Technische und organisatorische Maßnahmen (TOMs) der azuma healthtech GmbH

1. Management und Organisation

• Eine geeignete Organisationstruktur für Informationssicherheit ist vorhanden und die Informationssicherheit ist in die organisationsweiten Prozesse und Abläufe integriert
• Sicherheitsricht- und -leitlinien sind definiert, von der Geschäftsführung genehmigt und dem Personal kommuniziert
• Die Rollen der einzelnen Mitarbeiter im Sicherheitsprozess sind eindeutig festgelegt
• Eine regelmäßige Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen ist vorgesehen
• Konzepte und Dokumentationen im Sicherheitsumfeld werden regelmäßig überprüft und aktuell gehalten
• Einsatz eines geeigneten Informationssicherheitsmanagementsystem (ISMS), nach ISO27001 (noch nicht zertifiziert)
• Die Rollen und Verantwortlichkeiten im Bereich der Sicherheit sind im eigenen Betrieb bekannt und besetzt
• Vorhandensein von Eskalationsprozessen bei Sicherheitsverletzungen
• Konsequente Dokumentation bei Sicherheitsvorkommnissen (Security Reporting)

2. Physikalische Sicherheit der Infrastruktur

• Keine eigene physische IT-Infrastruktur vorhanden
• Speicherung von personenbezogenen Daten soll nur in Cloud Applikationen und Systemen erfolgen (Richtlinie dazu vorhanden)
• Zugang zu Cloud-Diensten, Cloud Applikationen und Daten/Dokumenten darin nur über Account basierte, freigegebene Zugänge vorgesehen
• Möglichst keine Speicherung auf lokalen Servern oder Speichermedien als Vorgabe für alle Mitarbeitenden

3. Awareness der Mitarbeitenden

• Allen beteiligten Personen der Organisation wurde die Wichtigkeit von Informationssicherheit und Datenschutz bewusst gemacht
• Für neue Mitarbeitende ist die Auseinandersetzung mit dem ISMS der azuma healthtech GmbH vorgegeben
• Alle relevanten Richtlinien zur Informationssicherheit und zum korrekten Umgang mit IT-Systemen sind vorhanden und leicht zugänglich
• Alle notwendigen Mitarbeitenden kennen die internen Prozesse zum Umgang mit Informationssicherheit und möglichen Verletzungen
• Eine ausführliche Richtlinie zum Umgang mit IT Systemen im Home-Office ist vorhanden und allen Mitarbeitenden vorgegeben

4. Authentifizierung

• Einweisung aller Mitarbeitenden im Umgang mit Authentifizierungsverfahren und -mechanismen
• Verwendung von starken Passwörtern vorgegeben und Richtlinie dafür verabschiedet
• Passwörter dürfen nur in dafür vorgesehenen Passwort Security Applikationen unter Verwendung von Zwei-Faktor-Authentifizierung gespeichert werden (siehe Unterauftragnehmer)
• Keine Passwörter per E-Mail übermitteln (z. B. für einen Firmenaccount zu einem Cloud-Dienst)
• Soweit möglich soll konsequenter Einsatz von Verfahren zur Zwei-Faktor-Authentifizierung für Administratorkonten bei Anwendungen erfolgen

5. Rollen-/Rechtekonzept

• Es sind keine Administratorkennungen für Nutzer erlaubt, die keine administrativen Tätigkeiten ausführen
• Grundsätzlich werden Zugänge zu den verwendeten Cloud Applikationen oder zu Dokumenten nur Account basiert vergeben, so dass nur berechtigte Mitarbeitende Zugang zu Informationen und Daten haben

6. Endgeräte (Clients)

• Eine Richtlinie zum Umgang mit Bring-Your-Own-Device ist vorhanden und allen Mitarbeitenden vorgegeben
• Es werden keine Daten auf lokalen Speichern von Endgeräten gespeichert, sondern nur abgesicherte Cloud Speicher und Cloud Applikationen sind erlaubt
• Einbindung von externen Geräten ist durch technische Maßnahmen auf das erforderliche Mindestmaß begrenzen
• Es werden nur Betriebssysteme und Software eingesetzt, für die noch Sicherheitsupdates zeitnah zur Verfügung gestellt werden

7. Mobile Datenspeicher

• Es werden keine Daten auf mobilen Datenspeichern gespeichert, sondern nur abgesicherte Cloud Speicher und Cloud Applikationen sind erlaubt
• Einsatz von Backup- und Synchronisierungsmechanismen zur Verhinderung eines größeren Datenverlusts bei Verlust und Diebstahl gegeben
• Regelungen zur Privatnutzung bei Notebooks und Smartphones sind durch eine Bring-Your-Own-Device Richtlinie geschaffen
• Bei mobilen Datenträgern: Es gibt eine Richtlinie zum sicheren Umgang mit mobilen Datenträgern

8. Serversysteme

• Keine eigenen physischen Serversysteme vorhanden
• Speicherung von personenbezogenen Daten soll nur in Cloud Applikationen und Systemen erfolgen (Richtlinie dazu vorhanden)
• Zugang zu Cloud-Diensten, Cloud Applikationen und Daten/Dokumenten darin nur über Account basierte, freigegebene Zugänge vorgesehen
• Möglichst keine Speicherung auf lokalen Servern oder Speichermedien als Vorgabe für alle Mitarbeitenden

9. Websites und Webanwendungen

• Verwendung des HTTPS-Protokolls nach Stand der Technik (TLS1.2 oder TLS1.3)
• Fernzugang zu Webservern nur mit verschlüsselter Verbindung und Zwei-Faktor-Authentifizierung
• Nutzung von ausschließlichen sicheren Service-Providern, z.B. für Cloud-Dienste, Mail-Dienste, usw.

10. Netzwerk

• Keine eigene physische IT-Infrastruktur und keine zentralen Netzwerke vorhanden

11. Archivierung

• Backups und Archivierung passieren ausschließlich in Cloud-Diensten und Cloud Applikationen
• Datenarchive unterliegen den gleichen Zugangsbeschränkungen wie Livedaten
• Keine Archivierung auf physischen Datenträgern oder Servern erlaubt
• Prozesse zum Umgang mit der Archivierung von Informationen vorhanden

12. Wartung durch Dienstleister

• Keine externen Dienstleister im Einsatz

13. Protokollierung

• Zugriffe werden über die Protokollierungsmechanismen der genutzten Cloud-Dienste und Cloud Applikationen protokolliert
• Die Log-Dateien bei selbstentwickelten Softwarelösungen werden in den Cloud-Plattformen unter Berücksichtigung aller gängigen Security-Aspekte durchgeführt
• Bei der Protokollierung werden datenschutz-/sicherheitsrelevante Aspekte berücksichtigt und von der Protokollierung ausgeschlossen

14. Business Continuity

• Backups passieren ausschließlich durch die Mechanismen der genutzten Cloud-Dienste und Cloud Applikationen
• Backups sind durch die Anbieter der genutzten Cloud-Dienste vor Verschlüsselung durch Ransomware geschützt

15. Kryptographie

• Kryptographische Verfahren der Anbieter der genutzten Cloud-Dienste werden verwendet
• SSL-Zertifikate werden bei vertrauenswürdigen Zertifizierungsstellen beschafft

16. Datentransfer

• Der Datentransfer erfolgt ausschließlich über sichere/verschlüsselte Kommunikationskanäle (HTTPS)

17. Entwicklung und Auswahl von Software

• Relevante Mitarbeiter sind darüber geschult, dass Security-by-Design (Sicherstellung der Vertraulichkeit, Verfügbarkeit und Integrität) als Teilmenge von Data-Protection-By-Design eine gesetzliche Datenschutzanforderung ist und Einfluss auf zentrale Designentscheidungen hat (Produktauswahl, zentral vs. dezentral, Pseudonymisierung, Verschlüsselung, Land eines Dienstleisters, SSL-Zertifikate)
• Es findet eine Trennung von Produktivsystem zu Entwicklungs-/Testsystem statt
• Der Zugang zum Source-Code bei der Entwicklung von Software ist beschränkt
• Der Zugang zu Test/Produktivsystemen ist beschränkt
• Es werden keine personenbezogenen Daten oder Zugangsdaten in der Source-Code-Verwaltung abgelegt
• System- und Sicherheitstests, wie z. B. Code-Scan und Penetrationstests, sollten durchgeführt werden
• Ausreichende Testzyklen werden berücksichtigt
• Fortlaufendes Inventarisieren der Versionen von Software oder Komponenten (z. B. Frameworks, Bibliotheken) sowie deren Abhängigkeiten ist gegeben
• Standardsoftware und entsprechende Updates werden nur aus vertrauenswürdigen Quellen bezogen
• Sicherstellung, dass ein fortlaufender Plan zur Überwachung, Bewertung und Anwendung von Updates oder Konfigurationsänderungen für die gesamte Lebenszeit einer Software-anwendung besteht

18. Auftragsverarbeiter

• Es werden nur Dienstleister verwendet, die die Garantien (in Form von Dokumenten) zur Verfügung stellen können
• Die Wirksamkeit der Garantien kann durch geeignete Zertifizierungen (ansatzweise) nachgewiesen werden
• Der Auftragsverarbeiter darf keine weiteren Subdienstleister ohne Information des Auftraggebers aufnehmen – dieser hat dann ein Widerspruchsrecht
• Daten werden bei Auftragsverarbeitung (spätestens) nach Vertragsende wirksam gelöscht
• Angaben zur Löschmethodik können bei Bedarf zur Verfügung gestellt werden