20_TOMs Check: Datensicherheitsmaßnahmen

TOMs Check: Datensicherheitsmaßnahmen

Version: 0.4.2.
Change Log

Version 0.3.: 30.10.2018, HAG
- Vollständige Überarbeitung der Vorgängerversion in Abstimmung mit den Schutzzwecken des Art 29 der RL 2016/680
- Breadcrumbs
- Vorschau und Ausdruckmöglichkeit
- E-Mail Benachrichtigung mit Edit-Link
- Danke-Seite
0.3.1: 23.11.18, HAG
- Benennung des Schutzzwecks in der Fragestellung
0.4.1. 17.01.2020, HAG
- Erweiterung des Fragenkatalogs "Zutrittskontrolle", Checkliste Ö Sicherheits-Handbuch
0.4.2. 21.05.2021, HAG
- Umbenennung des Fragebogen in "Quick Check Datensicherheitsmaßnahmen (TOMs)"
- Link zur Datenschutzerklärung
- Kontaktaufnahme
- Einbindung in Website
Nachfolgende Fragen dienen zur Feststellung des Status Quo der technischen und organsiatorischen Maßnahmen zur Sicherheit bei der Verarbeitung von personenbezogenen Daten in ihrem Unternehmen.

Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Befragung ist nicht gestattet.

Sie erhalten vor dem Absenden des Fragebogens noch die Gelegenheit ihre Einträge zu prüfen, zu korrigieren und auszudrucken.

Weiters bekommen Sie die ausgefüllten Fragebogen per E-Mail übermittelt. Das E-Mail beinhaltet ausserdem einen Link zur erneuten Bearbeitung des ausgefüllten Formulars.

Dauer: ca 60 - 90 min

Vielen Dank im Voraus für Ihre Bemühungen.

Ing. Mag. Horst Greifeneder

--

Datenschutzbeauftragter.co.at
Schenkelbachweg 32.

A-4600 Wels. T 07242-77715.
office@datenschutzbeauftragter.co.at

Datenschutzinformation

Grunddaten

Nachfolgende Daten dienen uns zur sachgerechten Zuordnung der erhobenen Daten.
Name des Unternehmens
Bitte geben Sie hier den Namen des Unternehmens an.
Name des Ansprechpartners

Vorname Nachname
Email-Adresse des Ansprechpartners
Bitte geben Sie ihre E-Mail Adresse an.
Anmerkungen

Einleitung
Art 32 DSGVO verlangt vom Verantwortlichen oder Auftragsverarbeiter, dass sie gegeignete technische und organisatorische Maßnehmen zu treffen haben, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Nachfolgend erheben wir gemeinsam mit Ihnen das aktuelle Schutzniveau anhand von ausgewählten Schutzzwecken.

Die bezeichneten Maßnahmen stellen lediglich Anhaltspunkte für mögliche, technische und organisatorische Maßnahmen dar. Für eine DSGVO-konforme Umsetzung der Datensicherheit sind konkrete Maßnahmen unbedingt an die Gegebenheiten der Organisation und das Risiko, das sich aus der Verarbeitung der personenbezogenen Daten durch die Organisation für die betroffenen Personen ergibt, anzupassen und zu ergänzen.

Fertigstellung
Sie haben jetzt noch die Möglichkeit Ihre Antworten vor dem Absenden zu kontrollieren bzw auszudrucken. Nachdem Absenden erhalten Sie per E-Mail eine Kopie Ihrer Antworten mit einem Link zum Bearbeiten der Eintragungen zu gesandt.

Vielen Dank für Ihre Bemühungen.
Gerne würden wir mit Ihnen die Ergebnisse des Quick Checks erörtern. Haben Sie Interesse an einer unverbindlichen Kontaktaufnahme?

JA NEIN
Should be Empty:

	Ja	Nein	Teilweise	Weiß nicht	Nicht zutreffend
Ist ein zentraler Empfangsbereich für den Zutritt in den Unternehmensbereich (Pförtner/Empfang) vorhanden?
Protokollierung der Zu- und Abgänge von betriebsfremden Personen und/oder Mitarbeiterinnen und Mitarbeiter?
Ist ein Aufenthalt von Fremden im gesamten Unternehmensgebäude nur in Anwesenheit von Mitarbeitern gestattet?
Gibt es eine dokumentierte Richtlinie für zutrittsberechtigte Personen zu wichtigen Verarbeitungsbereichen, wie Rechner-/Serverraum?
Werden Eingänge zu wichtigen Verarbeitungsbereichen gegen Zutritt von Unbefugten durch entsprechende Kontrollmechanismen (z.B. Schlösser, Zutrittskontrollsysteme, Alarmanlagen) geschützt?
Gibt es ein physisches oder elektronisches Logbuch für den Zutritt zu wichtigen Verarbeitungsbereichen?
Wird sichergestellt, dass sämtliche zutrittsrelevante Geräte (z.B. Ausweise, Zutritts-Chips, Schlüssel uä) von einer ausscheidenden Person zurückgefordert und eingezogen werden?

	Ja	Nein	Teilweise	Weiß nicht	Nicht zutreffend
Authentisierung der Benutzer gegenüber dem Datenverarbeitungssystem. d.h. Identifikation durch Benutzernamen und Kennwort oder 2-Faktor-Verfahren
Schriftliche Regelungen zur starken Passwortvergabe für Mitarbeiterinnen und Mitarbeiter
Umgehende Sperrung von Berechtigungen beim Ausscheiden von Mitarbeitern
Regelmäßige Kontrolle der Gültigkeit von Berechtigungen (jährlich) der Mitarbeiterinnen und Mitarbeiter
Sicherung der Bildschirmarbeitsplätze bei Abwesenheit und laufendem System (Passwortschutz für Bildschirmschoner nach 5 Min. bis 15 Min, je nach Risiko des Missbrauchs)

	Ja	Nein	Teilweise	Weiß nicht	Nicht zutreffend
Datenträger mit personenbezogenen Daten wie Backups, externe Festplatten uä werden sicher, zB versperrt aufbewahrt
Personenbezogenen Daten werden auf mobilen Datenträgern, zB USB-Sticks oder externe Festplatten verschlüsselt gespeichert
Datenschutzgerechte Entsorgung nicht mehr benötigter oder defekter Datenträger nach dem jeweiligen Stand der Technik unter Beachtung der jeweils gültigen Normen (DIN 66399:2012)
Datenschutzgerechte Löschung von nicht mehr benötigten Daten auf Datenträgern
Die Ausgabe und Rückgabe von Datenträgern mit personenbezogenen Daten wird protokolliert

	Ja	Nein	Teilweise	Weiß nicht	Nicht zutreffend
Automatische Bildschirm- und Computersperre bei Verlassen des Arbeitsplatzes
Pseudonymisierung oder Verschlüsselung bei der Speicherung von personenbezogenen Daten
Trennung von Entwicklungs- und Produktionssystemen bei der Verarbeitung von personenbezogenen Daten
Überprüfung und Protokollierung von Benutzerberechtigungen bei der Erhebung und Verarbeitung von personenbezogenen Daten
Dokumentation und Kontrolle einer Clean-Desk Policy

	Ja	Nein	Teilweise	Weiß nicht	Nicht zutreffend
Einsatz von Sicherheitssystemen wie Firewall, VPN, WLAN-Passwort, Virenscanner oä zum Schutz von unberechtigter Benutzung von Systemen und Netzwerkzugängen
Dokumentation und Protokollierung von Benutzerberechtigungen zur Übermittlung von personenbezogenen Daten
Benutzerauthentisierung bei Remotezugriffen auf das Datenverarbeitungssystem, zB Identifikationsverfahren wie Benutzernamen und Kennwort oä
Protokollierung und Kontrolle von Nutzeraktivitäten bei der Nutzung über das Netzwerk

TOMs Check: Datensicherheitsmaßnahmen

Grunddaten

Einleitung

Zutrittskontrolle

Zugangskontrolle

Datenträgerkontrolle

Speicherkontrolle

Benutzerkontrolle

Zugriffskontrolle

Übertragungskontrolle

Eingabekontrolle

Transportkontrolle

Wiederherstellung

Zuverlässigkeit & Datenintegrität

Fertigstellung

	Ja	Nein	Teilweise	Weiß nicht	Nicht zutreffend
Erstellung von datenschutzgerechten Benutzerprofilen, d.h. dokumentierte Festlegung von Zugriffsberechtigungen für die zweckbezogene Verarbeitung von personenbezogenen Daten
Jährliche Überprüfung der datenschutzgerechten Konfiguration und Erforderlichkeit der in Verwendung befindlichen Benutzerprofile
Schriftliche Regelung zur Zulässigkeit/zum Verbot des Einsatzes von privaten Datenträgern und Netzwerkkomponenten
Implementierung von Maßnahmen zum Schutz vor unerlaubten Datenabflüssen (Einschränkungen der USB-Schnittstellen, Data-Leakage-Detection/Prevention/Protection Software, etc.)
Ausschluss der privaten Internet- und E-Mail Nutzung für Mitarbeiter, die zeitgleich Zugriff auf Daten des Auftraggebers haben.

	Ja	Nein	Teilweise	Weiß nicht	Nicht zutreffend
Dokumentierte Festlegungen von berechtigten oder zweckmässigen Stellen (Empfängern) zur Übermittlung von personenbezogenen Daten
Schriftliche Protokollierung der Übermittlung von personenbezogenen Daten an Empfänger
Dokumentierte Festlegung von sicheren, risiko-orientierten Verfahren zur Übermittlung von personenbezogenen Daten an Empfänger
Dokumentierte Festlegung von Weisungsbefugnissen zur Übermittlung von personenbezogenen Daten an Empfänger

	Ja	Nein	Teilweise	Weiß nicht	Nicht zutreffend
Führung revisionssicherer (dokumentierter, nachvollziehbarer) Zugriffsberechtigungen für die Dateneingabe
Protokollierung von Eingabe, Veränderungen oder Löschung personenbezogener Daten
Regelung zu Zugriffsbefugnissen auf erstellte Protokolldaten
Dokumentierte Verfahren und Berechtigungen zur Löschung für Protokolldaten
Einsatz von Prüfsummen, elektronischen Signaturen in Datenverarbeitungsprozessen gemäß eines Kryptokonzepts

	Ja	Nein	Teilweise	Weiß nicht	Nicht zutreffend
Einsatz von Sicherheitssystemen wie Firewall, VPN, WLAN-Passwort, Virenscanner oä zum Schutz der Übertragung von Daten
Einsatz von sicheren Verfahren zB SSL odr PGP bei der Übertragung von personenbezogenen Daten zB via Webformular oder E-Mails
Einsatz von Verschlüsselung oder anderer sicherer Verfahren beim Transport von Datenträgern
Einsatz von Prüfsummen oder elektronischen Signaturen bei der Übermittlung oder beim Transport von personenbezogenen Daten
Protokollierung des Ausgangs und Eingangs von Datenträgern

	Ja	Nein	Teilweise	Weiß nicht	Nicht zutreffend
Einsatz von unterbrechungsfreier Stromversorgung (USV) bei geschäftskritischen Systemen zur Verarbeitung von personenbezogenen Daten
Automatische Feuer- und Rauchmeldeanlagen, zB CO2 Feuerlöschgerät im/vor Serverraum
Regelmäßige datenschutzkonforme Sicherung der Datenbestände (Backups, SnapShots, Images) und Aufbewahrung der Sicherungen an einem sicheren Ort (Auslagerung)
Redundanz von geschäftskritischer Hard- und Software sowie Netzwerkinfrastruktur Infrastruktur zur Verabreitung von personenbezogenen Daten
Existenz eines Business-Continuity Konzepts zur Fortführung des Systembetriebs in Notfällen

	Ja	Nein	Teilweise	Weiß nicht	Nicht zutreffend
Regelmäßiges Update der geschäftskritischen Softwarekomponenten zur Verarbeitung von personenbezogenen Daten
Regelmäßige Kontrolle von Systemlogs oä in Hinblick auf etwaige Fehlfunktionen des Systems oder wichtiger Systemkomponenten
Regelmäßige Überprüfung der Konsistenz von Datenbeständen in Datenbanken zur Sicherstellung der Zuverlässigkeit und Integrität