Argana Consulting GmbH 
Lasst uns lieber darüber reden, wie sich die Probleme lösen lassen.

Technische und Organisatorische Maßnahmen (TOM)

Die Technischen und Organisatorischen Maßnahmen (TOM) sind ein zentraler Bestandteil der ISO/IEC 27000-Reihe, dem internationalen Standard für Informationssicherheitsmanagement. Die TOM sind konkrete Handlungsanweisungen zur Umsetzung von Sicherheitsmaßnahmen und sollen dazu beitragen, die Sicherheit von Informationen und IT-Systemen zu gewährleisten. Diese Maßnahmen sind zentral für den Aufbau und die Aufrechterhaltung eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27000.

 

Diese Maßnahmen decken alle wichtigen Aspekte der Informationssicherheit ab, von der Zugangskontrolle und physischen Sicherheit über Netzwerksicherheit bis hin zu Notfallmanagement und Compliance.

Einige Beispiele für technische und organisatorische Maßnahmen (TOM) sind:

  • Richtlinien für die Erstellung, Genehmigung und Kommunikation von Informationssicherheitsrichtlinien innerhalb der Organisation. Sicherstellen, dass die Richtlinien regelmäßig überprüft und bei Bedarf aktualisiert werden, um aktuellen Bedrohungen und Geschäftsanforderungen gerecht zu werden.
  • Definition und Zuweisung von Verantwortlichkeiten für die Informationssicherheit innerhalb der Organisation und Einrichtung von Ausschüssen oder Gremien, die für die Koordination und das Management der Informationssicherheit verantwortlich sind.
  • Erfassung und Klassifizierung aller Informationswerte, um deren Schutzbedarf zu ermitteln, und Umsetzung von Maßnahmen zum Schutz der Informationswerte entsprechend ihrer Klassifizierung.
  • Zugriffsrichtlinien nach dem Prinzip der geringsten Rechte (Least Privilege) festlegen und starke Authentifizierungsmethoden wie Passwörter, Tokens oder biometrische Verfahren implementieren.
  • Sicherstellen, dass nur autorisierte Benutzer Zugriff auf IT-Systeme und Daten haben und dass die Zugriffsrechte regelmäßig überprüft und aktualisiert werden.
  • Einsatz von Verschlüsselung zur Gewährleistung der Vertraulichkeit und Integrität sensibler Informationen und Einrichtung eines effektiven Schlüsselmanagementsystems zur Gewährleistung der Sicherheit kryptographischer Schlüssel.
  • Implementierung von Sicherheitsmechanismen wie Firewalls, Intrusion Detection und Prevention Systemen und regelmäßige Sicherheitsüberprüfungen.
  • Schutz von Daten durch Verschlüsselung, Sicherungs- und Wiederherstellungsverfahren und Umsetzung von Maßnahmen zur Datensicherung und -vernichtung.
  • Vorbereitung und Reaktion auf Sicherheitsvorfälle, einschließlich der Umsetzung von Plänen und Verfahren zur Reaktion auf Sicherheitsvorfälle.
  • Sicherstellen, dass Sicherheitsanforderungen in Verträge mit Lieferanten und Dienstleistern aufgenommen werden, und regelmäßige Überprüfung und Bewertung der Sicherheitspraktiken von Lieferanten.
  • Entwicklung von Plänen zur Aufrechterhaltung des Geschäftsbetriebs bei Sicherheitsvorfällen oder Katastrophen und Umsetzung von Strategien zur schnellen Wiederherstellung kritischer IT-Systeme und -Prozesse nach einem Ausfall.
  • Einhaltung gesetzlicher, behördlicher und vertraglicher Anforderungen und Sicherstellung, dass alle relevanten gesetzlichen, behördlichen und vertraglichen Anforderungen in Bezug auf Informationssicherheit erfüllt werden.
  • Regelmäßige Durchführung interner Audits, um die Einhaltung der Informationssicherheitsanforderungen zu überprüfen und kontinuierliche Verbesserungen sicherzustellen.
  • Schulung und Sensibilisierung der Mitarbeiterinnen und Mitarbeiter für Informationssicherheit, um das Risiko menschlicher Fehler und Sicherheitsverletzungen zu minimieren.

 

Die Technischen und Organisatorischen Maßnahmen (TOM) sind ein wichtiger Bestandteil eines umfassenden Informationssicherheits-Managementsystems (ISMS) und sollten regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass sie den aktuellen Anforderungen und Bedrohungen entsprechen. Die Umsetzung der TOM kann auch dazu beitragen, die Einhaltung gesetzlicher und regulatorischer Anforderungen im Bereich der Informationssicherheit zu gewährleisten.