Checkliste TOM Verfügbarkeitskontrolle

Aus Datenschutz-Wiki
Zur Navigation springen Zur Suche springen

Eine nähere Erläuterung des Prüfkatalogs zur Auditierung des Standes technischer und organisatorischer Maßnahmen bzw. zur Erfüllung der Aufgaben nach § 9 BDSG und Anlage ist unter Checkliste Technische und organisatorische Maßnahmen zu finden. Des Umfangs halber wurde die Übersicht in einzelne Listen aufgeteilt, des weiteren teilweise angepasst bzw. ergänzt. Bei der Verwendung des Prüfkatalogs im Rahmen verschiedener Landesdatenschutzgesetze bitte die evtl. andere Nummerierungen beachten.

Hilfsmittel zur Durchführung

Die Erfüllung der Aufgaben nach § 9 BDSG und Anlage beinhaltet

  1. Organisationskontrolle (im BDSG nicht mehr als eigenständige Nr. in der Anlage aufgeführt)
    "die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird"
  2. Zutrittskontrolle (Anlage Nr.1)
    "Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren"
  3. Zugangskontrolle (Anlage Nr.2)
    "zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können"
  4. Zugriffskontrolle (Anlage Nr.3)
    "zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können"
  5. Weitergabekontrolle (Anlage Nr.4)
    "zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist"
  6. Eingabekontrolle (Anlage Nr.5)
    "zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind"
  7. Auftragskontrolle (Anlage Nr.6)
    "zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können"
  8. Verfügbarkeitskontrolle (Anlage Nr.7)
    "zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind"
  9. Trennungskontrolle (Anlage Nr.8)
    "zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können"

sowie

  1. Internetauftritt
  2. WLAN

Checkliste[1]

Abkürzungen: erf. = erfüllt, nicht erf. = nicht erfüllt, nicht erfdl. = nicht erforderlich / nicht zutreffend

Vorgabe erf. nicht erf. nicht erfdl. Bemerkungen
Verfügbarkeitskontrolle
Brandschutzeinrichtungen
Feuerlöscher im Serverraum
Feuerlöscher an/in den PC-Arbeitsräumen
Rauch- oder Brandmelder
Sprinkleranlage
Feuerfeste Schränke
Brandschutztüren, Brandschutzklappen
Brandklasseneinteilung (Kennzeichnung besonders gefährdeter Räume)
Rauchverbot in Server- und PC-Arbeiträumen
Wasserschutzeinrichtungen
Stromversorgung
Unterbrechungsfreie Stromversorgung (USV)
Motorgenerator
Überspannungsschutzeinrichtungen
Klimaversorgung Serverraum
Datensicherungsverfahren Backup, Archivierung
Datensicherungskonzept vorhanden
Datenlöschkonzept bzw. -vorschrift vorhanden
Sicherungen zur Sicherstellung eines ordnungsgemäßen Betriebes Konfigurationen, vom Standard abweichende Einstellungen
Server zentrale / dezentrale Betriebssystemeinstellungen
Netzwerkkomponenten Konfigurationen
Datensicherung Konfigurationen, Zeitpläne
SAN-Switche Konfigurationen
andere Komponenten Konfigurationen welcher Komponenten?
Benutzeradministration Nutzerkonten, Zugriffsrechte
Konfigurations- und Softwaremanagement
genutzte Programme
Einzelrechner stand-alone PC
Andere
Sicherungen zur Sicherstellung einer ordnungsgemäßen Datenverarbeitung Datenbestand
Datenbestand / -kategorien
Trennung nach Verarbeitungszweck
Trennung nach Aufbewahrungsfrist
Trennung Datenträger logische oder physische Trennung unterschiedlicher Sicherungen für unterschiedliche Verarbeitungen
Sicherungen für Datenschutzkontrollen oder Wartungs- und Prüfaufgaben
Protokolle Zutrittsdaten
Protokolle Zugangsdaten
Protokolle Zugriffsdaten
Protokolle von Daten zur Eingabekontrolle
Fachliche Protokolle anwendungs- und datenspezifisch
Technische Protokolle Server etc.
Andere Welche?
Datenarchivierung
Archivierungskonzept vorhanden
Maßnahmen zur Datensperrung vorhanden
Räumlich getrennte Aufbewahrung von Datenträgern z.B. zur Trennung von Sicherungen und zur Archivierungen
Spiegeln der Festplatten (z.B. RAID)
lokale Server-Festplatten
zentrale Festplattensysteme
Virenschutz
Werden mehrere Virenschutzprogramme genutzt?
Schutzsoftware erkennt nur bekannte Schadsoftware
Schutzsoftware erkennt unbekannte Schadsoftware (Heuristik)
Schutzsoftware erkennt auch Schadsoftware in verschlüsselten Dateien
Update der Schutzsoftware
zentraler Update-Server interner Server, der Updates verteilt
je Einzelplatz, Server direktes Update über Verbindung zum Hersteller der Schutzsoftware
automatisch wie häufig?
manuell per Abruf wie häufig?
Spammfilter
Intrusion Detection System (IDS) / Intrusion Prevention System (IPS)
Havariearchiv Auslagerung von DT
Notfallplan Wiederanlaufplan

Checkliste als RTF-Datei


7. Auftragskontrolle

9. Trennungskontrolle

Einzelnachweise

  1. ^ Dr. Peter Münch, Checklisten zur Betriebsprüfung gem. § 38 BDSG, RDV 2006, 272, 280; Coaching Workshop Datenschutzpraxis; Dr. Münch ist Berater für Datenschutz und IT-Sicherheit und Mitglied des Präsidiums der GDD-Datenschutzakademie. Als langjähriges Mitglied des GDD-Vorstandes zeichnete er für den Bereich IT-Sicherheit, Wissenschaft und Lehre sowie das Gesundheitswesen verantwortlich. Die Listen sind teilweise angepasst bzw. ergänzt.


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.