Technische und Organisatorische Maßnahmen (TOM)
TOM sind konkrete Handlungsanweisungen zur Umsetzung von Sicherheitsmaßnahmen – ein zentraler Bestandteil der ISO/IEC 27000er Reihe und essentiell für ein funktionierendes ISMS. Sie decken Zugangskontrolle, physische Sicherheit, Netzwerksicherheit, Notfallmanagement und Compliance-Anforderungen ab – und schlagen zugleich die Brücke zum Datenschutz, denn Artikel 32 DSGVO verlangt dieselben Maßnahmen aus datenschutzrechtlicher Sicht.
TOM in der Praxis
- Organisatorisch: Richtlinien für Informationssicherheit mit regelmäßigen Überprüfungen, klare Verantwortlichkeiten und Governance-Strukturen, Schulung und Sensibilisierung der Mitarbeiter, Sicherheitsanforderungen in Lieferantenverträgen.
- Technisch: Zugriffsrichtlinien nach dem Least-Privilege-Prinzip mit starker Authentifizierung, Verschlüsselung sensibler Daten samt Schlüsselverwaltung, Firewalls und Intrusion-Detection-Systeme, Sicherungs- und Wiederherstellungsverfahren.
- Prozesse und Kontinuität: Erfassung und Klassifizierung aller Informationswerte zur Ermittlung des Schutzbedarfs, Incident-Response-Pläne, Business-Continuity- und Disaster-Recovery-Planung, Compliance und interne Audits.
Entscheidend ist die regelmäßige Überprüfung und Anpassung: Nur so werden aktuelle Bedrohungen und veränderte Geschäftsanforderungen berücksichtigt.
