerrichtlinien durch Administratoren

1.4 Trennungskontrolle

Massnahmen:

  • Trennung von Produktiv- und Testumgebung
  • Physikalische Trennung (Systeme / Datenbanken / Datenträger)
  • Mandantenfähigkeit relevanter Anwendungen
  • Steuerung über Berechtigungskonzept
  • Festlegung von Datenbankrechten
  • restriktives Berechtigungskonzept

1.5 Pseudonymisierung

Massnahmen:

  • Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisieren
  • Pseudonymisierung personenbezogenen Daten zu analytischen Zwecken in Zusammenarbeit mit Dritten

2. Integrität

2.1 Weitergabekontrolle

Massnahmen:

  • Einsatz VPN
  • Protokollierung der Zugriffe und Abrufe
  • Verschlüsselte Übertragung von Daten
  • Dokumentation der Datenempfänger sowie der Dauer der geplanten Über- lassung bzw. der Löschfristen
  • Weitergabe in anonymisierter oder pseudonymisierter Form
  • Lieferantenmanagement nach ISO 27001

2.2 Eingangskonrolle

Massnahmen:

  • Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
  • Klare Zuständigkeiten für Löschungen

3. Verfügbarkeit und Belastbarkeit

3.1 Verfügbarkeitskontrolle

Massnahmen:

  • Zusätzlicher Sicherheitsstandard durch ISO 27001 Zertifizierung
  • Feuer- und Rauchmeldeanlage
  • Automatisches Feuerlöschsystem
  • Klimaüberwachung Serverräume
  • USV
  • Notstromgenerator
  • Redundante Stromversorgung
  • RAID Systeme
  • Videoüberwachung
  • Alarmanlage
  • Backup- und Recoverykonzept (Business Continuity Policy)
  • Monitoringsysteme
  • Offsite Backups
  • Existenz eines Notfallplans
  • Redundante Netzzuleitung
  • Regelmässige Überprüfung und Tests der Notfallpläne
  • Incident-Management-Policy

4. Verfahren für regelmässige Überprüfung, Bewertung und Evaluierung

4.1 Datenschutzmassnahmen

Massnahmen:

  • Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung
  • Sicherheitszertifizierung nach ISO 27001
  • regelmässige Überprüfung der Wirksamkeit der technischen Schutzmassnahmen
  • Interner Datenschutzbeauftragte
  • Datenschutzpolicy für Mitarbeitende und Awarenesstraining
  • Sensibilisierung der Mitarbeitenden
  • CISO / interner Informationssicherheitsbeauftrage
  • Externe Audits
  • Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach

4.2 Incident-Response-Managment

Massnahmen:

  • Einsatz von Firewall
  • regelmässige Aktualisierung
  • regelmässige Überprüfung nach Sicherheitslücken
  • Risikomanagement
  • Spamfilter
  • Virenscanner
  • Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
  • Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
  • Incident-Management-Policy

4.3 Datenschutzfreundliche Voreinstellungen

Massnahmen:

  • Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind

4.4 Auftragskontrolle

Massnahmen:

  • Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmass- nahmen und deren Dokumentation
  • Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit
  • Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus
  • Sorgfalt bei Auswahl von Lieferanten
Seite durchsuchen...
search

Erfahren Sie mehr.

Erfahren Sie mehr über Ihre Möglichkeiten mit der Netstream Cloud. Hinterlassen Sie Ihre Kontaktdaten und wir melden uns bei Ihnen.

Oder rufen Sie uns an unter:
058 058 40 00