TOMs

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen


Technische und organisatorische Maßnahmen (TOMs) sind ein elementarer Bestandteil, um den Schutz personenbezogener Daten gemäß der Datenschutz-Grundverordnung (DSGVO) sicherzustellen. Diese Maßnahmen helfen, die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten und Risiken durch Datenverlust, -diebstahl oder -missbrauch zu minimieren. Der folgende Artikel gibt einen Überblick über die wichtigsten Aspekte und Beispiele für TOMs.

Einführung

Die Implementierung von technischen und organisatorischen Maßnahmen ist unerlässlich, um den Schutz personenbezogener Daten zu gewährleisten und den Anforderungen der DSGVO gerecht zu werden. Durch eine Kombination aus technischen Sicherheitsvorkehrungen und organisatorischen Maßnahmen können Unternehmen die Sicherheit ihrer Datenverarbeitung verbessern und Risiken effektiv managen. Regelmäßige Schulungen, klare Richtlinien und kontinuierliche Überwachung sind dabei ebenso wichtig wie der Einsatz moderner Technologien zur Absicherung der IT-Infrastruktur.

Definition und Bedeutung

TOMs umfassen alle technischen und organisatorischen Vorkehrungen, die erforderlich sind, um personenbezogene Daten vor unbefugtem Zugriff und Missbrauch zu schützen. Sie dienen dazu, die Sicherheit der Verarbeitung zu gewährleisten und den Anforderungen der DSGVO gerecht zu werden.

Technische Maßnahmen

Verschlüsselung:

  • Datenverschlüsselung: Schutz personenbezogener Daten durch Verschlüsselung während der Übertragung und Speicherung.
  • Ende-zu-Ende-Verschlüsselung: Besonders wichtig für Kommunikationskanäle wie E-Mail und Messaging-Dienste.

Zugriffskontrollen:

  • Physische Zugangskontrollen: Sicherstellung, dass nur autorisierte Personen Zugang zu Serverräumen und IT-Infrastruktur haben.
  • Logische Zugangskontrollen: Implementierung von Passwortschutz, Zwei-Faktor-Authentifizierung und rollenbasierten Zugriffskontrollen.

Netzwerksicherheit:

  • Firewalls und Intrusion Detection Systems (IDS): Schutz des Netzwerks vor unbefugtem Zugriff und Angriffen.
  • Virtuelle private Netzwerke (VPNs): Sicherstellung einer sicheren Verbindung für Remote-Zugriffe.

Backup und Wiederherstellung:

  • Regelmäßige Backups: Erstellung regelmäßiger Backups zur Sicherung der Daten.
  • Disaster Recovery-Pläne: Entwicklung von Plänen zur schnellen Wiederherstellung der Daten im Falle eines Datenverlusts.

Antivirus- und Anti-Malware-Software:

  • Regelmäßige Aktualisierung: Sicherstellung, dass alle Systeme regelmäßig auf dem neuesten Stand gehalten werden, um gegen aktuelle Bedrohungen geschützt zu sein.
  • Schutz vor Schadsoftware: Einsatz von Software zur Erkennung und Abwehr von Viren und Malware.

Organisatorische Maßnahmen

Datenschutzrichtlinien und -verfahren:

  • Erstellung und Implementierung: Entwicklung klarer Datenschutzrichtlinien und -verfahren, die den gesetzlichen Anforderungen entsprechen.
  • Regelmäßige Überprüfung: Regelmäßige Überprüfung und Aktualisierung der Richtlinien, um sicherzustellen, dass sie den aktuellen Anforderungen und Bedrohungen entsprechen.

Schulung und Sensibilisierung der Mitarbeitenden:

  • Regelmäßige Trainings: Durchführung von Schulungen zur Sensibilisierung der Mitarbeitenden für Datenschutz und IT-Sicherheit.
  • Awareness-Programme: Förderung eines Bewusstseins für Datenschutzrisiken und -praktiken im Unternehmen.

Vertragsmanagement mit Drittanbietern:

  • Vertragsgestaltung: Sicherstellung, dass Verträge mit Drittanbietern klare Datenschutzbestimmungen und Anforderungen enthalten.
  • Überwachung und Kontrolle: Regelmäßige Überprüfung der Einhaltung der Datenschutzanforderungen durch Drittanbieter.

Datenschutz-Folgenabschätzungen (DSFA):

  • Risikobewertung: Durchführung von Datenschutz-Folgenabschätzungen für Prozesse und Systeme, die potenziell hohe Risiken für die Rechte und Freiheiten der betroffenen Personen darstellen.
  • Maßnahmen zur Risikominderung: Entwicklung und Implementierung von Maßnahmen zur Minimierung identifizierter Risiken.

Vorfallmanagement:

  • Erstellung eines Notfallplans: Entwicklung von Plänen und Prozessen zur Bewältigung von Datenschutzvorfällen.
  • Meldung und Dokumentation: Sicherstellung der ordnungsgemäßen Meldung von Datenschutzverletzungen an die zuständigen Aufsichtsbehörden und betroffenen Personen.

Mapping mit Sicherheitsmaßnamen der Informationssicherheit

Die technische und organisatorische Maßnahmen (TOMs) im Datenschutz lassen sich direkt auf allgemeine Sicherheitsmaßnahmen der Informationssicherheit abbilden. Beide Bereiche verfolgen das Ziel, Daten vor unbefugtem Zugriff, Verlust und Missbrauch zu schützen. Die folgenden beiden Artikel erläutert, wie TOMs mit spezifischen Sicherheitsmaßnahmen der Informationssicherheit im BSI IT-Grundschutz und in der ISO/IEC 27001 mappen und welche Gemeinsamkeiten und Unterschiede bestehen.

TOMs im Grundschutz

TOMs in der ISO27001

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=TOMs&oldid=1157