Aktuelle Meldungen der CamData GmbH

Bitte die Antworten jeweils direkt unter die Fragen schreiben.

Wichtiger Hinweis: Wenn Sie Daten an verschiedenen Orten verarbeiten (z.B. Speicherung der Daten in einem Rechenzentrum, Zugriff auf Daten aus Büro- und Geschäftsräumen), dann beschreiben Sie bitte jeweils die Maßnahmen an den einzelnen Standorten (also z.B. Maßnahmen im Rechenzentrum: ...... // Maßnahmen am Firmensitz: .....). So ist es z.B. normal, dass in einem Rechenzentrum strengere Maßnahmen der Zutrittskontrolle getroffen werden als an Firmenstandorten. In den Antworten sollte deutlich werden, auf welchen „Verarbeitungsort“ sich die jeweiligen Maßnahmen beziehen.

1. Vertraulichkeit

Unternehmensname

Gibt es eine Besucherregelung? Wenn ja, wie ist diese ausgestaltet?

Gibt es eine Schlüsselregelung bzw. ein Zutrittskonzept? Wenn ja, wie ist diese ausgestaltet?

Gibt es eine Videoüberwachung?

Ja Nein Teilweise

Gibt es eine Alarmanlage? Was passiert im Alarmfall?

Gibt es einen Werksschutz oder Pförtner?

Sind sonstige Maßnahmen getroffen?

Wie werden Berechtigungen zum Zugang zu Daten oder Systemen erteilt?

Wird die Erteilung und der Entzug von Berechtigungen protokolliert? Wer hat Zugriff auf die Protokolle?

Werden eingeräumte Berechtigungen periodisch im Hinblick auf ein weiteres Erfordernis überprüft? Wenn ja, wie häufig?

Wie wird sichergestellt, dass nur erforderliche Berechtigungen eingeräumt werden?

Gibt es eine Passwortrichtlinie?

Ja Nein Ja, aber veraltet

Welche Mindestpasswortlänge wird verlangt? Wird die Mindestlänge technisch erzwungen?

Wird eine Passwortkomplexität verlangt? Wird diese technisch erzwungen?

Wird ein Passwortwechsel erzwungen? Wenn ja, warum?

Werden externe Schnittstellen (z.B. USB) gesperrt?

Werden mobile IT-Systeme verschlüsselt?

Werden mobile Datenträger verschlüsselt?

Wie werden IT-Systeme vor Viren und Schadsoftware geschützt?

Wie werden unberechtigte Zugriffe von Dritten auf IT-Systeme erkannt und unterbunden?

Wie wird Sorge dafür getragen, dass nur sorgfältig ausgewählte und überprüfte Dienstleister in Kontakt mit personenbezogenen Daten gelangen?

Wie wird gewährleistet, dass Berechtigungen differenziert vergeben werden?

Werden Benutzerrollen und damit einhergehende Berechtigungen regelmäßig überprüft? Wenn ja, wie oft?

Wie wird sichergestellt, dass Rechte von Personen beim Ausscheiden aus dem Unternehmen oder beim Wechsel einer Aufgabe im Unternehmen entzogen werden?

Ist die Anzahl der Administratoren auf das Notwendigste beschränkt? Wie wird dies sichergestellt?

Werden Zugriffe auf Anwendungen und/oder Daten protokolliert?

Wie wird sichergestellt, dass nicht mehr verwendete Datenträger sicher gelöscht oder vernichtet werden?

Wir wird sichergestellt, dass Papierunterlagen mit personenbezogenen Daten sicher vernichtet werden und die Vernichtung nachgewiesen wird?

Wie wird gewährleistet, dass Berechtigungen differenziert vergeben werden?

Werden Benutzerrollen und damit einhergehende Berechtigungen regelmäßig überprüft? Wenn ja, wie oft?

Wie wird sichergestellt, dass Rechte von Personen beim Ausscheiden aus dem Unternehmen oder beim Wechsel einer Aufgabe im Unternehmen entzogen werden?

Ist die Anzahl der Administratoren auf das Notwendigste beschränkt? Wie wird dies sichergestellt?

Werden Zugriffe auf Anwendungen und/oder Daten protokolliert?

Ja Nein

Wie wird sichergestellt, dass nicht mehr verwendete Datenträger sicher gelöscht oder vernichtet werden?

Wir wird sichergestellt, dass Papierunterlagen mit personenbezogenen Daten sicher vernichtet werden und die Vernichtung nachgewiesen wird?

Wie wird sichergestellt, dass Daten, die zu verschiedenen Zwecken verarbeitet werden, getrennt voneinander verarbeitet werden?

Wie wird sichergestellt, dass Daten verschiedener Kunden getrennt voneinander verarbeitet werden und ein Zugriff von Kunden auf Daten anderer Kunden ausgeschlossen ist?

Wie stellen Sie die Trennung von Test- und Produktivsystemen sicher?

Kommt eine Pseudonymisierung oder Verschlüsselung von Daten zum Einsatz? Wenn ja, beschreiben Sie dies bitte möglichst konkret.

2. Integrität

Unternehmensname

Wie gewährleisten Sie, dass jederzeit festgestellt werden kann, wer personenbezogene Daten wie eingegeben, verändert oder gelöscht hat? - Wie lange speichern Sie die Nachweise dieser Eingaben, Änderungen und Löschungen („Protokolle“)?

Wie lange speichern Sie die Nachweise dieser Eingaben, Änderungen und Löschungen („Protokolle“)?

Wer hat Zugriff auf diese Protokolle?

Wie werden personenbezogene Daten zwischen Auftraggeber und Auftragnehmer übertragen?

Wie wird der Schutz der Daten während des Transports gewährleistet?

Wie wird die Löschung dokumentiert?

3. Verfügbarkeit und Belastbarkeit

Unternehmensname

Ist eine unterbrechungsfreie Stromversorgung (USV) für Serversysteme im Einsatz?

Sind Serverräume klimatisiert? • Gibt es Feuer- und Rauchmeldea

Ja Nein

Gibt es Feuer- und Rauchmeldeanlagen? Bitte beschreiben.

Ist eine Festplattenspiegelung im Einsatz? Wenn ja, welche?

Bitte beschreiben Sie ihr Datensicherungs- und Wiederherstellungskonzept.

Wo werden Datensicherungen aufbewahrt?

Sind Datensicherungen verschlüsselt?

Ja Nein

Gibt es einen Notfallplan?

Ja Nein

Wie wird eine rasche Datenwiederherstellung gewährleistet?

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Adresse

Eickener Straße 133
41063 Mönchengladbach

Telefonnummer

+ 49 (0) 21 61 18 58 580

Fragenkatalog TOM

1. Vertraulichkeit

2. Integrität

3. Verfügbarkeit und Belastbarkeit

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Adresse

Telefonnummer