Technische und organisatorische Maßnahmen der Systembetreuung Hofmann

Zutrittskontrolle
Technische Maßnahmen

  • Das Betriebsgebäude verfügt über ein Transponder- Schließsystem
  • Das Betriebsgebäude verfügt über Sicherheitstüren
  • Dokumentierte Verfahrensweise für Ausgabe und Rückgabe der Zugangsmittel
  • Dokumentierte Verfahrensweise für die Meldung des Verlusts eines Zugangsmittels
  • Die Vergabe von Schlüsseln, welche den Zugang zum Betriebsgebäude ermöglichen ist reglementiert
  • Das Betriebsgebäude verfügt über eine Video-Überwachungsanlage

Organisatorische Maßnahmen

  • Am regulären Eingang befindet sich ein Empfang Tresen, der während der Geschäftszeiten mit Personal besetzt ist und an welchem Besucherkontrollen stattfinden
  • Der zweite Zugang ist immer verschlossen und nur durch Klingeln ist ein Einlass möglich. Abholung von Besuchern (nach Klingeln) am Eingang zum Bürotrakt

Zugangskontrolle

Technische Maßnahmen

  • An den Computern müssen sich Nutzer mittels Benutzername und Passwort authentifizieren.
    Kennwort: > 12 Zeichen, bestehend aus Sonderzeichen, Groß- und Kleinbuchstaben sowie Zahlen
  • Zusätzliches Login für spezielle Applikationen
  • Passwörter müssen nach 180 Tagen geändert werden
  • Die Datenverarbeitungsanlagen sind durch eine Firewall mit IDS und IPS geschützt
  • Die verwendete VPN-Technologie verfügt über eine Verschlüsselungstechnik
  • Keine offenen W-LANs im Einsatz

Organisatorische Maßnahmen

  • Es besteht eine Richtlinie bezüglich der Abmeldung an den Computer-Terminals
  • Es besteht eine Richtlinie bezüglich der Vertraulichkeit des Passwortes
    Personenkontrollen am Empfang finden statt
  • Reinigungspersonal wird sorgfältig ausgewählt

Zugriffskontrolle
Technische Maßnahmen

  • Es werden Aktenvernichter eingesetzt
  • Datenträger werden ordnungsgemäß vernichtet
  • Datenträger werden vor ihrer Wiederverwendung physisch gelöscht
  • Zentrales Virenschutzprogramm mit automatischer Aktualisierung
  • Zeitgesteuerte Bildschirmsperre mit Wiederanmeldung
  • Keine undokumentierten externen Dienstleister

Organisatorische Maßnahmen

  • Die Anzahl an Administratoren ist auf das notwendige Mindestmaß reduziert
  • Zur Akten- und Datenvernichtung werden professionelle Dienstleister eingesetzt
  • Die Benutzerrechte im Zusammenhang mit den einzelnen Benutzerprofilen werden durch die Systemadministratoren verwaltet
  • Die Mitarbeiter werden auf Vertraulichkeit verpflichtet

Weitergabekontrolle
Technische Maßnahmen

  • Das IT-System umfasst VPN-Tunnel
  • E-Mails sind durch Verschlüsselung gesichert
  • Verschlüsselung durch SSL-Verbindungen wird genutzt

Eingabekontrolle
Organisatorische Maßnahmen

  • Die Rechte zur Eingabe, Änderung und Löschung von Daten werden anhand eines Berechtigungskonzeptes vergeben

Auftragskontrolle
Organisatorische Maßnahmen

  • Bei Vorliegen einer Auftragsverarbeitung wird ein Auftragsverarbeitungsvertrag nach Maßgabe des Art. 28 DS-GVO abgeschlossen

Verfügbarkeitskontrolle
Technische Maßnahmen

  • Backups werden intern täglich und an einem externen Standort wöchentlich erstellt
  • Monitoring der Leistungskapazität
  • Überspannungsschutz
  • Redundante unterbrechungsfreie Stromversorgung
  • RAID-Festplattenspeicher
  • Prüfung der Rücksicherung/Wiederherstellung
  • Virenscanner und Firewalls im Einsatz (zentrale Aktualisierung)

Organisatorische Maßnahmen

  • Im Falle der Auftragsverarbeitung werden Auftragsverarbeitungsverträge entsprechend Art. 28 DS-GVO abgeschlossen

Trennungsgebot
Technische Maßnahmen

  • Firmendaten (Buchhaltung, Personalverwaltung etc.) physikalisch getrennt
  • Trennung von Entwicklungs- und Produktionsumgebung
  • Trennung von Mitarbeiter- und Kundendaten

Organisatorische Maßnahmen

  • Es besteht ein Berechtigungskonzept
  • Die Rechte bezüglich der Datenbanken werden festgelegt