TOM

TOM (Technische & organisatorische Massnahmen)

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

  1. Grundlagen

Die Rosenberger GmbH & Co. KG (rosenberger) betreibt ein integriertes Managementsystem (IMS). Es umfasst das Qualitätsmanagement für alle Geschäftsbereiche und das Informationssicherheitsmanagement für den Geschäftsbereich data gemäß den international gültigen Normen DIN EN ISO 9001:2015 und DIN ISO/IEC 27001:2015-03. Der Schutz von Informationen und Daten vor unberechtigtem Zugriff und vor unerlaubter Änderung für uns von existenzieller Bedeutung. Im Mittelpunkt steht damit die Gewährleistung folgender Grundeigenschaften:

a) Verfügbarkeit, d. h. Eigenschaft von Werten, auf Verlangen zugänglich und nutzbar zu sein

b) Integrität, d. h. Eigenschaft der Absicherung von Richtigkeit und Vollständigkeit von Werten

c) Vertraulichkeit, d. h. Eigenschaft, dass Informationen unberechtigten Personen, Einheiten oder Prozessen nicht verfügbar gemacht oder enthüllt werden

Die Gewährleistung dieser Grundeigenschaften gilt als Maßgabe für alle Mitarbeiterinnen und Mitarbeiter von Rosenberger, die an den im geltenden Anwendungsbereich beschriebenen Prozessen beteiligt sind (unabhängig von ihrer Rolle und Stellung innerhalb der Gesamtorganisation) sowie für alle externen Berater, Lieferanten und Servicepartner, die zu den im geltenden Anwendungsbereich beschriebenen Prozessen für Rosenberger Leistungen erbringen.

Im Rahmen unseres IMS haben wir folgende technischen und organisatorischen Maßnahmen getroffen:

1.1  Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

1.1.1        Zutrittskontrolle
- Mechanische und elektronische Absperrmaßnahmen
- Zugangs- und Zutrittskontrollen (Tore, Türen)
- Sicherheitsbereiche
- Dokumentierte Schlüsselvergabe und Schlüsselprotokolle
- Zugangsprotokolle für Besucher
- Besucherordnung
- Einweisungsprotokolle und Schulungen der Mitarbeiter und sonstiger Dritter (Fremdfirmen)
- Einbruchmeldeanlage
- Videoüberwachung

1.1.2 Zugangskontrolle
- Userkennung, sämtliche Zugänge zu Rechnern sind Passwort geschützt
- Passwort-Richtlinie (Komplexität, min. 10 Zeichen, keine Wiederholungen, Änderungszyklus)
- Clean-Desk-Richtlinie
- automatische Bildschirmsperrung
- Server-Passwörter, welche nur von Administratoren geändert werden können
- IT-Produktionsnetz ohne Zugang zum Internet (Scandienstleistungen)
- Zeitgesteuerte passwort-geschützte Pausenschaltung (Bildschirmschoner)
- Es existiert eine Regelung in welchen die Mitarbeiter darauf verpflichtet wurden, die Rechner beim Verlassen des Arbeitsplatzes manuell zu sperren
- Absicherung der vernetzten Systeme gegen unbefugtes Eindringen
  o Firewall
  o Virenscanner
  o Festplatten in Notebooks sind verschlüsselt

1.1.3 Zugriffskontrolle
- Durch regelmäßige Sicherheitsupdates und Backups (nach dem jeweiligen Stand der Technik) stellen wir sicher, dass unberechtigte Zugriffe verhindert werden
- verbindliches Berechtigungsvergabeverfahren und Berechtigungsprofil für alle Beschäftigten
  o Benutzerverwaltung
  o Zugriffsbefugnis abhängig von Verantwortlichkeiten und Aufgabenstellung, soweit erforderlich auch differenziert nach Lese- und Schreibberechtigungen

2. Integrität (Art. 32 Abs. 1 lit. B DS-GVO)

2.1 Kontrolle der Weitergabe
- Alle Mitarbeiter sind auf das Datengeheimnis verpflichtet
- Daten werden nach Auftragsbeendigung bzw. Ablauf der Gewährleistungsfrist datenschutzgerecht gelöscht
- Auslieferung der Daten in verschlüsselter Form
- Übertragung von Daten über das Internet immer verschlüsselt
  o VPN: zwischen Standorten des Firmennetzwerkes
  o SSL: Zugriff auf Cloud-Systeme
- Absicherung von PCs und externen Laufwerken gegen Missbrauch
- Fernwartungen erfolgen ausschließlich verschlüsselt ·         Nutzung mobiler Datenträger in Richtlinie geregelt und nur verschlüsselt
- Sichere Löschung und Entsorgung von Datenträgern mit Nachweisführung

2.2  Auftrags- und Eingabekontrolle
- Änderungen von Daten werden protokolliert
- Unsere Beschäftigten werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen und sie sind vertraut mit den Verfahrensanweisungen und Benutzerrichtlinien für die Datenverarbeitung im Auftrag, auch im Hinblick auf das Weisungsrecht des Auftraggebers

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. B DS-GVO)

3.1 Verfügbarkeitskontrolle
- Backup mit täglicher Sicherung aller relevanten Auftrags- und Systemdaten
- Sachkundiger Einsatz von Schutzprogrammen (Virenscanner, Firewalls, Verschlüsselungsprogramme, SPAM-Filter)
- Einsatz von Festplattenspiegelung bei relevanten Servern
- Monitoring aller relevanten Server
- Einsatz unterbrechungsfreier Stromversorgung
- Notfallplan für zentrale Systeme
- kommunizierte Meldewege
- Regelmäßige Schwachstellenscans
- Unsere Daten werden physikalisch oder logisch von anderen Daten getrennt gespeichert, die DatensicherungDatensicherung
(engl.: Backup) Datenspeicherung zur Sicherung der Originaldaten vor Verlust, Zerstörung, Sabotage und Veränderung.
erfolgt ebenfalls auf logisch und/oder physikalisch getrennten Servern.

3.2 Belastbarkeit der Systeme
- Auf den Servern wird unter anderem der freie Plattenplatz, CPU-Last und die Erreichbarkeit täglich überwacht
- Für alle wichtigen Systeme sind Backup-Systeme verfügbar
- Betriebssicherheit in Richtlinie geregelt

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

Es sind Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu betreiben. Diese Verfahren werden im Rahmen unseres Informationssicherheitsmanagementsystems durchgeführt.
- Mindestens jährliche Überprüfung der technischen und organisatorischen Maßnahmen
- In einem Organigramm sowie in Stellenbeschreibungen sind Verantwortlichkeiten und Befugnisse der einzelnen Mitarbeiter festgelegt und im Unternehmen bekannt gemacht. Dieses wird in regelmäßigen Abständen von der obersten Leitung im Rahmen der ISO 9001, sowie der ISO 27001 Zertifizierung überprüft.
- Externe Auditierung des Informationssicherheitsmanagementsystems durch unabhängige Stelle
- Jährliches Managementaudit des Informationssicherheitsmanagementsystems

Datenschutz

Datenschutzerklärung