Skip to main content

Technische und organisatorische Maßnahmen (TOMs) der azuma healthtech GmbH

1. Management und Organisation

  • Eine geeignete Organisationstruktur für Informationssicherheit ist vorhanden und die Informationssicherheit ist in die organisationsweiten Prozesse und Abläufe integriert
  • Sicherheitsricht- und -leitlinien sind definiert, von der Geschäftsführung genehmigt und dem Personal kommuniziert
  • Die Rollen der einzelnen Mitarbeiter im Sicherheitsprozess sind eindeutig festgelegt
  • Eine regelmäßige Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen ist vorgesehen
  • Konzepte und Dokumentationen im Sicherheitsumfeld werden regelmäßig überprüft und aktuell gehalten
  • Einsatz eines geeigneten Informationssicherheitsmanagementsystem (ISMS), nach ISO27001 (noch nicht zertifiziert)
  • Die Rollen und Verantwortlichkeiten im Bereich der Sicherheit sind im eigenen Betrieb bekannt und besetzt
  • Vorhandensein von Eskalationsprozessen bei Sicherheitsverletzungen
  • Konsequente Dokumentation bei Sicherheitsvorkommnissen (Security Reporting)

2. Physikalische Sicherheit der Infrastruktur

  • Keine eigene physische IT-Infrastruktur vorhanden
  • Speicherung von personenbezogenen Daten soll nur in Cloud Applikationen und Systemen erfolgen (Richtlinie dazu vorhanden)
  • Zugang zu Cloud-Diensten, Cloud Applikationen und Daten/Dokumenten darin nur über Account basierte, freigegebene Zugänge vorgesehen
  • Möglichst keine Speicherung auf lokalen Servern oder Speichermedien als Vorgabe für alle Mitarbeitenden

3. Awareness der Mitarbeitenden

  • Allen beteiligten Personen der Organisation wurde die Wichtigkeit von Informationssicherheit und Datenschutz bewusst gemacht
  • Für neue Mitarbeitende ist die Auseinandersetzung mit dem ISMS der azuma healthtech GmbH vorgegeben
  • Alle relevanten Richtlinien zur Informationssicherheit und zum korrekten Umgang mit IT-Systemen sind vorhanden und leicht zugänglich
  • Alle notwendigen Mitarbeitenden kennen die internen Prozesse zum Umgang mit Informationssicherheit und möglichen Verletzungen
  • Eine ausführliche Richtlinie zum Umgang mit IT Systemen im Home-Office ist vorhanden und allen Mitarbeitenden vorgegeben

4. Authentifizierung

  • Einweisung aller Mitarbeitenden im Umgang mit Authentifizierungsverfahren und -mechanismen
  • Verwendung von starken Passwörtern vorgegeben und Richtlinie dafür verabschiedet
  • Passwörter dürfen nur in dafür vorgesehenen Passwort Security Applikationen unter Verwendung von Zwei-Faktor-Authentifizierung gespeichert werden (siehe Unterauftragnehmer)
  • Keine Passwörter per E-Mail übermitteln (z. B. für einen Firmenaccount zu einem Cloud-Dienst)
  • Soweit möglich soll konsequenter Einsatz von Verfahren zur Zwei-Faktor-Authentifizierung für Administratorkonten bei Anwendungen erfolgen

5. Rollen-/Rechtekonzept

  • Es sind keine Administratorkennungen für Nutzer erlaubt, die keine administrativen Tätigkeiten ausführen
  • Grundsätzlich werden Zugänge zu den verwendeten Cloud Applikationen oder zu Dokumenten nur Account basiert vergeben, so dass nur berechtigte Mitarbeitende Zugang zu Informationen und Daten haben

6. Endgeräte (Clients)

  • Eine Richtlinie zum Umgang mit Bring-Your-Own-Device ist vorhanden und allen Mitarbeitenden vorgegeben
  • Es werden keine Daten auf lokalen Speichern von Endgeräten gespeichert, sondern nur abgesicherte Cloud Speicher und Cloud Applikationen sind erlaubt
  • Einbindung von externen Geräten ist durch technische Maßnahmen auf das erforderliche Mindestmaß begrenzen
  • Es werden nur Betriebssysteme und Software eingesetzt, für die noch Sicherheitsupdates zeitnah zur Verfügung gestellt werden

7. Mobile Datenspeicher

  • Es werden keine Daten auf mobilen Datenspeichern gespeichert, sondern nur abgesicherte Cloud Speicher und Cloud Applikationen sind erlaubt
  • Einsatz von Backup- und Synchronisierungsmechanismen zur Verhinderung eines größeren Datenverlusts bei Verlust und Diebstahl gegeben
  • Regelungen zur Privatnutzung bei Notebooks und Smartphones sind durch eine Bring-Your-Own-Device Richtlinie geschaffen
  • Bei mobilen Datenträgern: Es gibt eine Richtlinie zum sicheren Umgang mit mobilen Datenträgern

8. Serversysteme

  • Keine eigenen physischen Serversysteme vorhanden
  • Speicherung von personenbezogenen Daten soll nur in Cloud Applikationen und Systemen erfolgen (Richtlinie dazu vorhanden)
  • Zugang zu Cloud-Diensten, Cloud Applikationen und Daten/Dokumenten darin nur über Account basierte, freigegebene Zugänge vorgesehen
  • Möglichst keine Speicherung auf lokalen Servern oder Speichermedien als Vorgabe für alle Mitarbeitenden

9. Websites und Webanwendungen

  • Verwendung des HTTPS-Protokolls nach Stand der Technik (TLS1.2 oder TLS1.3)
  • Fernzugang zu Webservern nur mit verschlüsselter Verbindung und Zwei-Faktor-Authentifizierung
  • Nutzung von ausschließlichen sicheren Service-Providern, z.B. für Cloud-Dienste, Mail-Dienste, usw.

10. Netzwerk

  • Keine eigene physische IT-Infrastruktur und keine zentralen Netzwerke vorhanden

11. Archivierung

  • Backups und Archivierung passieren ausschließlich in Cloud-Diensten und Cloud Applikationen
  • Datenarchive unterliegen den gleichen Zugangsbeschränkungen wie Livedaten
  • Keine Archivierung auf physischen Datenträgern oder Servern erlaubt
  • Prozesse zum Umgang mit der Archivierung von Informationen vorhanden

12. Wartung durch Dienstleister

  • Keine externen Dienstleister im Einsatz

13. Protokollierung

  • Zugriffe werden über die Protokollierungsmechanismen der genutzten Cloud-Dienste und Cloud Applikationen protokolliert
  • Die Log-Dateien bei selbstentwickelten Softwarelösungen werden in den Cloud-Plattformen unter Berücksichtigung aller gängigen Security-Aspekte durchgeführt
  • Bei der Protokollierung werden datenschutz-/sicherheitsrelevante Aspekte berücksichtigt und von der Protokollierung ausgeschlossen

14. Business Continuity

  • Backups passieren ausschließlich durch die Mechanismen der genutzten Cloud-Dienste und Cloud Applikationen
  • Backups sind durch die Anbieter der genutzten Cloud-Dienste vor Verschlüsselung durch Ransomware geschützt

15. Kryptographie

  • Kryptographische Verfahren der Anbieter der genutzten Cloud-Dienste werden verwendet
  • SSL-Zertifikate werden bei vertrauenswürdigen Zertifizierungsstellen beschafft

16. Datentransfer

  • Der Datentransfer erfolgt ausschließlich über sichere/verschlüsselte Kommunikationskanäle (HTTPS)

17. Entwicklung und Auswahl von Software

  • Relevante Mitarbeiter sind darüber geschult, dass Security-by-Design (Sicherstellung der Vertraulichkeit, Verfügbarkeit und Integrität) als Teilmenge von Data-Protection-By-Design eine gesetzliche Datenschutzanforderung ist und Einfluss auf zentrale Designentscheidungen hat (Produktauswahl, zentral vs. dezentral, Pseudonymisierung, Verschlüsselung, Land eines Dienstleisters, SSL-Zertifikate)
  • Es findet eine Trennung von Produktivsystem zu Entwicklungs-/Testsystem statt
  • Der Zugang zum Source-Code bei der Entwicklung von Software ist beschränkt
  • Der Zugang zu Test/Produktivsystemen ist beschränkt
  • Es werden keine personenbezogenen Daten oder Zugangsdaten in der Source-Code-Verwaltung abgelegt
  • System- und Sicherheitstests, wie z. B. Code-Scan und Penetrationstests, sollten durchgeführt werden
  • Ausreichende Testzyklen werden berücksichtigt
  • Fortlaufendes Inventarisieren der Versionen von Software oder Komponenten (z. B. Frameworks, Bibliotheken) sowie deren Abhängigkeiten ist gegeben
  • Standardsoftware und entsprechende Updates werden nur aus vertrauenswürdigen Quellen bezogen
  • Sicherstellung, dass ein fortlaufender Plan zur Überwachung, Bewertung und Anwendung von Updates oder Konfigurationsänderungen für die gesamte Lebenszeit einer Software-anwendung besteht

18. Auftragsverarbeiter

  • Es werden nur Dienstleister verwendet, die die Garantien (in Form von Dokumenten) zur Verfügung stellen können

  • Die Wirksamkeit der Garantien kann durch geeignete Zertifizierungen (ansatzweise) nachgewiesen werden

  • Der Auftragsverarbeiter darf keine weiteren Subdienstleister ohne Information des Auftraggebers aufnehmen – dieser hat dann ein Widerspruchsrecht

  • Daten werden bei Auftragsverarbeitung (spätestens) nach Vertragsende wirksam gelöscht

  • Angaben zur Löschmethodik können bei Bedarf zur Verfügung gestellt werden

Last updated on