1. Kontaktadressen
Vertraulichkeit
1.1
Zugangskontrolle
Schutz vor unbefugter Systembenutzung:
- Kennwörter (einschliesslich entsprechender Policy)
- automatische Sperrmechanismen
- Verschlüsselung von Datenträgern
1.2
Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems:
- Standard-Berechtigungsprofile auf „need to know-Basis“
- Standardprozess für Berechtigungsvergabe
- Protokollierung von Zugriffen
- periodische Überprüfung der vergebenen Berechtigungen, insb. von administrativen Benutzerkonten
2.
Integrität
2.1
Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport:
- Verschlüsselung
3.
Verfügbarkeit und Belastbarkeit
3.1
Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust:
- Backup-Strategie (online/offline; on-site/off-site),
- unterbrechungsfreie Stromversorgung (USV, Dieselaggregat),
- Firewall
- Security Checks auf Infrastruktur- und Applikationsebene
- Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern
- Rasche Wiederherstellbarkeit
4.
Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung
4.1
Datenschutzfreundliche Voreinstellungen
4.2
Auftragskontrolle
Keine Auftragsdatenverarbeitung ohne entsprechende Weisung des Auftraggebers:
- eindeutige Vertragsgestaltung
- formalisiertes Auftragsmanagement
- strenge Auswahl der Auftragsverarbeiter (ISO-Zertifizierung, ISMS)
- Vorabüberzeugungspflicht, Nachkontrollen