IT-Praxis | TOM (technische und organisatorische Maßnahmen)

Im Rahmen zunehmender Bedrohungen hat der Gesetzgeber noch weitere Anforderungen an die Informationssicherheit und den Datenschutz für Unternehmen geschaffen. Seit Mai 2018 ist die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Bestehende Teile der Datenschutzrichtlinien wurden erweitert sowie u.a. die Rechenschaftspflicht für Verantwortliche verschärft.

Was bedeutet das für Ihr Unternehmen?

Nicht jedes Unternehmen benötigt einen betrieblichen Datenschutzbeauftragten, muss aber eine angemessene Sicherheit der Daten einschließlich dem Schutz ihrer Integrität und Vertraulichkeit durch entsprechende technische und organisatorische Maßnahmen (TOM) nachweisen können. Technische Maßnahmen beziehen sich auf physische Absicherung, z.B. der eingesetzten IT-Systemen, des Gebäudes oder Betriebsgeländes oder aber auch über Soft- und Hardware umgesetzte Regelungen. Die organisatorischen Maßnahmen stehen für Rahmenbedingungen / Vorschriften zu der technischen Verarbeitung und können durch Handlungsanweisungen, Verfahrens- und Vorgehensweisen umgesetzt werden. Es gibt 8 Kategorien, in denen den Datenschutzanforderungen entsprechend Sicherheitsmaßnahmen erforderlich sind – immer im Rahmen des Verhältnismäßigkeitsprinzips:

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennungsgebot

Alle getroffenen Schutzmaßnahmen müssen im Rahmen einer schriftlichen Dokumentation festgehalten sowie regelmäßig geprüft und aktualisiert werden. Im besten Fall verfügt das Unternehmen über ein komplettes IT-Sicherheitskonzept inklusive Notfall- und Wiederanlaufplänen, in dem die TOM ein Aspekt von vielen sind.

Leider findet das Thema IT-Dokumentation gerade in KMU noch wenig Beachtung. Oft sind schon die Anforderungen an eine Dokumentation für das Unternehmen und IT-Organisation unklar.

Haben Sie einen Überblick über die aktuelle (Sicherheits-)Lage Ihrer IT-Systeme?
Wie ist die Infrastruktur aufgebaut, organisiert und abgesichert?
Welche Arbeiten werden wann durch welchen Mitarbeiter ausgeführt?
Gibt es festgelegte Standard-Arbeitsschritte?
Wer hat den Überblick über Softwarelizenzen und Hardware-Inventar?
Gibt es eine zentrale Verwaltung für wichtige Passwörter?
Was ist zu tun bei einem Ausfall der IT-Infrastruktur?
Welche Abhängigkeiten bestehen?
Gibt es Wiederherstellungs- und Wiederanlaufpläne mit festgelegten Vorgehensweisen?

Es empfiehlt sich, die IT-Infrastruktur sowie Prozesse in regelmäßigen Abständen auf den Prüfstand zu stellen. Im Anschluss ergeben Auswertung und Beurteilung der gesammelten Informationen verschiedene Handlungsempfehlungen zur Absicherung möglicher Schwachstellen. Gerne erstellen wir Ihnen ein unverbindliches Angebot.

WordPress Cookie Plugin von Real Cookie Banner