Ist eine zentrale Stelle (z.B. Sicherheitsbeauftragter, Benutzerservice, IT-Leiter) bestimmt worden, die für die Datensicherheit zuständig ist? | 100 | 100 | Nein | -100 | Ein Leiter, mehrere agierende Fachkompetenzen |
Wurden spezielle Sicherheitsrichtlinien (z.B. für den RZ-Betrieb, den Endgeräteeinsatz, die Entsorgung von Datenträgern) erlassen, und werden diese stets auf dem aktuellen Stand gehalten? | 100 | 75 | Ja | 75 | Systemische Lücken |
Wurden diese Sicherheitsrichtlinien (Security Policy) allen Betroffenen in geeigneter Weise bekannt gemacht? | 100 | 75 | Ja | 75 | Einweisung erst nach sechs Wochen |
Werden die in den Datenschutzrichtlinien vorgeschriebenen Sicherheitsmaßnahmen sporadisch kontrolliert? | 100 | 0 | Nein | 0 | Systemische Lücken |
Sind für den Fall der Nichteinhaltung der vorgeschriebenen Sicherheitsmaßnahmen Sanktionen vorgesehen? | 100 | 25 | Ja | 25 | Nur Verbal ohne wirkliche Konsequenzen |
Ist eine Funktionstrennung von Programmentwicklung und Ausführung der automatisierten Datenverarbeitung gewährleistet? | 100 | 100 | Nein | -100 | mehrere agierende Fachkompetenzen |
Sind die Zuständigkeiten für Systemverwaltung, Benutzerverwaltung und DV-Revision verschiedenen Personen zugeordnet? | 100 | 100 | Nein | -100 | mehrere agierende Fachkompetenzen |
Ist die Netzwerkverwaltung in die Systemverwaltung integriert? | 100 | 50 | Nein | -50 | Das Warum ist nicht klar |
Wird auf die Trennung von Systemverwaltung, Maschinenbedienung und Programmentwicklung (gilt in erster Linie für den Mainframe-Bereich) im Bereich der zentralen Datenverarbeitung geachtet? | 100 | 50 | NZ | 0 | |
Ist die Vertretung für die Systemverwaltung datenschutzgerecht geregelt? | 100 | 100 | Ja | 25 | Lücken bei Krankheit, Null bei Doppelausfall |
Gibt es eine Übersicht über alle im Einsatz befindlichen Systemprogramme, mit denen personenbezogene Daten verarbeitet werden? | 100 | 75 | Ja | 75 | Mehrere agierende Fachkompetenzen alle Sysadmin |
Existiert eine Übersicht über alle Netzwerkkomponenten? | 100 | 100 | Ja | 100 | |
Unterliegen alle eigenentwickelten Programme und Verfahren einer an die Bedürfnisse des Unternehmens angepassten Qualitätskontrolle? | 100 | 50 | Ja | 50 | Nur neue Programme, Altlasten nicht im Fokus |
Ist bei der Anwendung von Fremdsoftware gewährleistet, dass der Programmcode und die Programmdokumentation – soweit keine Übergabe erfolgte – an einer vertrauenswürdigen Stelle hinterlegt wurden? | 100 | 50 | Ja | 50 | Neu Programme Notarunder Konto, Altlasten im Risiko |
Werden Fremdprogramme vor ihrem Produktionseinsatz hinsichtlich einer eventuellen Beeinträchtigung der unternehmens- oder behördenspezifischen Security Policy überprüft? | 100 | 100 | Nein | -100 | |
Ist durch ein formalisiertes Freigabeverfahren gewährleistet, dass für die Verarbeitung personenbezogener Daten ausschließlich freigegebene Programme eingesetzt werden? | 100 | 100 | Nein | -100 | |
Dürfen alle neu erstellten und geänderten Programme ausschließlich nach ordnungsgemäßer Freigabe in den Echtbetrieb übernommen werden (z.B. durch die Qualitätssicherung oder den Benutzerservice)? | 100 | 25 | Ja | 25 | Nur neue Programme, Altlasten nicht im Fokus |
Ist ein Verantwortlicher für die Durchführung der Datensicherung (zentral und dezentral) festgelegt? | 100 | 50 | Ja | 50 | Keine Vertretung |
Wird bei der dezentralen Datensicherung (z.B. beim Einsatz mobiler Endgeräte) eine regelmäßige automatische Sicherung maschinell erzwungen? | 100 | 25 | Ja | 25 | Cron Job braucht Zustimmung von Admin |
Werden die Datenträger aus der dezentralen Sicherung zugriffssicher aufbewahrt? | 100 | 100 | Nein | -100 | |
Gibt es spezielle Anwesenheitsberechtigungen für den Bereich des Rechenzentrums oder der Rechnerräume? | 50 | 100 | Ja | 100 | Nicht konsequent umgesetzt |
Gibt es besondere Anwesenheitsberechtigungen für Fremdpersonal, das diese Räume betritt? | 50 | 25 | Ja | 25 | Nicht konsequent umgesetzt |
Ist die Fremdwartung von DV-Komponenten schriftlich geregelt? | 100 | 75 | Ja | 75 | Zum größten Teil |
Existieren spezielle Sicherheitsanweisungen für die Datenerfassung, die Datensicherung, die Datenträgeraufbewahrung, die Zugangs- und Zugriffssicherung sowie den Transport von Datenträgern? | 100 | 50 | Ja | 50 | Nicht konsequent umgesetzt |
Ist die Entsorgung aller nicht mehr benötigten Datenträger datenschutzgerecht geregelt? | 100 | 50 | Ja | 50 | Nicht durchgängig, GF |
Gibt es eine Aufstellung über alle externen Dienstleistungsunternehmen, soweit sie personenbezogene Daten verarbeiten? | 100 | 50 | Ja | 50 | Nur Optisch, nicht akustisch |
Wurden mit diesen Dienstleistungsunternehmen schriftliche Verträge nach Artikel 28 abgeschlossen? | 100 | 100 | Ja | 100 | |
Wurden bestehende Verträge an die neuen Regelungen von Artikel 28 DSGVO angepasst? | 100 | 75 | Ja | 75 | Ports werden geschützt, Virenschutz verbesserungswürdig, kein Ausschluss von Exe und Zip Dateien |
Existiert ein schriftlicher Notfallplan, in dem beim Ausfall bestimmter IT-Komponenten alle notwendig werdenden Notfallaktionen dokumentiert sind? | 100 | 100 | Nein | -100 | |
Enthält dieser Notfallplan auch Aussagen zur Datensicherheit? | 100 | 100 | Nein | -100 | |
Ergebnis | 2900 | 30 | 25 | 0 | |