Logo
done Ihre Adresse wurde gespeichert
close
error_outline E-Mail ungültig
close

Technische und organisatorische Maßnahmen

Aufgrund technischer und gesetzlicher Änderungen können die in diesem Dokument enthaltenen Informationen jederzeit geändert werden.

1. Physische Zugangskontrolle zu Räumlichkeiten und Anlagen

Geeignete Maßnahmen zur Kontrolle und Verhinderung des physischen Zugangs unbefugter Personen zu den Räumlichkeiten und Anlagen.

  • • Alarmanlage
  • • Sicherheitspersonal, Pförtner
  • • Videoüberwachungsanlagen
  • • Automatisches Zutrittskontrollsystem / Zoneneinteilung nach Risiko
  • • Identifikationslesegeräte, Badges, Chipkarten, Magnetkarten, Transponder-Verriegelungssystem
  • • Sicherheitsschlösser
  • • Identitätsprüfung
  • • Registrierung / Begleitung von Besuchern

    • Je nach Standort und Anlage wird eine Kombination aus der vorstehenden Aufstellung angewendet. Es ist zu bedenken, dass nicht alle Funktionalitäten in allen Räumlichkeiten oder Anlagen angewendet werden und notwendig sind.

    2. Zugriffskontrolle auf Daten und Systeme

    Technische (ID / Passwort-Sicherheit) und organisatorische (Benutzerstammdaten) Maßnahmen, die zur Identifizierung und Authentifizierung von Benutzern geeignet sind.

  • Vergabe von Nutzer-Zugriffsrechten nach dem Prinzip der geringsten Berechtigungen, mit Überarbeitung oder Löschung im Falle von Änderungen der Aufgaben oder des Ausscheidens.
  • Erstellung von Benutzerprofilen:
  • - Differenzierte Zugriffsrechte (Profile, Rollen, Transaktionen und Objekte)
  • - Rechteverwaltung durch Systemadministratoren
  • - Passwortverfahren (einschließlich Sonderzeichen, Mindestlänge, Passwortänderung etc.)
  • - Authentifizierung mit Nutzername/Passwort
  • - Nutzung von einer abgesicherten Passwortverwaltung
  • - Automatische Sperrung der Sitzungen bei Nichtnutzung
  • - Verschlüsselung von Festplatten mobil genutzter Computer
  • - Verschlüsselung von Nachrichtenaustausch
  • - Nutzung der VPN-Technologie
  • - Nutzung von Angriffserkennungssystemen
  • - Einsatz von Antivirensoftware / Firewalls / Einschränkung unnötiger Dienste und Datenströme
  • - Automatische Aktualisierung von Betriebssystemen und Anwendungen
  • - Netzwerksegmentierung / Administrationsnetzwerk
  • - Rückverfolgung der Administrationshandlungen (bash_history), Aufzeichnung von System- und Anwendungsprotokollen, insbesondere bei Datenzugriff, Eingabe, Änderung oder Löschung von Daten
  • - Nutzung von Dokumentenvernichtern

    • Je nach Rolle, Softwaretyp, Risikograd, spezifischen Kundenanforderungen und Notwendigkeit wird eine Kombination der Maßnahmen eingesetzt.

    3. Verfügbarkeitsprüfung

    Maßnahmen, die die Verfügbarkeit und den Schutz der Daten vor unbeabsichtigter Zerstörung oder Verlust gewährleisten.

  • Backup-Verfahren; Backup-Speicherung
  • Remote-Speicherung
  • Business Continuity Plan (BCP)
  • Brand- und Rauchmeldeanlagen
  • Antiviren-/Firewallsysteme
  • Automatische Branderkennung (APSAD R7 Zertifizierung )
  • Automatische Gaslöschanlage (APSAD R13 Zertifizierung)
  • Einbruchserkennung (APSAD R81 Zertifizierung)
  • Präsenz von tragbaren und mobilen Feuerlöschern (APSAD R4 Zertifizierung)
  • Notstromversorgung im Störfall
  • Notfall-Internetverbindung im Störfall
  • Plan für präventive Wartung und Tests auf Grundlage der Herstellerempfehlungen

    • Je nach Standort und Anlage wird eine Kombination aus der vorstehenden Aufstellung angewendet. Es ist zu bedenken, dass nicht alle Funktionalitäten in allen Räumlichkeiten oder Anlagen angewendet werden und notwendig sind.

    4. Trennungskontrolle

    Maßnahmen zur getrennten Verarbeitung (Speicherung, Änderung, Löschung, Übermittlung) von Daten für verschiedene Verwendungszwecke

  • Trennung von Prüf- und Produktionssystem
  • Trennung von Entwicklungs- und Produktionssystem
  • Logische Trennung der Kundendaten

    • 5. Unternehmensinterne Maßnahmen und Sensibilisierung

    Maßnahmen zur Information und Sensibilisierung der Mitarbeiter des Unternehmens hinsichtlich Datensicherheit. Allgemeine unternehmensinterne Maßnahmen.

  • Regelmäßige Evaluierung der laufenden Maßnahmen
  • Vertraulichkeitsklausel im Arbeitsvertrag
  • Charta über die Nutzung von Informations- und Kommunikationstechnik (UMIC - Charte Utilisation des Moyens Informatiques et de Communication), die der Geschäftsordnung beigefügt ist.
  • Durchführung von Sensibilisierungsmaßnahmen mit den Mitarbeitern zu Datenschutz- und Sicherheitsfragen
  • Mitgliedsunternehmen des französischen Datenschutzverbandes Association Française des Correspondants à la Protection of Données à caractère Personnel (AFCDP)
  • Mitgliedsunternehmen des französischen Directmarketing-Verbands Syndicat National de la Communication Directe (SNCD)
    • Kostenlos testen