Dokumentation der technischen und organisatorischen Maßn ... / Dokumentation der technischen und organisatorischen Maßnahmen (TOM)

1. Vertraulichkeit (Schutz vor unberechtigtem Zugriff)
2. Integrität (keine unbefugte Änderung)
3. Verfügbarkeit (ständige Erreichbarkeit/Einsatzfähigkeit bzw. keine unbefugte Veränderung der Funktionalität)
4. Belastbarkeit der Systeme und Dienste (Widerstandsfähigkeit der IT im Fehlerfall, bei Störungen oder bei hoher Beanspruchung)
5. rasche Wiederherstellung der Verfügbarkeit und des Zugangs

Maßnahmen zur Erreichung der Schutzziele

Pseudonymisierung

Eine Pseudonymisierung erfolgt nicht, da der verfolgte Schutzzweck im Verhältnis zum Umsetzungsaufwand nicht mehr verhältnismäßig wäre.

Verschlüsselung

Bei Verarbeitung in einem Rechenzentrum:

Der elektronische Transport zum Rechenzentrum der ____________ ist über VPN- oder TLS-Verbindung mit Zwei-Faktor-Authentisierung abgesichert.

Der elektronische Transport zu Institutionen (z. B. Finanzbehörden, Sozialversicherungsträger) im Rahmen der Lohn- und Gehaltsabrechnung, für die Meldung nach § 45d EStG bzw. die KiStAM-Abfrage erfolgt nach den Vorgaben und Standards der Institutionen. (Anmerkung: Nur einschlägig, sofern diese Übermittlungen vom Wohnungsunternehmen selbst vorgenommen werden.)

Kontaktaufnahmen von Mietern (z. B. Schadensmeldungen) oder Mietinteressenten (Bewerbungsbogen) über das Internet erfolgen abgesichert mit Verschlüsselungsverfahren nach dem Stand der Technik.

Zugangskontrolle

1. Zutrittskontrolle

   Unbefugten ist der Zutritt zu den Datenverarbeitungs-, Datenspeicherungs-, Netzwerk- und Telekommunikationsanlagen (Sprache, Daten), mit denen personenbezogene Daten verarbeitet werden, zu verwehren. Der Grad der Schutzmaßnahmen richtet sich dabei nach dem Grad der Schutzbedürftigkeit der Daten.

   Der Zutritt zu unseren Räumlichkeiten ist nur Berechtigten über den Haupteingang, vorbei an den Mitarbeitern des Empfangs, möglich. Nicht oder nicht permanent von den Empfangsmitarbeitern überwachte Eingänge sind verschlossen

   Fremddienstleister werden grundsätzlich durch Mitarbeiter begleitet.

   Es besteht eine Alarmanlage; Sicherheitstüren und -fenster sowie Sicherheitsschlösser sind bauseitig vorhanden.

   Weitere Maßnahmen beschreiben (z. B. Schlüsselregelung etc.).

2. Zugangskontrolle zu Datenverarbeitungsanlagen und Speicherkontrolle

   Alle Rechner verfügen mindestens über ein Zugangskontrollsystem (UserID, Passwort). Es gibt vorgeschriebene Regeln zur Passwortvergabe. Dies betrifft die notwendige Komplexität, die Lebensdauer des Passworts sowie die Wiederverwendung alter Passwörter.

   Es besteht eine Firewall __________.(Bitte beschreiben).

   Zum Schutz vor Viren ist ein Virenscanner der Marke __________ installiert. Eine Aktualisierung erfolgt permanent.

   Weitere Maßnahmen beschreiben.

Datenträgerkontrolle

Mobile Datenträger sind verschlüsselt.

oder

Die Verwendung von mobilen Datenträgern ist den Mitarbeitern nicht gestattet.

Es besteht eine Datenträgerrichtlinie, auf diese wird verwiesen.

Weitere Maßnahmen beschreiben.

Benutzerkontrolle

Die Eingabe, Änderung und Löschung von Daten wird protokolliert.

Zugriff auf Anwendungen in den DV-Anlagen nur entsprechend der zu erfüllenden Aufgaben und des bestehenden Berechtigungskonzepts.

Siehe auch die unter Zugangs- und Zugriffskontrolle dargestellten Maßnahmen.

Weitere Maßnahmen beschreiben.

Zugriffskontrolle

Die eingesetzten IT-Systeme haben ein differenziertes Berechtigungssystem, welches es ermöglicht, Datenzugriffe und -veränderungen auf Basis von Rollen und individuellen Berechtigungen zu vergeben.

Jeder Mitarbeiter kann im Rahmen seiner Aufgabenerfüllung nur auf die für seine Tätigkeit notwendigen Systeme und mit der ihm zugewiesenen Berechtigung auf die erforderlichen Daten zugreifen. Die Erteilung der Berechtigungen erfolgt in einem dokumentierten Genehmigungsverfahren. Das Erfordernis der Berechtigung wird regelmäßig überprüft.

Die persönliche Verantwortung jedes Mitarbeiters für die Sicherheit, Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Informationen wird durch Schulungsmaßnahmen und bereitgestellte Informationen gestärkt.

Weitere Maßnahmen beschreiben.

Übertragungskontrolle

Die Datenübertragung erfolgt grundsätzlich verschlüsselt, eine Protokollierung ist eingerichtet

Es besteht eine E-Mail-Archivierung.

Weitere Maßnahmen beschreiben.

Eingabekontrolle

Bei den eingesetzten IT-Systemen erfolgt eine laufende Protokollierung der Abläufe.

Es besteht eine E-Mail-Archivierung.

Weitere Maßnahmen beschreiben.

Transportkontrolle

Die Wechseldatenträger sind verschlüsselt.

Die Einzelheiten ergeben sich aus der Wechseldatenträger-Richtlinie und der Richtlinie zum E-Mail-Verkehr.

Weitere Maßnahmen beschreiben.

Datenintegrität

Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten für betroffene Personen durch unbeabsichtigte oder unbefugte Veränderung oder unrechtmäßiges oder fahrlässiges Handeln von ...