Zurück zum Lexikon

Lexikon

Checkliste IT-Sicherheitskonzept

Ein IT-Sicherheitskonzept sollte die folgenden Maßnahmen beschreiben:

  1. Zutrittskontrolle: Maßnahmen, die verhindern, das Unbefugte Zugang zu Datenverarbeitungsanlagen erhalten, mit deren Hilfe personenbezogene Daten erfasst werden.
  2. Zugriffskontrolle: Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen nutzen, mit deren Hilfe personenbezogene Daten erfasst werden.
  3. Eingabekontrolle: Maßnahmen, die sicherstellen, dass jederzeit geprüft und festgestellt werden kann, ob personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Falls ja, muss auch festgestellt werden können, wer die Daten manipuliert hat.
  4. Auftragskontrolle: Maßnahmen, die sicherstelle, dass im Auftrag des Vereins verarbeitete personenbezogene Daten ausschließlich entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
  5. Datentrennung: Es muss gewährleistet sein, dass zu unterschiedlichen Zwecken erhobene Daten auch getrennt verarbeitet werden können.
  6. Weitergabe: Es ist sicherzustellen, dass personenbezogene Daten bei der elektronischen oder anderen Übertragung oder ihrer Speicherung – gleich welcher Art – nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Im Zweifelsfall muss festgestellt werden können, wo, wer und wie die Manipulationen vorgenommen wurden.
  7. Datenschutz durch Technik: (Privacy by Design). Bereits bei der Entwicklung von Verarbeitungsvorgängen werden technische Maßnahmen implementiert, um die geplanten Verarbeitungsvorgänge datenschutzkonform zu gestalten.
  8. Schutz: Maßnahmen zum Schutz personenbezogene Daten vor zufälliger Zerstörung oder Verlust.
  9. Organisation: Sicherstellung, dass Mitglieder und Mitarbeiter über die Anforderungen und Notwendigkeit des Datenschutzes informiert und für die Einhaltung sensibilisiert und verpflichtet werden.
  10. Umsetzung: Festlegungen des Vorstands, wie der Datenschutz gehandhabt werden soll.
  11. Kontrolle: Überprüfungs- und Kontrollmechanismen zur Prüfung, dass die Datenschutzrichtlinien eingehalten werden.