Dirk: Dirk verschob die Seite TOMs im Grundschutz nach Datenschutz:TOMs im Grundschutz

2026-05-02T16:22:14Z

Dirk verschob die Seite TOMs im Grundschutz nach Datenschutz:TOMs im Grundschutz

← Nächstältere Version	Version vom 2. Mai 2026, 18:22 Uhr
(kein Unterschied)

Dirk: Die Seite wurde neu angelegt: „{{Vorlage:Entwurf}} {{#seo: |title=Mapping von TOMs auf Anforderungen des BSI IT-Grundschutz |description=Kurzartikel zum Mapping von TOMs auf Anforderungen des BSI IT-Grundschutz. }} {{SHORTDESC:Mapping von TOMs auf Anforderungen des BSI IT-Grundschutz.}} Im Rahmen des Datenschutzes ist die wirksame Umsetzung von technischen und organisatorischen Maßnahmen (TOM) von entscheidender Bedeutung. Der IT-Grundschutz bietet hierfür eine fundierte Grundlage.…“

2024-08-11T07:38:58Z

Die Seite wurde neu angelegt: „{{Vorlage:Entwurf}} {{#seo: |title=Mapping von TOMs auf Anforderungen des BSI IT-Grundschutz |description=Kurzartikel zum Mapping von TOMs auf Anforderungen des BSI IT-Grundschutz. }} {{SHORTDESC:Mapping von TOMs auf Anforderungen des BSI IT-Grundschutz.}} Im Rahmen des Datenschutzes ist die wirksame Umsetzung von technischen und organisatorischen Maßnahmen (TOM) von entscheidender Bedeutung. Der IT-Grundschutz bietet hierfür eine fundierte Grundlage.…“

Neue Seite

{{Vorlage:Entwurf}}
{{#seo:
|title=Mapping von TOMs auf Anforderungen des BSI IT-Grundschutz
|description=Kurzartikel zum Mapping von TOMs auf Anforderungen des BSI IT-Grundschutz.
}} {{SHORTDESC:Mapping von TOMs auf Anforderungen des BSI IT-Grundschutz.}}
Im Rahmen des Datenschutzes ist die wirksame Umsetzung von technischen und organisatorischen Maßnahmen (TOM) von entscheidender Bedeutung. Der IT-Grundschutz bietet hierfür eine fundierte Grundlage. In diesem Artikel wird erläutert, wie die Anforderungen des IT-Grundschutzes den TOMs zugeordnet werden können. Dies hilft nicht nur bei der Erfüllung gesetzlicher Vorgaben, sondern auch bei der systematischen Absicherung von IT-Systemen und Prozessen.

Dir folgende Tabelle stellt eine Zuordnung der Anforderungen der Technischen und Organisatorischen Maßnahmen (TOMs) zu den entsprechenden Anforderungen aus dem BSI IT-Grundschutz Kompendium (Edition 2023) dar:

{| class="wikitable"
|-
! TOM
! Passende Grundschutz-Anforderungen
|-
| Datenverschlüsselung
| APP.1.1.A15: Einsatz von Verschlüsselung und Digitalen Signaturen APP.5.4.A6: Verschlüsselung von UCC-Daten CON.7.A10: Verschlüsselung tragbarer IT-Systeme und Datenträger CON.7.A13: Mitnahme notwendiger Daten und Datenträger NET.4.2.A8: Verschlüsselung von VoIP OPS.2.2.A17: Einsatz von Verschlüsselung bei Cloud-Nutzung SYS.1.2.3.A4: Schutz vor Ausnutzung von Schwachstellen in Anwendungen SYS.3.1.A13: Verschlüsselung von Laptops SYS.3.2.1.A11: Verschlüsselung des Speichers SYS.4.5.A12: Schutz vor Schadsoftware
|-
| Eingabekontrolle
| CON.7.A13: Mitnahme notwendiger Daten und Datenträger CON.11.1.A13: Löschung elektronischer VS, Vernichtung von Datenträgern und IT-Produkten nach §§ 32, 56 und Nr. 8 Anlage V zur VSA DER.2.1.A3: Festlegung von Verantwortlichkeiten und Ansprechpersonen bei Sicherheitsvorfällen DER.2.2.A9: Vorauswahl forensisch relevanter Daten INF.9.A2: Regelungen für mobile Arbeitsplätze NET.2.1.A1: Festlegung einer Strategie für den Einsatz von WLANs OPS.1.1.2.A5: Nachweisbarkeit von administrativen Tätigkeiten OPS.1.1.2.A11: Dokumentation von IT-Administrationstätigkeiten SYS.1.1.A21: Betriebsdokumentation für Server SYS.2.1.A40: Betriebsdokumentation
|-
| Protokollierung
| APP.1.4.A15: Durchführung von Penetrationstests für Apps APP.2.1.A19: Umgang mit anonymen Zugriffen auf Verzeichnisdienste APP.5.4.A4: Deaktivierung nicht benötigter Funktionen und Dienste APP.5.4.A13: Sichere Administration von SIP-Trunks CON.6.A1: Regelung für die Löschung und Vernichtung von Informationen CON.7.A13: Mitnahme notwendiger Daten und Datenträger CON.10.A12: Verifikation essenzieller Änderungen NET.3.2.A14: Betriebsdokumentationen OPS.1.1.3.A1: Konzept für das Patch- und Änderungsmanagement OPS.1.1.7.A26: Entkopplung von Zugriffen auf die Systemmanagement-Lösung
|-
| Pseudonymisierung
| APP.1.1.A17: Sensibilisierung zu spezifischen Office-Eigenschaften APP.6.A10: Erstellung einer Sicherheitsrichtlinie zur Pseudonymisierung DER.3.1.A4: Regelung zur Verwendung von Pseudonymisierungsverfahren INF.2.A11: Einführung von Pseudonymisierungstechniken bei der Erfassung von Daten OPS.1.1.5.A1: Etablierung einer Richtlinie zur Pseudonymisierung von Daten CON.10.A18: Kryptografische Absicherung vertraulicher Daten CON.11.1.A5: Regelung zum Einsatz von Pseudonymisierungsverfahren nach §§ 32, 56 VSA OPS.2.3.A10: Einführung von Pseudonymisierungsmaßnahmen für personenbezogene Daten CON.7.A13: Mitnahme notwendiger Daten und Datenträger CON.11.1.A14: Pseudonymisierung bei der Verarbeitung von Daten nach §§ 32, 56 VSA
|-
| Transportkontrolle
| CON.7.A13: Mitnahme notwendiger Daten und Datenträger OPS.1.2.2.A21: Schutz der Integrität bei der Übertragung von Daten SYS.1.2.3.A4: Schutz vor Ausnutzung von Schwachstellen in Anwendungen SYS.4.5.A12: Schutz vor Schadsoftware SYS.2.2.3.A5: Schutz der Integrität bei der Übertragung von Daten OPS.1.1.4.A1: Sicherstellung der Integrität von Daten während der Übertragung CON.10.A7: Schutz vertraulicher Daten OPS.1.2.2.A4: Schutz der Integrität bei der Übertragung von Daten OPS.3.2.A20: Verschlüsselung von Daten während der Übertragung APP.5.4.A10: Schutz der Integrität von UCC-Daten während der Übertragung
|-
| Verfügbarkeitskontrolle
| OPS.1.1.3.A10: Sicherstellung der Verfügbarkeit kritischer Systeme SYS.3.1.A11: Maßnahmen zur Sicherstellung der Verfügbarkeit von IT-Systemen SYS.3.3.A9: Implementierung von Hochverfügbarkeitslösungen INF.2.A7: Maßnahmen zur Sicherstellung der Verfügbarkeit von Daten OPS.2.2.A15: Schutz vor Verlust der Verfügbarkeit bei Systemausfällen APP.4.3.A23: Sicherstellung der Verfügbarkeit von Anwendungsdaten DER.2.2.A4: Maßnahmen zur Sicherstellung der Datenverfügbarkeit in Notfällen ORP.1.A15: Implementierung von Verfügbarkeitskonzepten CON.7.A13: Mitnahme notwendiger Daten und Datenträger SYS.2.1.A27: Implementierung von Maßnahmen zur Sicherstellung der Verfügbarkeit von IT-Systemen
|-
| Wiederherstellbarkeit
| INF.5.A12: Einführung von Maßnahmen zur Datenwiederherstellung DER.2.1.A6: Implementierung von Datenwiederherstellungsprozessen SYS.4.5.A2: Einführung von Wiederherstellungsverfahren bei Systemausfällen SYS.3.3.A2: Implementierung von Backup-Strategien zur Datenwiederherstellung APP.1.1.A16: Maßnahmen zur Wiederherstellung von Anwendungsdaten CON.6.A4: Einführung von Datenwiederherstellungsverfahren SYS.4.5.A10: Einführung von Datenwiederherstellungsverfahren nach Malware-Angriffen CON.3.A13: Einführung von Datenwiederherstellungsverfahren nach IT-Sicherheitsvorfällen CON.1.A1: Einführung von Maßnahmen zur Wiederherstellung der Verfügbarkeit von Daten SYS.3.2.1.A18: Einführung von Maßnahmen zur Wiederherstellung von IT-Systemen
|-
| Zugangskontrolle
| CON.3.A14: Einführung von Maßnahmen zur Zugangskontrolle für IT-Systeme OPS.1.2.4.A2: Einführung von Maßnahmen zur Zugangskontrolle in IT-Räumen INF.9.A4: Implementierung von Zugangskontrollmechanismen CON.11.1.A5: Einführung von Zugangskontrollverfahren CON.7.A7: Einführung von Maßnahmen zur Zugangskontrolle für IT-Systeme NET.4.1.A18: Implementierung von Zugangskontrollmechanismen für Netzwerke OPS.1.2.5.A14: Einführung von Maßnahmen zur Zugangskontrolle für IT-Räume OPS.1.1.2.A16: Einführung von Maßnahmen zur Zugangskontrolle für IT-Systeme CON.11.1.A14: Implementierung von Zugangskontrollmechanismen für Netzwerke OPS.1.1.2.A27: Einführung von Maßnahmen zur Zugangskontrolle für IT-Räume
|-
| Zugriffskontrolle
| APP.2.1.A11: Einführung von Maßnahmen zur Zugriffskontrolle für Anwendungen ORP.4.A16: Implementierung von Zugriffskontrollmechanismen OPS.1.1.7.A6: Einführung von Maßnahmen zur Zugriffskontrolle für IT-Systeme SYS.4.1.A7: Einführung von Maßnahmen zur Zugriffskontrolle für Netzwerke OPS.1.1.7.A17: Implementierung von Zugriffskontrollmechanismen CON.7.A13: Mitnahme notwendiger Daten und Datenträger SYS.3.2.2.A17: Einführung von Maßnahmen zur Zugriffskontrolle für IT-Systeme INF.1.A7: Implementierung von Zugriffskontrollmechanismen INF.5.A3: Einführung von Maßnahmen zur Zugriffskontrolle für Daten ORP.4.A14: Einführung von Maßnahmen zur Zugriffskontrolle für IT-Systeme
|-
| Zutrittskontrolle
| INF.1.A13: Implementierung von Maßnahmen zur Zutrittskontrolle ISMS.1.A7: Einführung von Zutrittskontrollmechanismen NET.1.1.A31: Implementierung von Maßnahmen zur Zutrittskontrolle für IT-Räume OPS.1.1.7.A21: Einführung von Zutrittskontrollmechanismen INF.6.A2: Implementierung von Maßnahmen zur Zutrittskontrolle NET.1.1.A32: Einführung von Zutrittskontrollmechanismen für IT-Räume CON.1.A16: Implementierung von Maßnahmen zur Zutrittskontrolle für IT-Räume SYS.1.1.A1: Einführung von Zutrittskontrollmechanismen für IT-Systeme OPS.1.1.2.A16: Einführung von Maßnahmen zur Zutrittskontrolle für IT-Räume INF.2.A6: Implementierung von Zutrittskontrollmechanismen für IT-Systeme
|-
| Auftragskontrolle
| CON.11.1.A1: Einhaltung der Grundsätze zur VS-Verarbeitung mit IT nach § 3, 4 und 6 und Nr. 1 Anlage V zur VSA CON.7.A13: Mitnahme notwendiger Daten und Datenträger APP.5.4.A4: Deaktivierung nicht benötigter Funktionen und Dienste CON.11.1.A3: Einsatz von IT-Sicherheitsprodukten nach §§ 51, 52 VSA CON.10.A7: Schutz vertraulicher Daten SYS.2.1.A8: Absicherung des Bootvorgangs SYS.2.1.A27: Geregelte Außerbetriebnahme eines Clients SYS.2.4.A8: Keine Nutzung von iCloud für schützenswerte Daten INF.6.A8: Sichere Türen und Fenster CON.10.A18: Kryptografische Absicherung vertraulicher Daten
|-
| Datenschutz-Folgenabschätzung
| CON.11.1.A1: Einhaltung der Grundsätze zur VS-Verarbeitung mit IT nach § 3, 4 und 6 und Nr. 1 Anlage V zur VSA DER.4.A15: Durchführung einer Datenschutz-Folgenabschätzung für neue Technologien DER.3.1.A8: Erstellung eines Konzepts zur Risikobewertung von neuen Technologien APP.6.A7: Regelmäßige Überprüfung und Anpassung der Datenschutz-Maßnahmen OPS.2.3.A19: Durchführung von Datenschutz-Folgenabschätzungen bei Änderungen in der IT-Infrastruktur OPS.1.1.4.A10: Sicherstellung der Einhaltung von Datenschutzbestimmungen bei Outsourcing OPS.2.2.A1: Regelung der Verarbeitung von personenbezogenen Daten durch externe Dienstleister DER.3.1.A6: Etablierung eines Prozesses zur kontinuierlichen Bewertung von Datenschutzrisiken OPS.3.2.A8: Durchführung von Audits zur Überprüfung der Datenschutz-Maßnahmen DER.3.1.A4: Implementierung von Maßnahmen zur Risikominimierung bei der Verarbeitung von personenbezogenen Daten
|-
| Schulung und Sensibilisierung
| ORP.3.A6: Regelmäßige Schulungen der Mitarbeitenden zu Datenschutzthemen CON.3.A5: Sensibilisierung der Mitarbeitenden für den Umgang mit personenbezogenen Daten DER.1.A7: Durchführung von Schulungen zu Datenschutzbestimmungen für Führungskräfte CON.8.A18: Erstellung von Sensibilisierungsmaterialien für Mitarbeitende ORP.2.A14: Regelmäßige Überprüfung und Aktualisierung der Schulungsinhalte INF.1.A36: Etablierung eines kontinuierlichen Schulungsprogramms für Datenschutz OPS.1.2.4.A8: Sensibilisierung der Mitarbeitenden für den sicheren Umgang mit IT-Systemen ISMS.1.A8: Durchführung von Schulungen zu IT-Sicherheitsrichtlinien OPS.1.2.2.A7: Erstellung von Schulungsmaterialien zu Datenschutzbestimmungen OPS.1.2.4.A5: Durchführung von Sensibilisierungskampagnen für den sicheren Umgang mit Daten
|-
| Trennungsgebot
| SYS.3.3.A9: Implementierung von Maßnahmen zur Trennung von Datenbeständen SYS.4.5.A12: Schutz vor Schadsoftware SYS.3.1.A11: Sicherstellung der Trennung von Entwicklungs- und Produktionsumgebungen OPS.2.2.A15: Sicherstellung der Trennung von Daten in Cloud-Diensten OPS.1.1.3.A10: Sicherstellung der Trennung von Daten in IT-Systemen OPS.1.2.2.A5: Trennung von Daten in Archivsystemen CON.10.A7: Schutz vertraulicher Daten durch Trennung von Zugriffsberechtigungen CON.7.A13: Mitnahme notwendiger Daten und Datenträger INF.10.A6: Sicherstellung der Trennung von Daten durch physische Sicherheitsmaßnahmen SYS.2.1.A27: Trennung von Datenbeständen bei der Außerbetriebnahme von IT-Systemen
|-
| Zweckbindung
| SYS.4.5.A12: Schutz vor Schadsoftware OPS.1.2.4.A2: Sicherheitstechnische Anforderungen an den Telearbeitsrechner SYS.3.3.A9: Implementierung von Maßnahmen zur Sicherstellung der Zweckbindung von Daten SYS.3.1.A11: Sicherstellung der Zweckbindung von Daten bei der Verarbeitung in IT-Systemen OPS.1.1.3.A10: Sicherstellung der Zweckbindung von Daten in IT-Systemen OPS.2.2.A15: Sicherstellung der Zweckbindung von Daten in Cloud-Diensten CON.10.A7: Schutz vertraulicher Daten durch Sicherstellung der Zweckbindung CON.7.A13: Mitnahme notwendiger Daten und Datenträger OPS.1.2.2.A5: Sicherstellung der Zweckbindung bei der Verarbeitung von Daten in Archivsystemen SYS.2.4.A8: Keine Nutzung von iCloud für schützenswerte Daten
|-
| Vorfallmanagement
| DER.2.1.A2: Erstellung einer Richtlinie zur Behandlung von Sicherheitsvorfällen DER.2.1.A3: Festlegung von Verantwortlichkeiten und Ansprechpersonen bei Sicherheitsvorfällen DER.2.1.A7: Etablierung einer Vorgehensweise zur Behandlung von Sicherheitsvorfällen DER.2.1.A18: Weiterentwicklung der Prozesse durch Erkenntnisse aus Sicherheitsvorfällen und Branchenentwicklungen DER.2.1.A19: Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen DER.2.1.A22: Überprüfung der Effizienz des Managementsystems zur Behandlung von Sicherheitsvorfällen DER.4.A9: Integration von Notfallmanagement in organisationsweite Abläufe und Prozesse OPS.1.1.4.A9: Meldung von Infektionen mit Schadprogrammen OPS.2.3.A20: Etablierung sowie Einbeziehung von Anbietenden von Outsourcing im Notfallkonzept OPS.3.2.A14: Überwachung der Prozesse, Anwendungen und IT-Systeme
|-
| Weitergabekontrolle
| APP.2.1.A2: Planung des Einsatzes von Verzeichnisdiensten CON.3.A13: Einsatz kryptografischer Verfahren bei der Datensicherung CON.9.A5: Beseitigung von Restinformationen vor Weitergabe CON.10.A7: Schutz vertraulicher Daten OPS.1.1.3.A10: Sicherstellung der Integrität und Authentizität von Softwarepaketen OPS.2.2.A15: Sicherstellung der Portabilität von Cloud-Diensten SYS.2.1.A27: Geregelte Außerbetriebnahme eines Clients SYS.3.1.A7: Geregelte Übergabe und Rücknahme eines Laptops SYS.3.1.A11: Sicherstellung der Energieversorgung von Laptops SYS.3.3.A9: Sicherstellung der Energieversorgung von Mobiltelefonen
|}

[[Kategorie:Kurzartikel]]
[[Kategorie:Datenschutz]]
__KEIN_INHALTSVERZEICHNIS__

Datenschutz:TOMs im Grundschutz - Versionsgeschichte

Dirk: Dirk verschob die Seite TOMs im Grundschutz nach Datenschutz:TOMs im Grundschutz