Technische und organisatorische Massnahmen
W&W trifft die nachfolgenden geeigneten technischen und organisatorischem Massnah-men zur Gewährleistung einer angemessenen Datensicherheit.
1. Vertraulichkeit
Zugriffskontrolle
Massnahmen, die gewährleisten, dass berechtigte Personen nur auf diejenigen Perso-nendaten Zugriff haben, die sie zur Erfüllung ihrer Aufgaben benötigen.
Technische Massnahmen | Organisatorische Massnahmen |
Login mit Benutzername und Passwort | Verwaltung Benutzerrechte durch Administratoren |
Abschliessbare Schränke | Vergabe von Administratorrechten an minimale Anzahl Per-sonen |
Login mit Benutzername und Passwort | Einsatz von Rollen- und Berechtigungskonzepten |
Anti-Viren-Software | Auswahl sicherer Passwörter |
Firewall | Regelung für das Ausscheiden von Mitarbeitenden, insbe-sondere Sperrung von Zugriffen |
Verschlüsselter Zugriff auf interne Systeme | Sicheres Löschen / Vernichten nicht mehr benötigter Unter-lagen |
Verschlüsselung von Datenträgern | |
Verschlüsselung von Notebooks / Tablet | |
Ausschluss nicht signierter externer Geräte und IT-Systeme | |
Verschlüsselung von mobilen Datenträgern |
Zugangskontrolle
Massnahmen, die gewährleisten, dass nur berechtigte Personen Zugang zu den Räumlichkeiten und Anlagen haben, in denen Personendaten bearbeitet werden.
Technische Massnahmen | Organisatorische Massnahmen |
Elektronisches Schliesssystem | Regelmässige Schulung aller Mitarbeiter über Richtlinien, Policies und Vor-gaben |
Sicherheitsschlösser an wichtigen Türen | Badgeregelung mit Berechtigungskonzept |
Externe nur in Begleitung durch Mitarbeiter | |
Auswahl sicherer Passwörter | |
Regelung für das Ausscheiden von Mitarbeitenden, insbesondere Sper-rung von Zugängen |
2. Verfügbarkeit und Integrität
Datenträgerkontrolle
Massnahmen, die gewährleisten, dass unbefugte Personen Datenträger nicht lesen, ko-pieren, verändern, verschieben, löschen oder vernichten können.
Technische Massnahmen | Organisatorische Massnahmen |
Login mit Benutzername und Passwort | Einsatz eines externen Dienstleisters zur Vernichtung von Datenträger |
Einsatz von Verschlüsselungsmassnahmen entsprechend dem aktuellen Stand der Technik | |
Physische Löschung von Datenträgern |
Speicherkontrolle
Massnahmen, die gewährleisten, dass unbefugte Personen Personendaten im Speicher nicht spei-chern, lesen, ändern, löschen oder vernichten können.
Technische Massnahmen | Organisatorische Massnahmen |
Login mit Benutzername und Passwort | Einsatz Rollen- und Berechtigungskonzepte |
E-Mail-Verschlüsselung | Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts |
Einsatz von VPN | |
Eingesetzte Verschlüsselungsmassnahmen entsprechend dem aktuellen Stand der Technik |
Transportkontrolle
Massnahmen, die gewährleisten, dass unbefugte Personen bei der Bekanntgabe von Personenda-ten oder beim Transport von Datenträgern Personendaten nicht lesen, kopieren, verändern, lö-schen oder vernichten können.
Technische Massnahmen | Organisatorische Massnahmen |
Einsatz von Verschlüsselungsmassnahmen entsprechend dem aktuellen Stand der Technik | Ausschluss jeglicher Datenträger-Transporte |
Passwortsicherung |
Wiederherstellung
Massnahmen, die gewährleisten, dass die Verfügbarkeit der Personendaten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden kön-nen.
Technische Massnahmen | Organisatorische Massnahmen |
Doppelte Datensicherung durch Backups | Unterbringung von Backupsystemen in separaten Räumlich-keiten |
RAID -System / Festplattenspiegelung | Aufbewahrung der Sicherungsmedien an einem sicheren Ort ausserhalb der Arbeitsräumlichkeiten |
Gewährleistung der technischen Lesbarkeit von Backupspei-chermedien | Vorgabe zur Kontrolle von Datensicherungsvorgängen |
Sichere und ausreichende Default-Einstellung für die Server, durch die ein abgesicherter Wiederanlauf des Serversystems in der vorgesehenen Zeit durchge-führt werden kann. | Regelmässige Tests zur Datenwiederherstellung |
Lagerung von Speichermedien unter notwendigen Lagerbe-dingungen (Klimatisierung, Schutzbedarf etc.) |
Verfügbarkeit, Zuverlässigkeit und Datenintegrität
Massnahmen, die gewährleisten, dass alle Funktionen des automatisierten Datenbearbeitungssys-tems zur Verfügung stehen (Verfügbarkeit), Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte Personendaten nicht durch Fehlfunktionen des Systems beschädigt werden kön-nen (Datenintegrität).
Technische Massnahmen | Organisatorische Massnahmen |
Feuerlöscher | Vertretungsregelungen für Mitarbeiter |
Serverräumlichkeiten in separaten Räumlichkeiten | Vereinbarung bzgl. Übergabe der (Daten-) Sicherungen |
RAID -System / Festplattenspiegelung | Durchführung regelmässiger Risikoanalysen |
USV-Anlage (Unterbrechungsfreie Stromversorgung) | Unverzügliche und regelmässige Aktivierung von verfügba-ren Soft- und Firmwareupdates |
Einsatz von Firewall und regelmässige Aktualisierung | Periodische Sicherheitstrainings und Sensibilisierungskam-pagnen innerhalb der Organisation |
Einsatz von Spamfilter und regelmässige Aktualisierung | Zentrale Dokumentation aller Verfahrensweisen |
Einsatz von Virenscanner und regelmässi-ge Aktualisierung | Dokumentierter Prozess zur Erkennung und Meldung von Störfällen |
Intrusion Detection / Prevention System | Freigabeverfahren für Änderungen bei Rollenwechsel |
Systemsicherheit
Massnahmen, die gewährleisten, dass Betriebssysteme und Anwendungssoftware stets auf dem neusten Sicherheitsstand gehalten und bekannte kritische Lücken geschlossen werden.
Technische Massnahmen | Organisatorische Massnahmen |
Unverzügliche und regelmässige Aktivierung von verfügba-ren Soft- und Firmwareupdates | Vertretungsregelungen für Mitarbeiter |
Regelmässige Aktualisierung der Firewall | Es besteht ein automatisierter Prozess zum Ausschluss von Einzelsystemen bei identifizierten Sicherheitsverletzungen (Angriffen). |
Regelmässige Aktualisierung von Spamfiltern | Dokumentierte Vorgehensweise zum Umgang mit Störfäl-len |
Regelmässige Aktualisierung von Virenscanner | Bei negativem Verlauf der zuvor genannten Überprüfung werden die Sicherheitsmassnahmen risikobezogen angepasst, erneuert und umgesetzt. |
Intrusion Detection / Prevention System |
3. Nachvollziehbarkeit
Eingabekontrolle
Massnahmen, die gewährleisten, dass überprüft werden kann, welche Personendaten zu welcher Zeit und von welcher Person im automatisierten Datenbearbeitungssystem eingegeben oder ver-ändert werden.
Technische Massnahmen | Organisatorische Massnahmen |
Protokollierung des elektronischen Zugangssystem | Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts |
Kennzeichnung erfasster Daten anhand von Schlüssel-IDs | Protokollierung von Eingaben, Veränderungen und Löschun-gen |
Protokollauswertungssystem | Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen (nicht Benutzergruppen) |
Über OS-Standard hinausgehendes Log-Konzept | |
Dezidierter Logserver mit kontrolliertem Zugriff | |
Schutz der Protokolldaten vor unbefugtem Zugriff und unbe-fugter Manipulation |
Bekanntgabekontrolle
Massnahmen, die gewährleisten, dass überprüft werden kann, wem Personendaten mit Hilfe von Einrichtungen zur Datenübertragung bekanntgegeben werden.
Technische Massnahmen | Organisatorische Massnahmen |
Authentisierte und hinreichend verschlüsselte Übertragung von Daten vor der Weitergabe bei nicht gesicherten Übertragungswegen | Dokumentierte Vergabe von Berechtigungen an Mitarbeiter von Kunden |
Trennung von Kunden (Mandantenfähigkeit des verwende-ten Systems) | Verpflichtung auf Vertraulichkeit/Datengeheimnis |
Dateiseparierung bei Datenbanken | Vorherige Prüfung der von Unterauftragsbearbeitern ge-troffenen Sicherheitsmassnahmen und deren Dokumentation |
Logische Datentrennung | Sorgfältige Auswahl von Unterauftragnehmern |
Authentisierung der Benutzer gegenüber dem Datenverarbeitungssystem | Abschluss notwendiger datenschutzrechtlicher Vereinbarung mit Unterauftragsbearbeitern |
Erkennung und Beseitigung
Massnahmen, die gewährleisten, dass Verletzungen der Datensicherheit rasch erkannt (Erkennung) und Massnahmen zur Minderung oder Beseitigung der Folgen ergriffen werden kön-nen (Beseitigung).
Technische Massnahmen | Organisatorische Massnahmen |
Einsatz von Firewall und regelmässige Aktualisierung | Periodische Sicherheitstrainings und Sensibilisierungskam-pagnen innerhalb der Organisation |
Einsatz von Spamfilter und regelmässige Aktualisierung | Vertretungsregelungen für Mitarbeiter |
Einsatz von Virenscannern und regelmässige Aktualisie-rung | Dokumentierte Vorgehensweise zum Umgang mit Störfäl-len |
Intrusion Detection / Prevention System | Notfallplan (z.B. Hackerangriffe, Wasser, Feuer, Explosion, Androhung von Anschlägen, Absturz, Erdbeben) |
Getroffene Sicherheitsmassnahmen werden einer regelmäs-sigen Kontrolle unterzogen. | |
Bei negativem Verlauf der zuvor genannten Überprüfung werden die Sicherheitsmassnahmen risikobezogen angepasst, erneuert und umgesetzt. |
Download technische und organisatorische Mass-nahmen