20_TOMs Check: Datensicherheitsmaßnahmen

TOMs Check: Datensicherheitsmaßnahmen

Version: 5.2
Change Log

5.2. 07.03.2023, HAG
- "Verarbeitungsorte" und Ergänzung um Homeoffice und mobile Arbeitsplätze;
- Teilweise Erweiterung bzw Modifikation des Fragenkatalogs einzelner Bereiche;
- Löschung des Bereichs "Speicherkontrolle"
5.1 20.02.2023, HAG
- Umbenennung des Fragebogen in "TOMs Check:Datensciherheitsmaßnahmen";
- Änderung der Reihenfolge beim Change Log;
- Reduktion der Antwortmöglichkeiten auf Ja/Nein;
- Zugangskontrolle: Änderung des Wortlauts einzelner Fragen; Eigene Frage nach 2-Faktoren-Identifizierung;
- Abstimmung der Ziele auf die Texte im Automatisierten Bericht;
- Benutzerkontrolle: Textänderungen bei Fragen;
- Änderung der Bezeichnung von Übertragungskontrolle auf Weitergabekontrolle;
- Frage nach den Standorten bzw Unternehemnsbereichen;
Version 0.3.: 30.10.2018, HAG
- Vollständige Überarbeitung der Vorgängerversion in Abstimmung mit den Schutzzwecken des Art 29 der RL 2016/680
- Breadcrumbs
- Vorschau und Ausdruckmöglichkeit
- E-Mail Benachrichtigung mit Edit-Link
- Danke-Seite
0.3.1: 23.11.18, HAG
- Benennung des Schutzzwecks in der Fragestellung
0.4.1. 17.01.2020, HAG
- Erweiterung des Fragenkatalogs "Zutrittskontrolle", Checkliste Ö Sicherheits-Handbuch
0.4.2. 21.05.2021, HAG
- Umbenennung des Fragebogen in "Quick Check Datensicherheitsmaßnahmen (TOMs)"
- Link zur Datenschutzerklärung
- Kontaktaufnahme
- Einbindung in Website
Einleitung

Art 32 DSGVO verlangt vom Verantwortlichen oder Auftragsverarbeiter, dass sie gegeignete technische und organisatorische Maßnehmen zu treffen haben, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Bitte beachten Sie, dass sich nachfolgende Angaben nur auf den zentralen Verarbeitungsort von personenbezogenen Daten im Unternehmen beziehen sollen. Weitere Verarbeitungsorte wie Homeoffice, Produktionsstätten oä sind nicht Gegenstand dieser Umfrage.

Nachfolgende Fragen dienen zur Feststellung des Status Quo der technischen und organsiatorischen Maßnahmen zur Sicherheit bei der Verarbeitung von personenbezogenen Daten in ihrem Unternehmen. Ihre Antworten bilden die Grundlage zur Erstellung der allgemeinen Beschreibung der Datensicherheitsmaßnahmen.

Organisatorisches

Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Befragung ist nicht gestattet.

Sie erhalten vor dem Absenden des Fragebogens noch die Gelegenheit ihre Einträge zu prüfen, zu korrigieren und auszudrucken.

Weiters bekommen Sie die ausgefüllten Fragebogen per E-Mail übermittelt. Das E-Mail beinhaltet ausserdem einen Link zur erneuten Bearbeitung des ausgefüllten Formulars.

Dauer: ca 30 - 45 min

Vielen Dank im Voraus für Ihre Bemühungen.

Ing. Mag. Horst Greifeneder

--

Datenschutzbeauftragter.co.at
Schenkelbachweg 32.

A-4600 Wels. T 07242-77715.
office@datenschutzbeauftragter.co.at

Datenschutzinformation

Grunddaten

Nachfolgende Daten dienen uns zur Zuordnung der erhobenen Daten.
Name des Unternehmens
Bitte geben Sie hier den Namen des Unternehmens an.
Name des Ansprechpartners

VornameNachname
Email-Adresse des Ansprechpartners
Bitte geben Sie ihre E-Mail Adresse an.
Gibt es mehrere Orte, zB Filialen oder sonstige, innerhalb und außerhalb der EU, an denen personenbezogene Daten vom Unternehmen als Verantwortlicher verarbeitet werden? (Anmerkung: Mehrfachantworten sind möglich)

Nein, es gibt nur einen zentralen Verarbeitungsort, zB Zentrale vor Ort (On-Premise);Ja, es gibt mehrere lokale Verarbeitungsorte in Österreich, zB Produktionsstätten, Lager, Filialen;Ja, es gibt Verarbeitungsorte innerhalb der EU, zB Gesellschaften innerhalb der EU/EWR;Ja, es gibt Verarbeitungsorte außerhalb der EU, zB Gesellschaften in Drittstaaten (USA, CH,...);Ja, es gibt sonstige Verarbeitungsorte wie Homeoffice, mobile Arbeitsplätze;
Ergänzende Anmerkungen zum zentralen Verarbeitungsort
Beschreiben Sie kurz die zentrale Infrastruktur wie Hardware, Software, Netzwerk, Telekommunikation zur Verarbeitung von personenbezogenen Daten vor Ort

Fertigstellung
Sie haben jetzt noch die Möglichkeit Ihre Antworten vor dem Absenden zu kontrollieren bzw auszudrucken. Nachdem Absenden erhalten Sie per E-Mail eine Kopie Ihrer Antworten mit einem Link zum Bearbeiten der Eintragungen zu gesandt.

Vielen Dank für Ihre Bemühungen.
Should be Empty:

	Ja	Nein	Nicht zutreffend
Zentraler Empfangsbereich für den Zutritt in den Unternehmensbereich (Pförtner/Empfang);
Protokollierung der Zu- und Abgänge von betriebsfremden Personen;
Aufenthalt von Fremden im gesamten Unternehmensbereich nur in Begleitung gestattet;
Dokumentierte Richtlinie für zutrittsberechtigte Personen zu wichtigen Verarbeitungsbereichen, wie Rechner-/Serverraum;
Eingänge zu wichtigen Verarbeitungsbereichen werden gegen Zutritt von Unbefugten durch entsprechende Kontrollmechanismen (z.B. Schlösser, Zutrittskontrollsysteme, Alarmanlagen) geschützt;
Gibt es ein physisches oder elektronisches Logbuch für den Zutritt zu wichtigen Verarbeitungsbereichen;
Rückgabeprotokoll für sämtliche physische Zutrittsberechtigungen, wie Ausweise, Zutritts-Chips, Schlüssel bei ausscheidenden Mitarbeitern;

	Ja	Nein	Nicht zutreffend
Anmeldung und Authentisierung der Benutzer durch eindeutige Benutzernamen und starkes Passwort;
Anmeldung und Authentisierung der Benutzer durch 2-Faktor-Verfahren und/oder biometrische Verfahren;
Schriftliche Regelungen zur starken Passwortvergabe für Mitarbeiterinnen und Mitarbeiter;
Umgehende Sperrung von Benutzerkonten und Berechtigungen beim Ausscheiden von Mitarbeitern;
Einsatz von VPN-Technologie bei Remote-Zugängen zu personenbezogenen Datenverarbeitungen;
Einsatz von Intrusion-Detection-Systemen zur zur Erkennung von Angriffen auf Systeme oder Datenbanken;
Regelmäßige Kontrolle der Gültigkeit von Konten und Berechtigungen der Mitarbeiterinnen und Mitarbeiter;
Sicherung der Bildschirmarbeitsplätze bei Abwesenheit und laufendem System (Passwortschutz für Bildschirmschoner);

	Ja	Nein	Nicht zutreffend
Erstellung von datenschutzgerechten Benutzerprofilen, d.h. dokumentierte Festlegung von Zugriffsberechtigungen für die zweckbezogene Verarbeitung von personenbezogenen Daten;
Jährliche Überprüfung der datenschutzgerechten Konfiguration und Erforderlichkeit der in Verwendung befindlichen Benutzerprofile;
Schriftliche Regelung zur Zulässigkeit/zum Verbot des Einsatzes von privaten Datenträgern und Netzwerkkomponenten;
Implementierung von Maßnahmen zum Schutz vor unerlaubten Datenabflüssen (Einschränkungen der USB-Schnittstellen, Data-Leakage-Detection/Prevention/Protection Software, etc.);
Ausschluss der privaten Internet- und E-Mail Nutzung für Mitarbeiter, die zeitgleich Zugriff auf personenbezogene Daten haben;
Einsatz von Pseudonymisierungsverfahren bei ausgewählten Verarbeitungstätigkeiten zum Schutz der Vertraulichkeit von personenbezogenen Daten;

	Ja	Nein	Nicht zutreffend
Datenträger mit personenbezogenen Daten wie Backups werden sicher aufbewahrt;
Verschlüsselung von mobilen Datenträgern, zB USB-Sticks oder externe Festplatten;
Physische Löschung von Datenträgern vor Wiederverwendung;
Datenschutzgerechte Entsorgung nicht mehr benötigter oder defekter Datenträger nach dem jeweiligen Stand der Technik unter Beachtung jeweils gültiger Normen, wie DIN 66399:2012;
Einsatz von Aktenvernichtern bzw Dienstleistern bei der Entsorgung von Schriftstücken und Ordnern;
Die Ausgabe und Rückgabe von Datenträgern mit personenbezogenen Daten wird protokolliert

	Ja	Nein	Nicht zutreffend
Personenbezogene Daten können nur von berechtigten Personen erfasst, verändert und gelöscht werden;
Überwachung und Protokollierung von ausgewählten Benutzeraktivitäten beim Zugriff auf personenbezogenen Daten über das Internet bzw firmeninterne Netzwerk;
Überwachung und Protokollierung von ausgewählten Benutzeraktivitäten bei der Verarbeitung und Übermittlung von personenbezogenen Daten;
Überwachung und Protokollierung von ausgewählten Benutzeraktivitäten bei Remotezugriffen auf personenbezogene Daten;;
Protokollierung und Kontrolle von Benutzern bei der Verarbeitung von personenbezogenen Daten über das Netzwerk;

TOMs Check: Datensicherheitsmaßnahmen

Grunddaten

Zutrittskontrolle

Zugangskontrolle

Zugriffskontrolle

Datenträgerkontrolle

Benutzerkontrolle

Weitergabekontrolle

Eingabekontrolle

Transportkontrolle

Wiederherstellung

Zuverlässigkeit & Datenintegrität

Fertigstellung

	Ja	Nein	Nicht zutreffend
Regelungen für die sichere Weitergabe von personenbezogenen Daten an externe Empfänger;
Regelungen für die Verschlüsselung von elektronischen Nachrichten mit personenbezogenen Daten;
Dokumentierte Festlegungen von berechtigten Stellen (Empfängern) zur Übermittlung von personenbezogenen Daten;
Schriftliche Protokollierung der Übermittlung von personenbezogenen Daten an Empfänger;
Dokumentierte Festlegung von Weisungsbefugnissen zur Übermittlung von personenbezogenen Daten an Empfänger;
Personenbezogene Daten werden an interne Stellen (außerhalb des Intranets) und Dritte nur über sichere Netzwerkverbindungen (z.B. sichere Protokolle, VPN-Verbindung) übermittelt;

	Ja	Nein	Nicht zutreffend
Führung revisionssicherer (dokumentierter, nachvollziehbarer) Zugriffsberechtigungen für die Dateneingabe;
Benutzerbezogene Protokollierung von Eingabe, Veränderungen oder Löschung personenbezogener Daten;
Benutzerbezogene Verfahren und Berechtigungen zur Einsichtnahme und Löschung für Protokolldaten;
Einsatz von Prüfsummen, elektronischen Signaturen in Datenverarbeitungsprozessen gemäß eines Kryptokonzepts;
Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts;
Aufbewahrung von Aufzeichnungen, von denen personenbezogene Daten in automatisierte Verarbeitungen übernommen worden sind;

	Ja	Nein	Nicht zutreffend
Einsatz von Sicherheitssystemen wie Firewall, VPN, WLAN-Passwort, Virenscanner oä zum Schutz der Übertragung von Daten
Einsatz von sicheren Verfahren zB SSL odr PGP bei der Übertragung von personenbezogenen Daten zB via Webformular oder E-Mails
Einsatz von Verschlüsselung oder anderer sicherer Verfahren beim Transport von Datenträgern
Einsatz von Prüfsummen oder elektronischen Signaturen bei der Übermittlung oder beim Transport von personenbezogenen Daten
Protokollierung des Ausgangs und Eingangs von Datenträgern

	Ja	Nein	Nicht zutreffend
Einsatz von unterbrechungsfreier Stromversorgung (USV) bei geschäftskritischen Systemen zur Verarbeitung von personenbezogenen Daten
Automatische Feuer- und Rauchmeldeanlagen, zB CO2 Feuerlöschgerät im/vor Serverraum
Regelmäßige datenschutzkonforme Sicherung der Datenbestände (Backups, SnapShots, Images) und Aufbewahrung der Sicherungen an einem sicheren Ort (Auslagerung)
Redundanz von geschäftskritischer Hard- und Software sowie Netzwerkinfrastruktur zur Verarbeitung von personenbezogenen Daten
Existenz eines Notfallplans zur Fortführung des Systembetriebs in Notfällen

	Ja	Nein	Teilweise	Weiß nicht	Nicht zutreffend
Regelmäßiges Update der geschäftskritischen Softwarekomponenten zur Verarbeitung von personenbezogenen Daten
Regelmäßige Kontrolle von Systemlogs oä in Hinblick auf etwaige Fehlfunktionen des Systems oder wichtiger Systemkomponenten
Regelmäßige Überprüfung der Konsistenz von Datenbeständen in Datenbanken zur Sicherstellung der Zuverlässigkeit und Integrität