Technische und organisatorische Maßnahmen der Systembetreuung Hofmann
Zutrittskontrolle
Technische Maßnahmen
- Das Betriebsgebäude verfügt über ein Transponder- Schließsystem
- Das Betriebsgebäude verfügt über Sicherheitstüren
- Dokumentierte Verfahrensweise für Ausgabe und Rückgabe der Zugangsmittel
- Dokumentierte Verfahrensweise für die Meldung des Verlusts eines Zugangsmittels
- Die Vergabe von Schlüsseln, welche den Zugang zum Betriebsgebäude ermöglichen ist reglementiert
- Das Betriebsgebäude verfügt über eine Video-Überwachungsanlage
Organisatorische Maßnahmen
- Am regulären Eingang befindet sich ein Empfang Tresen, der während der Geschäftszeiten mit Personal besetzt ist und an welchem Besucherkontrollen stattfinden
- Der zweite Zugang ist immer verschlossen und nur durch Klingeln ist ein Einlass möglich. Abholung von Besuchern (nach Klingeln) am Eingang zum Bürotrakt
Zugangskontrolle
Technische Maßnahmen
- An den Computern müssen sich Nutzer mittels Benutzername und Passwort authentifizieren.
Kennwort: > 12 Zeichen, bestehend aus Sonderzeichen, Groß- und Kleinbuchstaben sowie Zahlen - Zusätzliches Login für spezielle Applikationen
- Passwörter müssen nach 180 Tagen geändert werden
- Die Datenverarbeitungsanlagen sind durch eine Firewall mit IDS und IPS geschützt
- Die verwendete VPN-Technologie verfügt über eine Verschlüsselungstechnik
- Keine offenen W-LANs im Einsatz
Organisatorische Maßnahmen
- Es besteht eine Richtlinie bezüglich der Abmeldung an den Computer-Terminals
- Es besteht eine Richtlinie bezüglich der Vertraulichkeit des Passwortes
Personenkontrollen am Empfang finden statt - Reinigungspersonal wird sorgfältig ausgewählt
Zugriffskontrolle
Technische Maßnahmen
- Es werden Aktenvernichter eingesetzt
- Datenträger werden ordnungsgemäß vernichtet
- Datenträger werden vor ihrer Wiederverwendung physisch gelöscht
- Zentrales Virenschutzprogramm mit automatischer Aktualisierung
- Zeitgesteuerte Bildschirmsperre mit Wiederanmeldung
- Keine undokumentierten externen Dienstleister
Organisatorische Maßnahmen
- Die Anzahl an Administratoren ist auf das notwendige Mindestmaß reduziert
- Zur Akten- und Datenvernichtung werden professionelle Dienstleister eingesetzt
- Die Benutzerrechte im Zusammenhang mit den einzelnen Benutzerprofilen werden durch die Systemadministratoren verwaltet
- Die Mitarbeiter werden auf Vertraulichkeit verpflichtet
Weitergabekontrolle
Technische Maßnahmen
- Das IT-System umfasst VPN-Tunnel
- E-Mails sind durch Verschlüsselung gesichert
- Verschlüsselung durch SSL-Verbindungen wird genutzt
Eingabekontrolle
Organisatorische Maßnahmen
- Die Rechte zur Eingabe, Änderung und Löschung von Daten werden anhand eines Berechtigungskonzeptes vergeben
Auftragskontrolle
Organisatorische Maßnahmen
- Bei Vorliegen einer Auftragsverarbeitung wird ein Auftragsverarbeitungsvertrag nach Maßgabe des Art. 28 DS-GVO abgeschlossen
Verfügbarkeitskontrolle
Technische Maßnahmen
- Backups werden intern täglich und an einem externen Standort wöchentlich erstellt
- Monitoring der Leistungskapazität
- Überspannungsschutz
- Redundante unterbrechungsfreie Stromversorgung
- RAID-Festplattenspeicher
- Prüfung der Rücksicherung/Wiederherstellung
- Virenscanner und Firewalls im Einsatz (zentrale Aktualisierung)
Organisatorische Maßnahmen
- Im Falle der Auftragsverarbeitung werden Auftragsverarbeitungsverträge entsprechend Art. 28 DS-GVO abgeschlossen
Trennungsgebot
Technische Maßnahmen
- Firmendaten (Buchhaltung, Personalverwaltung etc.) physikalisch getrennt
- Trennung von Entwicklungs- und Produktionsumgebung
- Trennung von Mitarbeiter- und Kundendaten
Organisatorische Maßnahmen
- Es besteht ein Berechtigungskonzept
- Die Rechte bezüglich der Datenbanken werden festgelegt