{ "version": "1.0", "schema": "iso_annex_a", "generated": "2026-03-05", "total_controls": 180, "domains": [ { "id": "GOV", "name": "Governance & Policies", "objective": "Datenschutz-Governance-Rahmen etablieren, Verantwortlichkeiten definieren und regelmaessige Reviews sicherstellen", "controls": [ { "id": "TOM.GOV.01", "title": "ISMS/Privacy Governance", "description": "Rollen, Verantwortlichkeiten und Review-Zyklen fuer das Datenschutz-Management definieren und dokumentieren.", "type": "ORGANIZATIONAL", "implementation_guidance": "Rollen, Verantwortlichkeiten und Review-Zyklen fuer das Datenschutz-Management definieren und dokumentieren.", "evidence": [ "Organigramm", "Governance-Policy", "Review-Protokolle" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 5(2)", "Art. 24" ], "iso27001": [ "A.5.1" ], "bsi": [ "ISMS.1" ], "sdm": [ "Transparenz" ] }, "review_frequency": "ANNUAL", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.GOV.02", "title": "Datenschutzbeauftragter (DSB)", "description": "Bestellung eines DSB gemaess Art. 37 DSGVO, Sicherstellung der Unabhaengigkeit und Ressourcenausstattung.", "type": "ORGANIZATIONAL", "implementation_guidance": "Bestellung eines DSB gemaess Art. 37 DSGVO, Sicherstellung der Unabhaengigkeit und Ressourcenausstattung.", "evidence": [ "DSB-Bestellungsurkunde", "Aufgabenbeschreibung", "Schulungsnachweise" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 37", "Art. 38", "Art. 39" ], "iso27001": [ "A.5.2" ], "bsi": [ "ORP.1" ], "sdm": [ "Transparenz" ] }, "review_frequency": "ANNUAL", "priority": "CRITICAL", "complexity": "LOW" }, { "id": "TOM.GOV.03", "title": "Datenschutz-Leitlinie", "description": "Unternehmensweite Datenschutz-Policy erstellen, von der Geschaeftsfuehrung genehmigen und an alle Mitarbeiter kommunizieren.", "type": "ORGANIZATIONAL", "implementation_guidance": "Unternehmensweite Datenschutz-Policy erstellen, von der Geschaeftsfuehrung genehmigen und an alle Mitarbeiter kommunizieren.", "evidence": [ "Datenschutz-Leitlinie", "Freigabenachweis", "Kommunikationsprotokoll" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 24", "Art. 5(2)" ], "iso27001": [ "A.5.1" ], "bsi": [ "ORP.1" ], "sdm": [ "Transparenz" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.GOV.04", "title": "Richtlinien-Review-Zyklus", "description": "Alle Datenschutz-Richtlinien mindestens jaehrlich pruefen und bei Aenderungen der Rechtslage aktualisieren.", "type": "ORGANIZATIONAL", "implementation_guidance": "Alle Datenschutz-Richtlinien mindestens jaehrlich pruefen und bei Aenderungen der Rechtslage aktualisieren.", "evidence": [ "Review-Protokolle", "Aenderungshistorie", "Versionsverwaltung" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 24(1)" ], "iso27001": [ "A.5.1" ], "bsi": [ "ORP.1" ], "sdm": [ "Transparenz" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.GOV.05", "title": "Compliance-Monitoring", "description": "Regelmaessige interne Pruefungen der Datenschutz-Compliance durchfuehren und Abweichungen dokumentieren.", "type": "ORGANIZATIONAL", "implementation_guidance": "Regelmaessige interne Pruefungen der Datenschutz-Compliance durchfuehren und Abweichungen dokumentieren.", "evidence": [ "Audit-Berichte", "Massnahmenplaene", "Nachverfolgung" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 5(2)", "Art. 32(1d)" ], "iso27001": [ "A.5.36" ], "bsi": [ "DER.3.1" ], "sdm": [ "Transparenz" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.GOV.06", "title": "Datenschutz-Risikoregister", "description": "Zentrales Register aller datenschutzrelevanten Risiken fuehren, bewerten und Massnahmen zuordnen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Zentrales Register aller datenschutzrelevanten Risiken fuehren, bewerten und Massnahmen zuordnen.", "evidence": [ "Risikoregister", "Risikobewertungen", "Massnahmenplan" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 24(1)", "Art. 35" ], "iso27001": [ "A.5.3" ], "bsi": [ "ISMS.1" ], "sdm": [ "Transparenz", "Integritaet" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.GOV.07", "title": "Management-Review", "description": "Geschaeftsfuehrung informiert sich regelmaessig ueber den Stand der Datenschutz-Compliance und trifft strategische Entscheidungen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Geschaeftsfuehrung informiert sich regelmaessig ueber den Stand der Datenschutz-Compliance und trifft strategische Entscheidungen.", "evidence": [ "Management-Review-Protokoll", "Praesentationen", "Entscheidungsprotokolle" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 24" ], "iso27001": [ "A.5.1" ], "bsi": [ "ISMS.1" ], "sdm": [ "Transparenz" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "MEDIUM", "complexity": "LOW" }, { "id": "TOM.GOV.08", "title": "Datenschutz-Folgenabschaetzung Prozess", "description": "Standardisierten DSFA-Prozess gemaess Art. 35 etablieren mit Schwellwertanalyse, Durchfuehrung und Massnahmenableitung.", "type": "ORGANIZATIONAL", "implementation_guidance": "Standardisierten DSFA-Prozess gemaess Art. 35 etablieren mit Schwellwertanalyse, Durchfuehrung und Massnahmenableitung.", "evidence": [ "DSFA-Vorlage", "Schwellwertanalyse", "DSFA-Dokumentation" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 35", "Art. 36" ], "iso27001": [ "A.5.34" ], "bsi": [ "CON.2" ], "sdm": [ "Transparenz", "Datenminimierung" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.GOV.09", "title": "Datenschutz-Budgetplanung", "description": "Dediziertes Budget fuer Datenschutz-Massnahmen, Tools und Schulungen planen und jaehrlich ueberpruefen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Dediziertes Budget fuer Datenschutz-Massnahmen, Tools und Schulungen planen und jaehrlich ueberpruefen.", "evidence": [ "Budgetplanung", "Ausgabenberichte", "Investitionsplan" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 24" ], "iso27001": [ "A.5.1" ], "bsi": [ "ISMS.1" ], "sdm": [ "Transparenz" ] }, "review_frequency": "ANNUAL", "priority": "MEDIUM", "complexity": "LOW" }, { "id": "TOM.GOV.10", "title": "Datenschutz bei Projekten (Privacy by Design)", "description": "Bei jedem neuen IT-Projekt oder Geschaeftsprozess Datenschutzanforderungen fruehzeitig einbeziehen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Bei jedem neuen IT-Projekt oder Geschaeftsprozess Datenschutzanforderungen fruehzeitig einbeziehen.", "evidence": [ "Projekt-Checkliste", "DSFA-Schwellwertanalyse", "Freigabeprotokolle" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 25(1)" ], "iso27001": [ "A.5.8" ], "bsi": [ "CON.2" ], "sdm": [ "Datenminimierung", "Zweckbindung" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.GOV.11", "title": "Verzeichnis von Verarbeitungstaetigkeiten", "description": "VVT gemaess Art. 30 DSGVO fuehren und aktuell halten mit allen Pflichtangaben.", "type": "ORGANIZATIONAL", "implementation_guidance": "VVT gemaess Art. 30 DSGVO fuehren und aktuell halten mit allen Pflichtangaben.", "evidence": [ "VVT-Dokument", "Update-Protokolle" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 30" ], "iso27001": [ "A.5.9" ], "bsi": [ "CON.2" ], "sdm": [ "Transparenz", "Zweckbindung" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.GOV.12", "title": "Eskalationsprozess Datenschutzvorfaelle", "description": "Klaren Eskalationspfad fuer Datenschutzvorfaelle definieren mit Meldewegen, Fristen und Zustaendigkeiten.", "type": "ORGANIZATIONAL", "implementation_guidance": "Klaren Eskalationspfad fuer Datenschutzvorfaelle definieren mit Meldewegen, Fristen und Zustaendigkeiten.", "evidence": [ "Eskalationsmatrix", "Prozessbeschreibung", "Kontaktliste" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 33", "Art. 34" ], "iso27001": [ "A.5.24" ], "bsi": [ "DER.2.1" ], "sdm": [ "Vertraulichkeit", "Integritaet" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.GOV.13", "title": "Externe Datenschutz-Audits", "description": "Regelmaessige externe Audits der Datenschutz-Compliance durch unabhaengige Pruefer durchfuehren lassen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Regelmaessige externe Audits der Datenschutz-Compliance durch unabhaengige Pruefer durchfuehren lassen.", "evidence": [ "Audit-Berichte extern", "Zertifikate", "Massnahmenplan" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 5(2)", "Art. 42" ], "iso27001": [ "A.5.35" ], "bsi": [ "DER.3.1" ], "sdm": [ "Transparenz" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.GOV.14", "title": "Datenschutz-Kennzahlen (KPIs)", "description": "Messbare KPIs fuer Datenschutz definieren und regelmaessig berichten (z.B. offene DSR, Schulungsquote, Vorfaelle).", "type": "ORGANIZATIONAL", "implementation_guidance": "Messbare KPIs fuer Datenschutz definieren und regelmaessig berichten (z.B. offene DSR, Schulungsquote, Vorfaelle).", "evidence": [ "KPI-Dashboard", "Quartalsberichte", "Trend-Analysen" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 5(2)" ], "iso27001": [ "A.5.1" ], "bsi": [ "ISMS.1" ], "sdm": [ "Transparenz" ] }, "review_frequency": "QUARTERLY", "priority": "MEDIUM", "complexity": "MEDIUM" }, { "id": "TOM.GOV.15", "title": "Datenschutz-Zertifizierung", "description": "Anstreben einer Datenschutz-Zertifizierung (z.B. Art. 42 DSGVO, ISO 27701) zur Nachweisfuehrung.", "type": "ORGANIZATIONAL", "implementation_guidance": "Anstreben einer Datenschutz-Zertifizierung (z.B. Art. 42 DSGVO, ISO 27701) zur Nachweisfuehrung.", "evidence": [ "Zertifikat", "Audit-Bericht", "Massnahmenplan" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 42", "Art. 43" ], "iso27001": [ "A.5.35" ], "bsi": [ "ISMS.1" ], "sdm": [ "Transparenz" ] }, "review_frequency": "ANNUAL", "priority": "MEDIUM", "complexity": "HIGH" } ] }, { "id": "HR", "name": "Personnel & Awareness", "objective": "Mitarbeiter fuer Datenschutz sensibilisieren, Verpflichtungen sicherstellen und kontinuierliche Kompetenzentwicklung foerdern", "controls": [ { "id": "TOM.HR.01", "title": "Datenschutz-Verpflichtung Mitarbeiter", "description": "Alle Mitarbeiter auf das Datengeheimnis verpflichten und Vertraulichkeitserklaerungen einholen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Alle Mitarbeiter auf das Datengeheimnis verpflichten und Vertraulichkeitserklaerungen einholen.", "evidence": [ "Vertraulichkeitserklaerung", "Verpflichtungsnachweis" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 28(3b)", "Art. 29" ], "iso27001": [ "A.6.6" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "CRITICAL", "complexity": "LOW" }, { "id": "TOM.HR.02", "title": "Datenschutz-Grundschulung", "description": "Verpflichtende Datenschutz-Grundschulung fuer alle neuen Mitarbeiter innerhalb des Onboardings.", "type": "ORGANIZATIONAL", "implementation_guidance": "Verpflichtende Datenschutz-Grundschulung fuer alle neuen Mitarbeiter innerhalb des Onboardings.", "evidence": [ "Schulungsteilnahme", "Zertifikat", "Schulungsunterlagen" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 39(1b)" ], "iso27001": [ "A.6.3" ], "bsi": [ "ORP.3" ], "sdm": [ "Transparenz" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.HR.03", "title": "Jaehrliche Auffrischungsschulung", "description": "Mindestens jaehrliche Datenschutz-Auffrischung fuer alle Mitarbeiter mit aktuellen Themen und Fallbeispielen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Mindestens jaehrliche Datenschutz-Auffrischung fuer alle Mitarbeiter mit aktuellen Themen und Fallbeispielen.", "evidence": [ "Teilnehmerlisten", "Schulungsinhalte", "Evaluationsboegen" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 39(1b)" ], "iso27001": [ "A.6.3" ], "bsi": [ "ORP.3" ], "sdm": [ "Transparenz" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.HR.04", "title": "Rollenspezifische Schulungen", "description": "Vertiefte Schulungen fuer Mitarbeiter mit besonderen Datenschutzaufgaben (IT, HR, Marketing, Vertrieb).", "type": "ORGANIZATIONAL", "implementation_guidance": "Vertiefte Schulungen fuer Mitarbeiter mit besonderen Datenschutzaufgaben (IT, HR, Marketing, Vertrieb).", "evidence": [ "Schulungsplan", "Teilnahmenachweise", "Kompetenzmatrix" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 39(1b)" ], "iso27001": [ "A.6.3" ], "bsi": [ "ORP.3" ], "sdm": [ "Transparenz" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.HR.05", "title": "Datenschutz-Onboarding-Checkliste", "description": "Standardisiertes Onboarding mit Datenschutz-Briefing, Verpflichtung, Systemzugaenge und Schulungstermin.", "type": "ORGANIZATIONAL", "implementation_guidance": "Standardisiertes Onboarding mit Datenschutz-Briefing, Verpflichtung, Systemzugaenge und Schulungstermin.", "evidence": [ "Onboarding-Checkliste", "Unterschriften", "IT-Zugangsprotokolle" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 24", "Art. 29" ], "iso27001": [ "A.6.1" ], "bsi": [ "ORP.2" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.HR.06", "title": "Datenschutz-Offboarding-Prozess", "description": "Beim Austritt Zugriffe entziehen, Geraete zuruecknehmen und Vertraulichkeitspflichten bekraeftigen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Beim Austritt Zugriffe entziehen, Geraete zuruecknehmen und Vertraulichkeitspflichten bekraeftigen.", "evidence": [ "Offboarding-Checkliste", "Zugangsentzugs-Protokoll", "Geraeterueckgabe" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32" ], "iso27001": [ "A.6.5" ], "bsi": [ "ORP.2" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.HR.07", "title": "Phishing-Awareness-Training", "description": "Regelmaessige Phishing-Simulationen und Trainings zur Erkennung von Social-Engineering-Angriffen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Regelmaessige Phishing-Simulationen und Trainings zur Erkennung von Social-Engineering-Angriffen.", "evidence": [ "Phishing-Test-Ergebnisse", "Schulungsnachweise", "Klickraten-Report" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.6.3" ], "bsi": [ "ORP.3" ], "sdm": [ "Vertraulichkeit", "Integritaet" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.HR.08", "title": "Datenschutz-Champions/Botschafter", "description": "In jeder Abteilung einen Datenschutz-Ansprechpartner benennen als Multiplikator und Erstanlaufstelle.", "type": "ORGANIZATIONAL", "implementation_guidance": "In jeder Abteilung einen Datenschutz-Ansprechpartner benennen als Multiplikator und Erstanlaufstelle.", "evidence": [ "Benennungsliste", "Aufgabenbeschreibung", "Schulungsnachweise" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 24" ], "iso27001": [ "A.5.2" ], "bsi": [ "ORP.1" ], "sdm": [ "Transparenz" ] }, "review_frequency": "ANNUAL", "priority": "MEDIUM", "complexity": "LOW" }, { "id": "TOM.HR.09", "title": "Schulung besondere Datenkategorien", "description": "Spezialschulung fuer Mitarbeiter mit Zugang zu Art. 9/10 Daten zu erhoehten Schutzanforderungen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Spezialschulung fuer Mitarbeiter mit Zugang zu Art. 9/10 Daten zu erhoehten Schutzanforderungen.", "evidence": [ "Teilnahmenachweise", "Sonderschulungsunterlagen" ], "applies_if": { "field": "special_categories", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 9", "Art. 10" ], "iso27001": [ "A.6.3" ], "bsi": [ "ORP.3" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.HR.10", "title": "Kinder-Datenschutz-Schulung", "description": "Schulung fuer Mitarbeiter die mit Daten von Minderjaehrigen arbeiten zu besonderen Schutzpflichten.", "type": "ORGANIZATIONAL", "implementation_guidance": "Schulung fuer Mitarbeiter die mit Daten von Minderjaehrigen arbeiten zu besonderen Schutzpflichten.", "evidence": [ "Schulungsunterlagen", "Teilnahmenachweise" ], "applies_if": { "field": "vulnerable_persons", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 8", "ErwGr. 38" ], "iso27001": [ "A.6.3" ], "bsi": [ "ORP.3" ], "sdm": [ "Vertraulichkeit", "Datenminimierung" ] }, "review_frequency": "ANNUAL", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.HR.11", "title": "Disziplinarprozess bei Datenschutzverstoessen", "description": "Klaren Prozess fuer arbeitsrechtliche Konsequenzen bei vorsaetzlichen Datenschutzverstoessen definieren.", "type": "ORGANIZATIONAL", "implementation_guidance": "Klaren Prozess fuer arbeitsrechtliche Konsequenzen bei vorsaetzlichen Datenschutzverstoessen definieren.", "evidence": [ "Disziplinarordnung", "Dokumentierte Vorfaelle", "Sanktionskatalog" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 24" ], "iso27001": [ "A.6.4" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "MEDIUM", "complexity": "LOW" }, { "id": "TOM.HR.12", "title": "Datenschutz-Wissenstest", "description": "Nach Schulungen Verstaendnistests durchfuehren um die Wirksamkeit der Schulungsmassnahmen zu pruefen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Nach Schulungen Verstaendnistests durchfuehren um die Wirksamkeit der Schulungsmassnahmen zu pruefen.", "evidence": [ "Testergebnisse", "Bestehensquoten", "Nachschulungsplaene" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 5(2)" ], "iso27001": [ "A.6.3" ], "bsi": [ "ORP.3" ], "sdm": [ "Transparenz" ] }, "review_frequency": "ANNUAL", "priority": "MEDIUM", "complexity": "LOW" }, { "id": "TOM.HR.13", "title": "Externe Datenschutz-Zertifizierung Mitarbeiter", "description": "Fachkraefte zu externen Datenschutz-Zertifizierungen (CIPP/E, CIPM, DSB-Zertifikat) entsenden.", "type": "ORGANIZATIONAL", "implementation_guidance": "Fachkraefte zu externen Datenschutz-Zertifizierungen (CIPP/E, CIPM, DSB-Zertifikat) entsenden.", "evidence": [ "Zertifikate", "Fortbildungsnachweise" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 37(5)" ], "iso27001": [ "A.6.3" ], "bsi": [ "ORP.3" ], "sdm": [ "Transparenz" ] }, "review_frequency": "ANNUAL", "priority": "LOW", "complexity": "HIGH" }, { "id": "TOM.HR.14", "title": "Awareness-Kampagnen", "description": "Regelmaessige Datenschutz-Awareness durch Poster, Newsletter, Intranet-Beitraege und Quiz-Aktionen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Regelmaessige Datenschutz-Awareness durch Poster, Newsletter, Intranet-Beitraege und Quiz-Aktionen.", "evidence": [ "Kampagnen-Material", "Reichweiten-Statistiken", "Feedback" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 39(1b)" ], "iso27001": [ "A.6.3" ], "bsi": [ "ORP.3" ], "sdm": [ "Transparenz" ] }, "review_frequency": "QUARTERLY", "priority": "MEDIUM", "complexity": "LOW" }, { "id": "TOM.HR.15", "title": "Notfall-Kommunikationsschulung", "description": "Schulung zur korrekten Kommunikation bei Datenpannen (intern, extern, Behoerden, Betroffene).", "type": "ORGANIZATIONAL", "implementation_guidance": "Schulung zur korrekten Kommunikation bei Datenpannen (intern, extern, Behoerden, Betroffene).", "evidence": [ "Schulungsunterlagen", "Uebungsprotokolle", "Kommunikationsvorlagen" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 33", "Art. 34" ], "iso27001": [ "A.5.24" ], "bsi": [ "DER.2.1" ], "sdm": [ "Transparenz" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" } ] }, { "id": "IAM", "name": "Identity & Access Management", "objective": "Sichere Identitaetsverwaltung und Authentifizierung fuer alle Systeme und Benutzer gewaehrleisten", "controls": [ { "id": "TOM.IAM.01", "title": "Zentrales Identitaetsmanagement", "description": "Zentrales IAM-System (z.B. LDAP, Azure AD) fuer einheitliche Benutzerverwaltung einsetzen.", "type": "TECHNICAL", "implementation_guidance": "Zentrales IAM-System (z.B. LDAP, Azure AD) fuer einheitliche Benutzerverwaltung einsetzen.", "evidence": [ "IAM-Systemdokumentation", "Benutzerlisten", "Konfiguration" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1b)" ], "iso27001": [ "A.5.15" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.IAM.02", "title": "Multi-Faktor-Authentifizierung (MFA)", "description": "MFA fuer alle administrativen Zugaenge und Systeme mit personenbezogenen Daten verpflichtend einsetzen.", "type": "TECHNICAL", "implementation_guidance": "MFA fuer alle administrativen Zugaenge und Systeme mit personenbezogenen Daten verpflichtend einsetzen.", "evidence": [ "MFA-Konfiguration", "Aktivierungsstatistik", "Ausnahmeliste" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.5" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit", "Integritaet" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.IAM.03", "title": "Passwort-Policy", "description": "Mindeststandards fuer Passwoerter definieren: Laenge, Komplexitaet, Aenderungsintervalle, Sperrung.", "type": "TECHNICAL", "implementation_guidance": "Mindeststandards fuer Passwoerter definieren: Laenge, Komplexitaet, Aenderungsintervalle, Sperrung.", "evidence": [ "Passwort-Richtlinie", "Technische Konfiguration", "Compliance-Report" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.5.17" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.IAM.04", "title": "Single Sign-On (SSO)", "description": "SSO-Loesung implementieren fuer sichere und benutzerfreundliche Authentifizierung ueber alle Systeme.", "type": "TECHNICAL", "implementation_guidance": "SSO-Loesung implementieren fuer sichere und benutzerfreundliche Authentifizierung ueber alle Systeme.", "evidence": [ "SSO-Konfiguration", "Angebundene Systeme", "Audit-Logs" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.5" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.IAM.05", "title": "Benutzer-Provisioning/Deprovisioning", "description": "Automatisierte Prozesse fuer Anlegen und Deaktivieren von Benutzerkonten bei Ein-/Austritt.", "type": "TECHNICAL", "implementation_guidance": "Automatisierte Prozesse fuer Anlegen und Deaktivieren von Benutzerkonten bei Ein-/Austritt.", "evidence": [ "Provisioning-Workflows", "Audit-Trail", "SLA-Einhaltung" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1b)" ], "iso27001": [ "A.5.18" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.IAM.06", "title": "Service-Account-Management", "description": "Service-Accounts inventarisieren, mit minimalen Rechten versehen und regelmaessig pruefen.", "type": "TECHNICAL", "implementation_guidance": "Service-Accounts inventarisieren, mit minimalen Rechten versehen und regelmaessig pruefen.", "evidence": [ "Service-Account-Inventar", "Berechtigungsmatrix", "Review-Protokolle" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.5.18" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit", "Nichtverkettung" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.IAM.07", "title": "Privileged Access Management (PAM)", "description": "Verwaltung privilegierter Zugaenge mit Session-Recording, Just-in-Time-Access und Genehmigungsworkflows.", "type": "TECHNICAL", "implementation_guidance": "Verwaltung privilegierter Zugaenge mit Session-Recording, Just-in-Time-Access und Genehmigungsworkflows.", "evidence": [ "PAM-Konfiguration", "Session-Logs", "Genehmigungsprotokolle" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.2" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit", "Integritaet" ] }, "review_frequency": "QUARTERLY", "priority": "CRITICAL", "complexity": "HIGH" }, { "id": "TOM.IAM.08", "title": "Biometrische Authentifizierung", "description": "Bei Bedarf biometrische Verfahren einsetzen unter Beachtung der besonderen Schutzanforderungen Art. 9.", "type": "TECHNICAL", "implementation_guidance": "Bei Bedarf biometrische Verfahren einsetzen unter Beachtung der besonderen Schutzanforderungen Art. 9.", "evidence": [ "DSFA", "Konfiguration", "Einwilligungsnachweise" ], "applies_if": { "field": "special_categories", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 9", "Art. 32" ], "iso27001": [ "A.8.5" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.IAM.09", "title": "Session-Management", "description": "Automatische Session-Timeouts, Inaktivitaets-Sperren und sichere Session-Tokens implementieren.", "type": "TECHNICAL", "implementation_guidance": "Automatische Session-Timeouts, Inaktivitaets-Sperren und sichere Session-Tokens implementieren.", "evidence": [ "Session-Konfiguration", "Timeout-Einstellungen", "Sicherheitstests" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.5" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.IAM.10", "title": "Account-Sperrung bei Fehlversuchen", "description": "Automatische Kontosperrung nach konfigurierbarer Anzahl fehlgeschlagener Anmeldeversuche.", "type": "TECHNICAL", "implementation_guidance": "Automatische Kontosperrung nach konfigurierbarer Anzahl fehlgeschlagener Anmeldeversuche.", "evidence": [ "Sperr-Konfiguration", "Monitoring-Alerts", "Entsperr-Prozess" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.5" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.IAM.11", "title": "Identitaets-Federation", "description": "Sichere Identity Federation fuer Drittland-Partner mit Standards wie SAML/OIDC.", "type": "TECHNICAL", "implementation_guidance": "Sichere Identity Federation fuer Drittland-Partner mit Standards wie SAML/OIDC.", "evidence": [ "Federation-Konfiguration", "Trust-Vereinbarungen", "Audit-Logs" ], "applies_if": { "field": "third_country_transfer", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 32", "Art. 44-49" ], "iso27001": [ "A.8.5" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.IAM.12", "title": "Selbstbedienungs-Passwort-Reset", "description": "Sicheren Self-Service Passwort-Reset implementieren mit Identitaetsverifikation.", "type": "TECHNICAL", "implementation_guidance": "Sicheren Self-Service Passwort-Reset implementieren mit Identitaetsverifikation.", "evidence": [ "Konfiguration", "Nutzungsstatistik", "Sicherheitstest" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.5" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "MEDIUM", "complexity": "LOW" }, { "id": "TOM.IAM.13", "title": "API-Authentifizierung und Token-Management", "description": "Sichere API-Keys und OAuth2-Tokens mit Ablaufdatum, Rotation und Scope-Einschraenkung verwalten.", "type": "TECHNICAL", "implementation_guidance": "Sichere API-Keys und OAuth2-Tokens mit Ablaufdatum, Rotation und Scope-Einschraenkung verwalten.", "evidence": [ "API-Key-Inventar", "Token-Policies", "Rotations-Logs" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.5" ], "bsi": [ "APP.1" ], "sdm": [ "Vertraulichkeit", "Integritaet" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.IAM.14", "title": "Conditional Access Policies", "description": "Kontextabhaengige Zugangssteuerung basierend auf Geraetestatus, Standort, Risikolevel.", "type": "TECHNICAL", "implementation_guidance": "Kontextabhaengige Zugangssteuerung basierend auf Geraetestatus, Standort, Risikolevel.", "evidence": [ "Policy-Konfiguration", "Anwendungsberichte", "Ausnahmen" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.5" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.IAM.15", "title": "Hardware-Token/FIDO2", "description": "Phishing-resistente Authentifizierung durch FIDO2/WebAuthn Hardware-Token fuer kritische Systeme.", "type": "TECHNICAL", "implementation_guidance": "Phishing-resistente Authentifizierung durch FIDO2/WebAuthn Hardware-Token fuer kritische Systeme.", "evidence": [ "Token-Inventar", "Verteilungsliste", "Einsatzrichtlinie" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.5" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" } ] }, { "id": "AC", "name": "Authorization & Least Privilege", "objective": "Zugriff auf personenbezogene Daten nach dem Need-to-Know-Prinzip steuern und regelmaessig rezertifizieren", "controls": [ { "id": "TOM.AC.01", "title": "Rollenbasierte Zugriffskontrolle (RBAC)", "description": "RBAC-Modell implementieren mit klar definierten Rollen und minimalen Berechtigungen pro Rolle.", "type": "TECHNICAL", "implementation_guidance": "RBAC-Modell implementieren mit klar definierten Rollen und minimalen Berechtigungen pro Rolle.", "evidence": [ "Rollenmatrix", "Berechtigungskonzept", "RBAC-Konfiguration" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1b)" ], "iso27001": [ "A.5.15" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit", "Nichtverkettung" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.AC.02", "title": "Need-to-Know-Prinzip", "description": "Zugriff auf personenbezogene Daten nur fuer Mitarbeiter die diese fuer ihre Aufgaben benoetigen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Zugriff auf personenbezogene Daten nur fuer Mitarbeiter die diese fuer ihre Aufgaben benoetigen.", "evidence": [ "Berechtigungskonzept", "Zugriffsantraege", "Genehmigungsprotokolle" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 25(2)", "Art. 32" ], "iso27001": [ "A.5.15" ], "bsi": [ "ORP.4" ], "sdm": [ "Datenminimierung", "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "CRITICAL", "complexity": "LOW" }, { "id": "TOM.AC.03", "title": "Zugriffsrezertifizierung", "description": "Regelmaessige Ueberpruefung aller vergebenen Berechtigungen durch Vorgesetzte oder Dateneigentuemer.", "type": "ORGANIZATIONAL", "implementation_guidance": "Regelmaessige Ueberpruefung aller vergebenen Berechtigungen durch Vorgesetzte oder Dateneigentuemer.", "evidence": [ "Rezertifizierungs-Protokolle", "Aenderungsnachweise", "Fristenueberwachung" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1d)" ], "iso27001": [ "A.5.18" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.AC.04", "title": "Attributbasierte Zugriffskontrolle (ABAC)", "description": "Feingramulaere Zugriffssteuerung basierend auf Benutzer-Attributen, Datenklassifizierung und Kontext.", "type": "TECHNICAL", "implementation_guidance": "Feingramulaere Zugriffssteuerung basierend auf Benutzer-Attributen, Datenklassifizierung und Kontext.", "evidence": [ "ABAC-Policies", "Attribut-Schema", "Test-Ergebnisse" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 25(1)", "Art. 32" ], "iso27001": [ "A.5.15" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit", "Nichtverkettung" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.AC.05", "title": "Trennung kritischer Funktionen (SoD)", "description": "Separation of Duties sicherstellen um Interessenkonflikte und Missbrauchsrisiken zu minimieren.", "type": "ORGANIZATIONAL", "implementation_guidance": "Separation of Duties sicherstellen um Interessenkonflikte und Missbrauchsrisiken zu minimieren.", "evidence": [ "SoD-Matrix", "Rollenkonflikte-Analyse", "Ausnahmen-Register" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.5.3" ], "bsi": [ "ORP.1" ], "sdm": [ "Integritaet", "Nichtverkettung" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.AC.06", "title": "Datenklassifizierung und Labeling", "description": "Systematische Klassifizierung aller Daten nach Schutzbedarf (oeffentlich, intern, vertraulich, streng vertraulich).", "type": "ORGANIZATIONAL", "implementation_guidance": "Systematische Klassifizierung aller Daten nach Schutzbedarf (oeffentlich, intern, vertraulich, streng vertraulich).", "evidence": [ "Klassifizierungsschema", "Dateninventar", "Label-Statistik" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.5.12" ], "bsi": [ "CON.1" ], "sdm": [ "Vertraulichkeit", "Integritaet" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.AC.07", "title": "Zugriff auf besondere Datenkategorien", "description": "Zusaetzliche Zugriffsbeschraenkungen fuer Art. 9/10 Daten mit expliziter Genehmigung und Protokollierung.", "type": "TECHNICAL", "implementation_guidance": "Zusaetzliche Zugriffsbeschraenkungen fuer Art. 9/10 Daten mit expliziter Genehmigung und Protokollierung.", "evidence": [ "Sonder-Berechtigungskonzept", "Genehmigungsnachweise", "Zugriffsprotokolle" ], "applies_if": { "field": "special_categories", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 9", "Art. 10" ], "iso27001": [ "A.5.15" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit", "Nichtverkettung" ] }, "review_frequency": "QUARTERLY", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.AC.08", "title": "Temporaere Zugriffsrechte", "description": "Zeitlich befristete Zugaenge fuer Projekte, externe Berater oder Notfaelle mit automatischem Ablauf.", "type": "TECHNICAL", "implementation_guidance": "Zeitlich befristete Zugaenge fuer Projekte, externe Berater oder Notfaelle mit automatischem Ablauf.", "evidence": [ "Befristungsrichtlinie", "Ablauf-Konfiguration", "Review-Protokolle" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.5.18" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "QUARTERLY", "priority": "MEDIUM", "complexity": "MEDIUM" }, { "id": "TOM.AC.09", "title": "Zugriffsentzug bei Rollenwechsel", "description": "Bei internem Wechsel alte Berechtigungen entziehen und neue rollenkonform vergeben.", "type": "ORGANIZATIONAL", "implementation_guidance": "Bei internem Wechsel alte Berechtigungen entziehen und neue rollenkonform vergeben.", "evidence": [ "Wechsel-Checkliste", "Berechtigungs-Audit", "Freigabeprotokolle" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.5.18" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.AC.10", "title": "Protokollierung von Zugriffsaenderungen", "description": "Jede Aenderung an Zugriffsrechten lueckenlos protokollieren mit Zeitstempel, Antragsteller und Genehmiger.", "type": "TECHNICAL", "implementation_guidance": "Jede Aenderung an Zugriffsrechten lueckenlos protokollieren mit Zeitstempel, Antragsteller und Genehmiger.", "evidence": [ "Aenderungs-Audit-Trail", "Log-Archivierung", "Integritaetsschutz" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 5(2)" ], "iso27001": [ "A.8.15" ], "bsi": [ "OPS.1.2" ], "sdm": [ "Transparenz", "Integritaet" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.AC.11", "title": "Mandantentrennung", "description": "Strikte Trennung von Mandanten-/Kundendaten auf Datenbank- und Anwendungsebene.", "type": "TECHNICAL", "implementation_guidance": "Strikte Trennung von Mandanten-/Kundendaten auf Datenbank- und Anwendungsebene.", "evidence": [ "Mandantenkonzept", "Trennungstests", "Konfiguration" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 32(1b)" ], "iso27001": [ "A.5.15" ], "bsi": [ "APP.1" ], "sdm": [ "Nichtverkettung", "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "CRITICAL", "complexity": "HIGH" }, { "id": "TOM.AC.12", "title": "Datenmaskierung und Anonymisierung", "description": "Produktionsdaten in Test- und Entwicklungsumgebungen maskieren oder anonymisieren.", "type": "TECHNICAL", "implementation_guidance": "Produktionsdaten in Test- und Entwicklungsumgebungen maskieren oder anonymisieren.", "evidence": [ "Maskierungsregeln", "Anonymisierungsnachweise", "Test-Compliance-Report" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 25(1)", "Art. 32" ], "iso27001": [ "A.8.11" ], "bsi": [ "CON.1" ], "sdm": [ "Datenminimierung", "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.AC.13", "title": "Break-Glass-Verfahren", "description": "Notfall-Zugriffsverfahren fuer Ausnahmesituationen mit nachtraeglicher Genehmigung und Protokollierung.", "type": "TECHNICAL", "implementation_guidance": "Notfall-Zugriffsverfahren fuer Ausnahmesituationen mit nachtraeglicher Genehmigung und Protokollierung.", "evidence": [ "Break-Glass-Policy", "Nutzungsprotokolle", "Review-Berichte" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.5.18" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit", "Verfuegbarkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.AC.14", "title": "Zugriffskontrolle fuer Kinderdaten", "description": "Besonders restriktive Zugriffskontrollen fuer Systeme mit Daten von Minderjaehrigen.", "type": "TECHNICAL", "implementation_guidance": "Besonders restriktive Zugriffskontrollen fuer Systeme mit Daten von Minderjaehrigen.", "evidence": [ "Sonderberechtigungskonzept", "Altersverifikation", "Zugriffsprotokolle" ], "applies_if": { "field": "vulnerable_persons", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 8", "ErwGr. 38" ], "iso27001": [ "A.5.15" ], "bsi": [ "ORP.4" ], "sdm": [ "Vertraulichkeit", "Datenminimierung" ] }, "review_frequency": "QUARTERLY", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.AC.15", "title": "Zero-Trust-Zugriffsmodell", "description": "Vertrauenswuerdigkeit bei jedem Zugriff neu bewerten statt implizit durch Netzwerkzugehoerigkeit.", "type": "TECHNICAL", "implementation_guidance": "Vertrauenswuerdigkeit bei jedem Zugriff neu bewerten statt implizit durch Netzwerkzugehoerigkeit.", "evidence": [ "Zero-Trust-Architektur", "Policy-Engine-Konfiguration", "Bewertungsregeln" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.5" ], "bsi": [ "NET.1.1" ], "sdm": [ "Vertraulichkeit", "Integritaet" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "HIGH" } ] }, { "id": "CRYPTO", "name": "Encryption & Key Management", "objective": "Vertraulichkeit und Integritaet personenbezogener Daten durch angemessene Verschluesselung sicherstellen", "controls": [ { "id": "TOM.CRYPTO.01", "title": "TLS/HTTPS fuer alle Verbindungen", "description": "Ausschliesslich TLS 1.2+ fuer alle Netzwerkverbindungen verwenden, unsichere Protokolle deaktivieren.", "type": "TECHNICAL", "implementation_guidance": "Ausschliesslich TLS 1.2+ fuer alle Netzwerkverbindungen verwenden, unsichere Protokolle deaktivieren.", "evidence": [ "TLS-Konfiguration", "SSL-Scan-Berichte", "Cipher-Suite-Pruefung" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1a)" ], "iso27001": [ "A.8.24" ], "bsi": [ "CON.1" ], "sdm": [ "Vertraulichkeit", "Integritaet" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "CRITICAL", "complexity": "LOW" }, { "id": "TOM.CRYPTO.02", "title": "Verschluesselung ruhender Daten (at rest)", "description": "Datenbanken, Dateisysteme und Backups mit AES-256 oder vergleichbar verschluesseln.", "type": "TECHNICAL", "implementation_guidance": "Datenbanken, Dateisysteme und Backups mit AES-256 oder vergleichbar verschluesseln.", "evidence": [ "Verschluesselungskonfiguration", "Key-Inventar", "Audit-Berichte" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1a)" ], "iso27001": [ "A.8.24" ], "bsi": [ "CON.1" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.CRYPTO.03", "title": "E-Mail-Verschluesselung", "description": "S/MIME oder PGP fuer den Versand personenbezogener Daten per E-Mail einsetzen.", "type": "TECHNICAL", "implementation_guidance": "S/MIME oder PGP fuer den Versand personenbezogener Daten per E-Mail einsetzen.", "evidence": [ "E-Mail-Policy", "Verschluesselungskonfiguration", "Zertifikatsverwaltung" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1a)" ], "iso27001": [ "A.8.24" ], "bsi": [ "CON.1" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.CRYPTO.04", "title": "Key-Management-Prozess", "description": "Dokumentierten Prozess fuer Erstellung, Verteilung, Rotation und Vernichtung kryptographischer Schluessel.", "type": "ORGANIZATIONAL", "implementation_guidance": "Dokumentierten Prozess fuer Erstellung, Verteilung, Rotation und Vernichtung kryptographischer Schluessel.", "evidence": [ "Key-Management-Policy", "Schluesselinventar", "Rotationsplan" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1a)" ], "iso27001": [ "A.8.24" ], "bsi": [ "CON.1" ], "sdm": [ "Vertraulichkeit", "Integritaet" ] }, "review_frequency": "ANNUAL", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.CRYPTO.05", "title": "Schluessel-Rotation", "description": "Kryptographische Schluessel regelmaessig rotieren gemaess definiertem Zeitplan und bei Kompromittierungsverdacht.", "type": "TECHNICAL", "implementation_guidance": "Kryptographische Schluessel regelmaessig rotieren gemaess definiertem Zeitplan und bei Kompromittierungsverdacht.", "evidence": [ "Rotationsplan", "Rotations-Logs", "Automatisierungsnachweis" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1a)" ], "iso27001": [ "A.8.24" ], "bsi": [ "CON.1" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.CRYPTO.06", "title": "Hardware Security Module (HSM)", "description": "HSM fuer die Speicherung und Verwaltung von Master-Keys in Hochsicherheitsumgebungen einsetzen.", "type": "TECHNICAL", "implementation_guidance": "HSM fuer die Speicherung und Verwaltung von Master-Keys in Hochsicherheitsumgebungen einsetzen.", "evidence": [ "HSM-Dokumentation", "Zugriffsprotokolle", "FIPS-140-2-Zertifikat" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 32(1a)" ], "iso27001": [ "A.8.24" ], "bsi": [ "CON.1" ], "sdm": [ "Vertraulichkeit", "Integritaet" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.CRYPTO.07", "title": "Datei-/Ordner-Verschluesselung", "description": "Endgeraete-Verschluesselung (BitLocker, FileVault) fuer alle Laptops und mobilen Geraete.", "type": "TECHNICAL", "implementation_guidance": "Endgeraete-Verschluesselung (BitLocker, FileVault) fuer alle Laptops und mobilen Geraete.", "evidence": [ "Verschluesselungs-Policy", "Aktivierungsstatus", "MDM-Report" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1a)" ], "iso27001": [ "A.8.1" ], "bsi": [ "SYS.2.1" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.CRYPTO.08", "title": "Verschluesselung bei Drittlandtransfer", "description": "Ende-zu-Ende-Verschluesselung als ergaenzende Massnahme bei Datentransfers in Drittlaender.", "type": "TECHNICAL", "implementation_guidance": "Ende-zu-Ende-Verschluesselung als ergaenzende Massnahme bei Datentransfers in Drittlaender.", "evidence": [ "E2E-Konfiguration", "Schluesselhoheit-Nachweis", "Transfer-Protokolle" ], "applies_if": { "field": "third_country_transfer", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 32(1a)", "Art. 46" ], "iso27001": [ "A.8.24" ], "bsi": [ "CON.1" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "QUARTERLY", "priority": "CRITICAL", "complexity": "HIGH" }, { "id": "TOM.CRYPTO.09", "title": "Datenbank-Verschluesselung (TDE)", "description": "Transparent Data Encryption fuer Datenbanken mit personenbezogenen Daten aktivieren.", "type": "TECHNICAL", "implementation_guidance": "Transparent Data Encryption fuer Datenbanken mit personenbezogenen Daten aktivieren.", "evidence": [ "TDE-Konfiguration", "Key-Management", "Performance-Test" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1a)" ], "iso27001": [ "A.8.24" ], "bsi": [ "CON.1" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.CRYPTO.10", "title": "Verschluesselung besonderer Kategorien", "description": "Verstaerkte Verschluesselung (z.B. Feldverschluesselung) fuer Art. 9/10 Daten auf Anwendungsebene.", "type": "TECHNICAL", "implementation_guidance": "Verstaerkte Verschluesselung (z.B. Feldverschluesselung) fuer Art. 9/10 Daten auf Anwendungsebene.", "evidence": [ "Feldverschluesselungskonzept", "Schluesselmanagement", "Zugriffsprotokolle" ], "applies_if": { "field": "special_categories", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 9", "Art. 32(1a)" ], "iso27001": [ "A.8.24" ], "bsi": [ "CON.1" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "CRITICAL", "complexity": "HIGH" }, { "id": "TOM.CRYPTO.11", "title": "Zertifikatsverwaltung (PKI)", "description": "Zentralisierte Verwaltung aller digitalen Zertifikate mit Ablaufueberwachung und automatischer Erneuerung.", "type": "TECHNICAL", "implementation_guidance": "Zentralisierte Verwaltung aller digitalen Zertifikate mit Ablaufueberwachung und automatischer Erneuerung.", "evidence": [ "Zertifikatsinventar", "Ablaufueberwachung", "PKI-Dokumentation" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1a)" ], "iso27001": [ "A.8.24" ], "bsi": [ "CON.1" ], "sdm": [ "Vertraulichkeit", "Integritaet" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.CRYPTO.12", "title": "Sichere Zufallszahlengenerierung", "description": "Kryptographisch sichere Zufallszahlengeneratoren (CSPRNG) fuer Schluessel, Tokens und IDs verwenden.", "type": "TECHNICAL", "implementation_guidance": "Kryptographisch sichere Zufallszahlengeneratoren (CSPRNG) fuer Schluessel, Tokens und IDs verwenden.", "evidence": [ "Implementierungsdokumentation", "Code-Review", "Test-Berichte" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.24" ], "bsi": [ "CON.1" ], "sdm": [ "Integritaet" ] }, "review_frequency": "ANNUAL", "priority": "MEDIUM", "complexity": "LOW" }, { "id": "TOM.CRYPTO.13", "title": "Tokenisierung sensibler Daten", "description": "Ersetzen sensibler Daten durch nicht-reversible Token wo moeglich zur Risikominimierung.", "type": "TECHNICAL", "implementation_guidance": "Ersetzen sensibler Daten durch nicht-reversible Token wo moeglich zur Risikominimierung.", "evidence": [ "Tokenisierungskonzept", "Mapping-Schutz", "Einsatzbereiche" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 25(1)", "Art. 32" ], "iso27001": [ "A.8.11" ], "bsi": [ "CON.1" ], "sdm": [ "Datenminimierung", "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.CRYPTO.14", "title": "Post-Quantum-Readiness", "description": "Kryptographische Verfahren auf Post-Quantum-Sicherheit evaluieren und Migrationsplan erstellen.", "type": "TECHNICAL", "implementation_guidance": "Kryptographische Verfahren auf Post-Quantum-Sicherheit evaluieren und Migrationsplan erstellen.", "evidence": [ "Evaluierungsbericht", "Migrationsplan", "Algorithmus-Inventar" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.24" ], "bsi": [ "CON.1" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "MEDIUM", "complexity": "HIGH" }, { "id": "TOM.CRYPTO.15", "title": "Verschluesselung mobiler Datentraeger", "description": "Alle mobilen Datentraeger (USB, externe Festplatten) verschluesseln oder deren Nutzung einschraenken.", "type": "TECHNICAL", "implementation_guidance": "Alle mobilen Datentraeger (USB, externe Festplatten) verschluesseln oder deren Nutzung einschraenken.", "evidence": [ "USB-Policy", "Verschluesselungstool", "DLP-Konfiguration" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1a)" ], "iso27001": [ "A.8.1" ], "bsi": [ "SYS.4.5" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "LOW" } ] }, { "id": "LOG", "name": "Logging, Monitoring & Detection", "objective": "Lueckenlose Protokollierung und proaktive Ueberwachung zur Erkennung und Aufklaerung von Datenschutzvorfaellen", "controls": [ { "id": "TOM.LOG.01", "title": "Zentrale Protokollierung", "description": "Alle sicherheits- und datenschutzrelevanten Ereignisse zentral sammeln und korrelieren.", "type": "TECHNICAL", "implementation_guidance": "Alle sicherheits- und datenschutzrelevanten Ereignisse zentral sammeln und korrelieren.", "evidence": [ "SIEM/Log-Management", "Log-Quellen-Inventar", "Konfiguration" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 5(2)", "Art. 32(1d)" ], "iso27001": [ "A.8.15" ], "bsi": [ "OPS.1.2" ], "sdm": [ "Transparenz", "Integritaet" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.LOG.02", "title": "Audit-Trail personenbezogener Zugriffe", "description": "Jeden Zugriff auf personenbezogene Daten protokollieren mit Wer, Wann, Was, Warum.", "type": "TECHNICAL", "implementation_guidance": "Jeden Zugriff auf personenbezogene Daten protokollieren mit Wer, Wann, Was, Warum.", "evidence": [ "Zugriffsprotokolle", "Audit-Trail-Konfiguration", "Stichproben-Reports" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 5(2)" ], "iso27001": [ "A.8.15" ], "bsi": [ "OPS.1.2" ], "sdm": [ "Transparenz", "Nichtverkettung" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.LOG.03", "title": "Integritaetsschutz fuer Logs", "description": "Protokolldaten gegen nachtraegliche Manipulation schuetzen (Write-Once, Signierung, WORM).", "type": "TECHNICAL", "implementation_guidance": "Protokolldaten gegen nachtraegliche Manipulation schuetzen (Write-Once, Signierung, WORM).", "evidence": [ "Log-Integritaetskonfiguration", "Hash-Pruefprotokolle", "Zugriffsschutz" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 5(2)" ], "iso27001": [ "A.8.15" ], "bsi": [ "OPS.1.2" ], "sdm": [ "Integritaet" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.LOG.04", "title": "Aufbewahrungsfristen fuer Logs", "description": "Log-Retention-Policies definieren: ausreichend lang fuer Nachvollziehbarkeit, konform mit Speicherbegrenzung.", "type": "ORGANIZATIONAL", "implementation_guidance": "Log-Retention-Policies definieren: ausreichend lang fuer Nachvollziehbarkeit, konform mit Speicherbegrenzung.", "evidence": [ "Retention-Policy", "Loeschautomatisierung", "Compliance-Nachweis" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 5(1e)" ], "iso27001": [ "A.8.15" ], "bsi": [ "OPS.1.2" ], "sdm": [ "Speicherbegrenzung", "Transparenz" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.LOG.05", "title": "Security Information Event Management (SIEM)", "description": "SIEM-System zur Korrelation und Analyse von Sicherheitsereignissen in Echtzeit einsetzen.", "type": "TECHNICAL", "implementation_guidance": "SIEM-System zur Korrelation und Analyse von Sicherheitsereignissen in Echtzeit einsetzen.", "evidence": [ "SIEM-Architektur", "Regelwerk", "Alert-Konfiguration", "Tuning-Reports" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1d)" ], "iso27001": [ "A.8.16" ], "bsi": [ "OPS.1.2" ], "sdm": [ "Integritaet", "Verfuegbarkeit" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.LOG.06", "title": "Alerting bei Anomalien", "description": "Automatische Alerts bei ungewoehnlichen Zugriffsmustern, massenhaften Downloads oder Rechteeskalationen.", "type": "TECHNICAL", "implementation_guidance": "Automatische Alerts bei ungewoehnlichen Zugriffsmustern, massenhaften Downloads oder Rechteeskalationen.", "evidence": [ "Alert-Regeln", "Eskalationsprozess", "False-Positive-Rate" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1d)" ], "iso27001": [ "A.8.16" ], "bsi": [ "DER.1" ], "sdm": [ "Integritaet", "Vertraulichkeit" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.LOG.07", "title": "Datenzugriffs-Monitoring bei Art. 9 Daten", "description": "Verstaerktes Monitoring und Alerting fuer Zugriffe auf besondere Datenkategorien.", "type": "TECHNICAL", "implementation_guidance": "Verstaerktes Monitoring und Alerting fuer Zugriffe auf besondere Datenkategorien.", "evidence": [ "Monitoring-Regeln", "Alert-Protokolle", "Review-Berichte" ], "applies_if": { "field": "special_categories", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 9", "Art. 32" ], "iso27001": [ "A.8.16" ], "bsi": [ "DER.1" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "QUARTERLY", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.LOG.08", "title": "Login-/Logout-Protokollierung", "description": "Erfolgreiche und fehlgeschlagene Anmeldeversuche mit Zeitstempel, IP und Geraet protokollieren.", "type": "TECHNICAL", "implementation_guidance": "Erfolgreiche und fehlgeschlagene Anmeldeversuche mit Zeitstempel, IP und Geraet protokollieren.", "evidence": [ "Login-Logs", "Konfiguration", "Auswertungs-Reports" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1d)" ], "iso27001": [ "A.8.15" ], "bsi": [ "OPS.1.2" ], "sdm": [ "Transparenz" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.LOG.09", "title": "Administrationsaktivitaeten-Logging", "description": "Alle administrativen Taetigkeiten (Konfigurationsaenderungen, Benutzeraenderungen) protokollieren.", "type": "TECHNICAL", "implementation_guidance": "Alle administrativen Taetigkeiten (Konfigurationsaenderungen, Benutzeraenderungen) protokollieren.", "evidence": [ "Admin-Audit-Trail", "Change-Log", "Four-Eyes-Nachweis" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 5(2)" ], "iso27001": [ "A.8.15" ], "bsi": [ "OPS.1.2" ], "sdm": [ "Transparenz", "Integritaet" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.LOG.10", "title": "Datenloesch-Protokollierung", "description": "Jede Loeschung personenbezogener Daten dokumentieren mit Zeitpunkt, Umfang und Rechtsgrundlage.", "type": "TECHNICAL", "implementation_guidance": "Jede Loeschung personenbezogener Daten dokumentieren mit Zeitpunkt, Umfang und Rechtsgrundlage.", "evidence": [ "Loeschprotokolle", "Automatisierungsnachweis", "Stichproben" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 5(2)", "Art. 17" ], "iso27001": [ "A.8.10" ], "bsi": [ "OPS.1.2" ], "sdm": [ "Transparenz", "Speicherbegrenzung" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.LOG.11", "title": "Netzwerk-Traffic-Monitoring", "description": "Netzwerkverkehr auf ungewoehnliche Muster, Datenexfiltration und unerlaubte Verbindungen ueberwachen.", "type": "TECHNICAL", "implementation_guidance": "Netzwerkverkehr auf ungewoehnliche Muster, Datenexfiltration und unerlaubte Verbindungen ueberwachen.", "evidence": [ "Flow-Analyse-Berichte", "IDS-Konfiguration", "Alert-Reports" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.16" ], "bsi": [ "NET.3.2" ], "sdm": [ "Vertraulichkeit", "Integritaet" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.LOG.12", "title": "Grossvolumige Zugriffs-Alerts", "description": "Alerts bei massenhaftem Datenexport oder -zugriff der auf Datenabfluss hindeuten koennte.", "type": "TECHNICAL", "implementation_guidance": "Alerts bei massenhaftem Datenexport oder -zugriff der auf Datenabfluss hindeuten koennte.", "evidence": [ "Alert-Schwellwerte", "DLP-Integration", "Eskalationsprotokoll" ], "applies_if": { "field": "large_scale", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 32", "Art. 33" ], "iso27001": [ "A.8.16" ], "bsi": [ "DER.1" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "QUARTERLY", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.LOG.13", "title": "Log-Anonymisierung und Pseudonymisierung", "description": "Personenbezogene Daten in Logs nach Moeglichkeit pseudonymisieren oder anonymisieren.", "type": "TECHNICAL", "implementation_guidance": "Personenbezogene Daten in Logs nach Moeglichkeit pseudonymisieren oder anonymisieren.", "evidence": [ "Anonymisierungsregeln", "Konfiguration", "Stichproben" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 25(1)", "Art. 5(1c)" ], "iso27001": [ "A.8.11" ], "bsi": [ "CON.1" ], "sdm": [ "Datenminimierung" ] }, "review_frequency": "ANNUAL", "priority": "MEDIUM", "complexity": "MEDIUM" }, { "id": "TOM.LOG.14", "title": "24/7 Security Operations Center (SOC)", "description": "Rund-um-die-Uhr-Ueberwachung durch internes oder externes SOC fuer kritische Systeme.", "type": "TECHNICAL", "implementation_guidance": "Rund-um-die-Uhr-Ueberwachung durch internes oder externes SOC fuer kritische Systeme.", "evidence": [ "SOC-Vertrag/Aufstellung", "Eskalationsprozess", "Incident-Reports" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.16" ], "bsi": [ "DER.1" ], "sdm": [ "Verfuegbarkeit", "Integritaet" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.LOG.15", "title": "Forensik-Faehigkeit", "description": "Log-Infrastruktur so gestalten, dass forensische Analysen nach Sicherheitsvorfaellen moeglich sind.", "type": "TECHNICAL", "implementation_guidance": "Log-Infrastruktur so gestalten, dass forensische Analysen nach Sicherheitsvorfaellen moeglich sind.", "evidence": [ "Forensik-Richtlinie", "Log-Archivierung", "Chain-of-Custody-Prozess" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 33", "Art. 34" ], "iso27001": [ "A.5.28" ], "bsi": [ "DER.2.2" ], "sdm": [ "Integritaet", "Transparenz" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "HIGH" } ] }, { "id": "SDLC", "name": "Secure Development", "objective": "Datenschutz und Sicherheit fruehzeitig in den Software-Entwicklungsprozess integrieren", "controls": [ { "id": "TOM.SDLC.01", "title": "Secure Coding Guidelines", "description": "Verbindliche Richtlinien fuer sichere Softwareentwicklung (OWASP, SANS) etablieren und schulen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Verbindliche Richtlinien fuer sichere Softwareentwicklung (OWASP, SANS) etablieren und schulen.", "evidence": [ "Secure Coding Policy", "Schulungsnachweise", "Code-Standards" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 25(1)", "Art. 32" ], "iso27001": [ "A.8.25" ], "bsi": [ "APP.1" ], "sdm": [ "Integritaet", "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.SDLC.02", "title": "Code-Review-Prozess", "description": "Peer-Reviews fuer alle Codeaenderungen mit Fokus auf Sicherheits- und Datenschutzaspekte.", "type": "ORGANIZATIONAL", "implementation_guidance": "Peer-Reviews fuer alle Codeaenderungen mit Fokus auf Sicherheits- und Datenschutzaspekte.", "evidence": [ "Review-Policy", "Pull-Request-Statistik", "Review-Checkliste" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 25(1)" ], "iso27001": [ "A.8.25" ], "bsi": [ "APP.1" ], "sdm": [ "Integritaet" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.SDLC.03", "title": "Statische Code-Analyse (SAST)", "description": "Automatisierte SAST-Tools in der CI/CD-Pipeline fuer Sicherheitsluecken-Erkennung einsetzen.", "type": "TECHNICAL", "implementation_guidance": "Automatisierte SAST-Tools in der CI/CD-Pipeline fuer Sicherheitsluecken-Erkennung einsetzen.", "evidence": [ "SAST-Tool-Konfiguration", "Scan-Berichte", "Behebungsquoten" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.25" ], "bsi": [ "APP.1" ], "sdm": [ "Integritaet" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.SDLC.04", "title": "Dependency-/Supply-Chain-Scanning", "description": "Automatisierte Pruefung von Abhaengigkeiten auf bekannte Schwachstellen (SCA) und Lizenzen.", "type": "TECHNICAL", "implementation_guidance": "Automatisierte Pruefung von Abhaengigkeiten auf bekannte Schwachstellen (SCA) und Lizenzen.", "evidence": [ "SCA-Tool-Konfiguration", "SBOM", "Vulnerability-Reports" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.25" ], "bsi": [ "APP.1" ], "sdm": [ "Integritaet" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.SDLC.05", "title": "Secrets-Scanning", "description": "Automatisierte Erkennung von hartcodierten Zugangsdaten, API-Keys und Tokens in Code-Repositories.", "type": "TECHNICAL", "implementation_guidance": "Automatisierte Erkennung von hartcodierten Zugangsdaten, API-Keys und Tokens in Code-Repositories.", "evidence": [ "Scanner-Konfiguration", "Findings-Report", "Remediation-Tracking" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.25" ], "bsi": [ "APP.1" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "QUARTERLY", "priority": "CRITICAL", "complexity": "LOW" }, { "id": "TOM.SDLC.06", "title": "Privacy by Design in der Entwicklung", "description": "Datenschutzanforderungen als fester Bestandteil in User Stories, Akzeptanzkriterien und Definition of Done.", "type": "ORGANIZATIONAL", "implementation_guidance": "Datenschutzanforderungen als fester Bestandteil in User Stories, Akzeptanzkriterien und Definition of Done.", "evidence": [ "DoD-Checkliste", "Story-Templates", "Sprint-Review-Protokolle" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 25(1)" ], "iso27001": [ "A.8.25" ], "bsi": [ "APP.1" ], "sdm": [ "Datenminimierung", "Zweckbindung" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.SDLC.07", "title": "Penetration Testing", "description": "Regelmaessige Penetration Tests durch interne oder externe Experten fuer kritische Anwendungen.", "type": "TECHNICAL", "implementation_guidance": "Regelmaessige Penetration Tests durch interne oder externe Experten fuer kritische Anwendungen.", "evidence": [ "Pentest-Berichte", "Massnahmenplan", "Nachtest-Ergebnisse" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1d)" ], "iso27001": [ "A.8.8" ], "bsi": [ "DER.3.1" ], "sdm": [ "Integritaet", "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.SDLC.08", "title": "Getrennte Umgebungen (Dev/Staging/Prod)", "description": "Strikte Trennung von Entwicklungs-, Test- und Produktionsumgebungen mit eigenen Zugaengen.", "type": "TECHNICAL", "implementation_guidance": "Strikte Trennung von Entwicklungs-, Test- und Produktionsumgebungen mit eigenen Zugaengen.", "evidence": [ "Umgebungsarchitektur", "Zugangskonzept", "Netzwerktrennung" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1b)" ], "iso27001": [ "A.8.31" ], "bsi": [ "APP.1" ], "sdm": [ "Nichtverkettung", "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.SDLC.09", "title": "CI/CD Security Gates", "description": "Automatisierte Sicherheitschecks als Quality Gates in der Deployment-Pipeline.", "type": "TECHNICAL", "implementation_guidance": "Automatisierte Sicherheitschecks als Quality Gates in der Deployment-Pipeline.", "evidence": [ "Pipeline-Konfiguration", "Gate-Kriterien", "Compliance-Rate" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.25" ], "bsi": [ "APP.1" ], "sdm": [ "Integritaet" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.SDLC.10", "title": "DSGVO-Testdaten-Management", "description": "Keine Produktionsdaten in Test-Umgebungen verwenden; stattdessen synthetische oder anonymisierte Testdaten.", "type": "ORGANIZATIONAL", "implementation_guidance": "Keine Produktionsdaten in Test-Umgebungen verwenden; stattdessen synthetische oder anonymisierte Testdaten.", "evidence": [ "Testdaten-Policy", "Anonymisierungstool", "Compliance-Nachweis" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 25(1)", "Art. 5(1c)" ], "iso27001": [ "A.8.33" ], "bsi": [ "APP.1" ], "sdm": [ "Datenminimierung" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.SDLC.11", "title": "Threat Modeling", "description": "Bei neuen Features systematische Bedrohungsanalyse durchfuehren (STRIDE, LINDDUN) mit Datenschutzfokus.", "type": "ORGANIZATIONAL", "implementation_guidance": "Bei neuen Features systematische Bedrohungsanalyse durchfuehren (STRIDE, LINDDUN) mit Datenschutzfokus.", "evidence": [ "Threat-Model-Dokumente", "Massnahmenableitung", "Review-Protokolle" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 25(1)", "Art. 35" ], "iso27001": [ "A.5.8" ], "bsi": [ "CON.2" ], "sdm": [ "Integritaet", "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.SDLC.12", "title": "API-Security-Standards", "description": "REST/GraphQL APIs nach OWASP API Security Top 10 absichern mit Rate-Limiting, Input-Validation, AuthZ.", "type": "TECHNICAL", "implementation_guidance": "REST/GraphQL APIs nach OWASP API Security Top 10 absichern mit Rate-Limiting, Input-Validation, AuthZ.", "evidence": [ "API-Security-Richtlinie", "Scan-Berichte", "Test-Ergebnisse" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.25" ], "bsi": [ "APP.1" ], "sdm": [ "Integritaet", "Vertraulichkeit" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.SDLC.13", "title": "Security-Champions-Programm", "description": "In jedem Entwicklungsteam einen Security Champion ausbilden als Ansprechpartner fuer Sicherheitsfragen.", "type": "ORGANIZATIONAL", "implementation_guidance": "In jedem Entwicklungsteam einen Security Champion ausbilden als Ansprechpartner fuer Sicherheitsfragen.", "evidence": [ "Champion-Liste", "Schulungsnachweise", "Aktivitaetsprotokolle" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.6.3" ], "bsi": [ "ORP.3" ], "sdm": [ "Integritaet" ] }, "review_frequency": "ANNUAL", "priority": "MEDIUM", "complexity": "LOW" }, { "id": "TOM.SDLC.14", "title": "Bug-Bounty/Responsible-Disclosure", "description": "Programm fuer verantwortungsvolle Offenlegung von Schwachstellen durch externe Sicherheitsforscher.", "type": "ORGANIZATIONAL", "implementation_guidance": "Programm fuer verantwortungsvolle Offenlegung von Schwachstellen durch externe Sicherheitsforscher.", "evidence": [ "Disclosure-Policy", "Kontaktinformationen", "Belohnungsrichtlinie" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 32(1d)" ], "iso27001": [ "A.5.7" ], "bsi": [ "DER.3.1" ], "sdm": [ "Integritaet" ] }, "review_frequency": "ANNUAL", "priority": "MEDIUM", "complexity": "MEDIUM" }, { "id": "TOM.SDLC.15", "title": "Sichere Software-Lieferkette", "description": "Integritaet der gesamten Build- und Deploy-Pipeline sicherstellen (Signierung, SBOM, Provenance).", "type": "TECHNICAL", "implementation_guidance": "Integritaet der gesamten Build- und Deploy-Pipeline sicherstellen (Signierung, SBOM, Provenance).", "evidence": [ "SBOM", "Signierungskonfiguration", "Pipeline-Audit", "Provenance-Logs" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.5.21" ], "bsi": [ "APP.1" ], "sdm": [ "Integritaet" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "HIGH" } ] }, { "id": "OPS", "name": "Operations & Hardening", "objective": "Sichere Konfiguration und laufende Haertung aller IT-Systeme gewaehrleisten", "controls": [ { "id": "TOM.OPS.01", "title": "Patch-Management-Prozess", "description": "Zeitnahe Installation von Sicherheits-Patches mit definierten SLAs (kritisch: 24h, hoch: 7 Tage).", "type": "TECHNICAL", "implementation_guidance": "Zeitnahe Installation von Sicherheits-Patches mit definierten SLAs (kritisch: 24h, hoch: 7 Tage).", "evidence": [ "Patch-Policy", "Patch-Status-Reports", "SLA-Einhaltung" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.8" ], "bsi": [ "OPS.1.1" ], "sdm": [ "Integritaet", "Verfuegbarkeit" ] }, "review_frequency": "QUARTERLY", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.OPS.02", "title": "System-Haertung (Hardening)", "description": "Betriebssysteme und Anwendungen nach CIS-Benchmarks oder BSI-Vorgaben haerten.", "type": "TECHNICAL", "implementation_guidance": "Betriebssysteme und Anwendungen nach CIS-Benchmarks oder BSI-Vorgaben haerten.", "evidence": [ "Hardening-Checklisten", "CIS-Benchmark-Reports", "Konfigurationsdokumentation" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.9" ], "bsi": [ "SYS.1.1" ], "sdm": [ "Integritaet", "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.OPS.03", "title": "Vulnerability Management", "description": "Regelmaessige Schwachstellen-Scans und systematische Behebung nach Risikobewertung.", "type": "TECHNICAL", "implementation_guidance": "Regelmaessige Schwachstellen-Scans und systematische Behebung nach Risikobewertung.", "evidence": [ "Scan-Berichte", "Behebungs-Tracking", "Risikobewertungen" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1d)" ], "iso27001": [ "A.8.8" ], "bsi": [ "OPS.1.1" ], "sdm": [ "Integritaet" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.OPS.04", "title": "Configuration Management", "description": "Definierte und dokumentierte Konfigurationsstandards fuer alle Systeme mit Abweichungserkennung.", "type": "TECHNICAL", "implementation_guidance": "Definierte und dokumentierte Konfigurationsstandards fuer alle Systeme mit Abweichungserkennung.", "evidence": [ "Konfigurations-Baseline", "Drift-Detection-Reports", "Change-Logs" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.9" ], "bsi": [ "OPS.1.1" ], "sdm": [ "Integritaet" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.OPS.05", "title": "Asset-/Inventar-Management", "description": "Vollstaendiges Inventar aller IT-Assets mit Klassifizierung und Datenschutzrelevanz-Bewertung.", "type": "ORGANIZATIONAL", "implementation_guidance": "Vollstaendiges Inventar aller IT-Assets mit Klassifizierung und Datenschutzrelevanz-Bewertung.", "evidence": [ "Asset-Inventar", "Klassifizierung", "Verantwortlichkeiten" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 30", "Art. 32" ], "iso27001": [ "A.5.9" ], "bsi": [ "ORP.1" ], "sdm": [ "Transparenz" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.OPS.06", "title": "Endgeraete-Sicherheit (EDR/MDM)", "description": "Endpoint Detection & Response und Mobile Device Management fuer alle Endgeraete einsetzen.", "type": "TECHNICAL", "implementation_guidance": "Endpoint Detection & Response und Mobile Device Management fuer alle Endgeraete einsetzen.", "evidence": [ "EDR-Konfiguration", "MDM-Policy", "Geraetestatus-Reports" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.1" ], "bsi": [ "SYS.3.2" ], "sdm": [ "Vertraulichkeit", "Integritaet" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.OPS.07", "title": "Server-Haertung kritischer Systeme", "description": "Verstaerkte Haertung fuer Systeme die besondere Datenkategorien verarbeiten.", "type": "TECHNICAL", "implementation_guidance": "Verstaerkte Haertung fuer Systeme die besondere Datenkategorien verarbeiten.", "evidence": [ "Haertungsdokumentation", "Compliance-Scans", "Abweichungsbericht" ], "applies_if": { "field": "special_categories", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 9", "Art. 32" ], "iso27001": [ "A.8.9" ], "bsi": [ "SYS.1.1" ], "sdm": [ "Vertraulichkeit", "Integritaet" ] }, "review_frequency": "QUARTERLY", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.OPS.08", "title": "Change-Management-Prozess", "description": "Formaler Change-Management-Prozess fuer alle Aenderungen an produktiven Systemen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Formaler Change-Management-Prozess fuer alle Aenderungen an produktiven Systemen.", "evidence": [ "Change-Requests", "Genehmigungen", "Rollback-Plaene" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1d)" ], "iso27001": [ "A.8.32" ], "bsi": [ "OPS.1.1" ], "sdm": [ "Integritaet", "Verfuegbarkeit" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.OPS.09", "title": "Automatisierte Compliance-Checks", "description": "Infrastructure-as-Code Compliance-Pruefungen fuer Cloud- und Container-Umgebungen.", "type": "TECHNICAL", "implementation_guidance": "Infrastructure-as-Code Compliance-Pruefungen fuer Cloud- und Container-Umgebungen.", "evidence": [ "Compliance-Scan-Reports", "Policy-as-Code", "Abweichungs-Alerts" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.9" ], "bsi": [ "OPS.1.1" ], "sdm": [ "Integritaet" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.OPS.10", "title": "Container-Security", "description": "Container-Images scannen, minimale Base-Images verwenden, Runtime-Schutz implementieren.", "type": "TECHNICAL", "implementation_guidance": "Container-Images scannen, minimale Base-Images verwenden, Runtime-Schutz implementieren.", "evidence": [ "Image-Scan-Reports", "Dockerfile-Reviews", "Runtime-Policy" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.25" ], "bsi": [ "APP.4" ], "sdm": [ "Integritaet", "Vertraulichkeit" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.OPS.11", "title": "Dekommissionierung von Systemen", "description": "Sichere Ausserbetriebnahme von IT-Systemen mit Datenloeschung, Dokumentation und Inventar-Update.", "type": "ORGANIZATIONAL", "implementation_guidance": "Sichere Ausserbetriebnahme von IT-Systemen mit Datenloeschung, Dokumentation und Inventar-Update.", "evidence": [ "Dekommissionierungsprotokoll", "Loeschnachweis", "Inventar-Update" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 17", "Art. 32" ], "iso27001": [ "A.8.10" ], "bsi": [ "SYS.1.1" ], "sdm": [ "Speicherbegrenzung", "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.OPS.12", "title": "Malware-Schutz", "description": "Aktuelle Anti-Malware-Loesung auf allen Systemen mit automatischen Updates und Echtzeit-Scan.", "type": "TECHNICAL", "implementation_guidance": "Aktuelle Anti-Malware-Loesung auf allen Systemen mit automatischen Updates und Echtzeit-Scan.", "evidence": [ "AV-Konfiguration", "Scan-Reports", "Update-Status" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.7" ], "bsi": [ "OPS.1.1" ], "sdm": [ "Integritaet", "Verfuegbarkeit" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.OPS.13", "title": "Zeitliche Synchronisation (NTP)", "description": "Alle Systeme mit verlaesslicher Zeitquelle synchronisieren fuer konsistente Protokollierung.", "type": "TECHNICAL", "implementation_guidance": "Alle Systeme mit verlaesslicher Zeitquelle synchronisieren fuer konsistente Protokollierung.", "evidence": [ "NTP-Konfiguration", "Sync-Status", "Abweichungs-Alerts" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 5(2)" ], "iso27001": [ "A.8.17" ], "bsi": [ "OPS.1.1" ], "sdm": [ "Integritaet", "Transparenz" ] }, "review_frequency": "ANNUAL", "priority": "MEDIUM", "complexity": "LOW" }, { "id": "TOM.OPS.14", "title": "Sichere Entsorgung von Datentraegern", "description": "Physische Datentraeger vor Entsorgung oder Wiederverwendung sicher loeschen (NIST SP 800-88).", "type": "TECHNICAL", "implementation_guidance": "Physische Datentraeger vor Entsorgung oder Wiederverwendung sicher loeschen (NIST SP 800-88).", "evidence": [ "Loeschprotokolle", "Zertifikate Datentraegervernichtung", "Entsorgungsvertrag" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 5(1e)", "Art. 17" ], "iso27001": [ "A.7.14" ], "bsi": [ "INF.1" ], "sdm": [ "Speicherbegrenzung", "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.OPS.15", "title": "Immutable Infrastructure", "description": "Unveraenderbare Server-Infrastruktur um Konfigurationsdrift und nachtraegliche Manipulation zu verhindern.", "type": "TECHNICAL", "implementation_guidance": "Unveraenderbare Server-Infrastruktur um Konfigurationsdrift und nachtraegliche Manipulation zu verhindern.", "evidence": [ "IaC-Repository", "Deployment-Logs", "Drift-Detection" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.9" ], "bsi": [ "OPS.1.1" ], "sdm": [ "Integritaet" ] }, "review_frequency": "QUARTERLY", "priority": "MEDIUM", "complexity": "HIGH" } ] }, { "id": "NET", "name": "Network Security", "objective": "Netzwerksicherheit durch Segmentierung, Filterung und Ueberwachung gewaehrleisten", "controls": [ { "id": "TOM.NET.01", "title": "Netzwerksegmentierung", "description": "Netzwerk in Sicherheitszonen aufteilen und Datenverarbeitung nach Schutzbedarf separieren.", "type": "TECHNICAL", "implementation_guidance": "Netzwerk in Sicherheitszonen aufteilen und Datenverarbeitung nach Schutzbedarf separieren.", "evidence": [ "Netzwerkplan", "Segmentierungskonzept", "Firewall-Regeln" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1b)" ], "iso27001": [ "A.8.22" ], "bsi": [ "NET.1.1" ], "sdm": [ "Nichtverkettung", "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.NET.02", "title": "Firewall-Management", "description": "Restriktive Firewall-Regeln nach Whitelist-Prinzip mit regelmaessiger Review und Aufraeum-Zyklen.", "type": "TECHNICAL", "implementation_guidance": "Restriktive Firewall-Regeln nach Whitelist-Prinzip mit regelmaessiger Review und Aufraeum-Zyklen.", "evidence": [ "Firewall-Regelwerk", "Review-Protokolle", "Change-Logs" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.20" ], "bsi": [ "NET.3.2" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.NET.03", "title": "Web Application Firewall (WAF)", "description": "WAF vor oeffentlich erreichbaren Webanwendungen zum Schutz gegen OWASP-Top-10-Angriffe.", "type": "TECHNICAL", "implementation_guidance": "WAF vor oeffentlich erreichbaren Webanwendungen zum Schutz gegen OWASP-Top-10-Angriffe.", "evidence": [ "WAF-Konfiguration", "Regelwerk", "Block-Statistiken" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.20" ], "bsi": [ "NET.3.2" ], "sdm": [ "Integritaet", "Verfuegbarkeit" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.NET.04", "title": "Intrusion Detection/Prevention (IDS/IPS)", "description": "Netzwerkbasierte Angriffserkennung und -verhinderung fuer kritische Netzwerkuebergaenge.", "type": "TECHNICAL", "implementation_guidance": "Netzwerkbasierte Angriffserkennung und -verhinderung fuer kritische Netzwerkuebergaenge.", "evidence": [ "IDS/IPS-Konfiguration", "Alert-Reports", "Tuning-Protokolle" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.23" ], "bsi": [ "NET.3.2" ], "sdm": [ "Integritaet", "Vertraulichkeit" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.NET.05", "title": "DMZ-Architektur", "description": "Demilitarisierte Zone fuer oeffentlich erreichbare Dienste mit strikter Trennung vom internen Netz.", "type": "TECHNICAL", "implementation_guidance": "Demilitarisierte Zone fuer oeffentlich erreichbare Dienste mit strikter Trennung vom internen Netz.", "evidence": [ "DMZ-Architektur", "Datenflussdiagramm", "Firewall-Regeln" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1b)" ], "iso27001": [ "A.8.22" ], "bsi": [ "NET.1.1" ], "sdm": [ "Vertraulichkeit", "Nichtverkettung" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.NET.06", "title": "VPN/Sichere Fernzugriffe", "description": "Alle Fernzugriffe ueber verschluesselte VPN-Tunnel mit Authentifizierung und Geraetepruefung.", "type": "TECHNICAL", "implementation_guidance": "Alle Fernzugriffe ueber verschluesselte VPN-Tunnel mit Authentifizierung und Geraetepruefung.", "evidence": [ "VPN-Konfiguration", "Zugangsprotokoll", "Split-Tunneling-Policy" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1a)" ], "iso27001": [ "A.8.20" ], "bsi": [ "NET.1.1" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.NET.07", "title": "DNS-Security (DNSSEC, DNS-Filtering)", "description": "DNS-Anfragen filtern und absichern zum Schutz gegen DNS-basierte Angriffe und Malware.", "type": "TECHNICAL", "implementation_guidance": "DNS-Anfragen filtern und absichern zum Schutz gegen DNS-basierte Angriffe und Malware.", "evidence": [ "DNS-Konfiguration", "Filtering-Policy", "Block-Statistiken" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.20" ], "bsi": [ "NET.1.1" ], "sdm": [ "Integritaet" ] }, "review_frequency": "ANNUAL", "priority": "MEDIUM", "complexity": "MEDIUM" }, { "id": "TOM.NET.08", "title": "Netzwerk-Zugriffskontrolle (NAC)", "description": "Network Access Control um nur autorisierte und konforme Geraete ins Netzwerk zu lassen.", "type": "TECHNICAL", "implementation_guidance": "Network Access Control um nur autorisierte und konforme Geraete ins Netzwerk zu lassen.", "evidence": [ "NAC-Konfiguration", "Policy-Regeln", "Geraeteinventar" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.20" ], "bsi": [ "NET.1.1" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.NET.09", "title": "Mikrosegmentierung", "description": "Feingranulare Segmentierung auf Workload-Ebene insbesondere fuer Systeme mit Art. 9 Daten.", "type": "TECHNICAL", "implementation_guidance": "Feingranulare Segmentierung auf Workload-Ebene insbesondere fuer Systeme mit Art. 9 Daten.", "evidence": [ "Mikrosegmentierungskonzept", "Policy-Regeln", "Flow-Analyse" ], "applies_if": { "field": "special_categories", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 9", "Art. 32" ], "iso27001": [ "A.8.22" ], "bsi": [ "NET.1.1" ], "sdm": [ "Nichtverkettung", "Vertraulichkeit" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.NET.10", "title": "DDoS-Schutz", "description": "Schutzmassnahmen gegen Distributed-Denial-of-Service-Angriffe fuer oeffentliche Dienste.", "type": "TECHNICAL", "implementation_guidance": "Schutzmassnahmen gegen Distributed-Denial-of-Service-Angriffe fuer oeffentliche Dienste.", "evidence": [ "DDoS-Mitigation-Service", "Konfiguration", "Incident-Reports" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1b)" ], "iso27001": [ "A.8.20" ], "bsi": [ "NET.3.2" ], "sdm": [ "Verfuegbarkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.NET.11", "title": "WLAN-Sicherheit", "description": "Sichere WLAN-Konfiguration mit WPA3/Enterprise, Gaestenetz-Trennung, Rogue-AP-Detection.", "type": "TECHNICAL", "implementation_guidance": "Sichere WLAN-Konfiguration mit WPA3/Enterprise, Gaestenetz-Trennung, Rogue-AP-Detection.", "evidence": [ "WLAN-Konfiguration", "Gaestenetz-Konzept", "Scan-Berichte" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.20" ], "bsi": [ "NET.2.1" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.NET.12", "title": "Datentransfer-Monitoring bei Drittlandtransfer", "description": "Netzwerkseitige Ueberwachung und Kontrolle von Datenfluessen in Drittlaender.", "type": "TECHNICAL", "implementation_guidance": "Netzwerkseitige Ueberwachung und Kontrolle von Datenfluessen in Drittlaender.", "evidence": [ "Transfer-Monitoring-Tool", "Alert-Regeln", "Laenderlisten" ], "applies_if": { "field": "third_country_transfer", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 44-49" ], "iso27001": [ "A.8.16" ], "bsi": [ "NET.3.2" ], "sdm": [ "Vertraulichkeit", "Transparenz" ] }, "review_frequency": "QUARTERLY", "priority": "CRITICAL", "complexity": "HIGH" }, { "id": "TOM.NET.13", "title": "Netzwerk-Dokumentation", "description": "Aktuelle Netzwerkdokumentation mit Topologie, Datenflussdiagrammen und Sicherheitszonen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Aktuelle Netzwerkdokumentation mit Topologie, Datenflussdiagrammen und Sicherheitszonen.", "evidence": [ "Netzwerkdiagramme", "Datenflussplaene", "Zonenkonzept" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 5(2)" ], "iso27001": [ "A.5.9" ], "bsi": [ "NET.1.1" ], "sdm": [ "Transparenz" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.NET.14", "title": "Zero-Trust-Network-Access (ZTNA)", "description": "Anwendungsspezifischer Zugang statt VPN mit kontinuierlicher Vertrauensbewertung.", "type": "TECHNICAL", "implementation_guidance": "Anwendungsspezifischer Zugang statt VPN mit kontinuierlicher Vertrauensbewertung.", "evidence": [ "ZTNA-Architektur", "Policy-Engine", "Zugangsstatistiken" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.20" ], "bsi": [ "NET.1.1" ], "sdm": [ "Vertraulichkeit", "Integritaet" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.NET.15", "title": "Honeypots/Deception Technology", "description": "Taeuschnungssysteme zur fruehzeitigen Erkennung von Angreifern im Netzwerk einsetzen.", "type": "TECHNICAL", "implementation_guidance": "Taeuschnungssysteme zur fruehzeitigen Erkennung von Angreifern im Netzwerk einsetzen.", "evidence": [ "Deception-Konfiguration", "Alert-Protokolle", "Incident-Reports" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.16" ], "bsi": [ "DER.1" ], "sdm": [ "Integritaet" ] }, "review_frequency": "ANNUAL", "priority": "LOW", "complexity": "HIGH" } ] }, { "id": "BCP", "name": "Backup, DR & Business Continuity", "objective": "Verfuegbarkeit und Wiederherstellbarkeit personenbezogener Daten sicherstellen", "controls": [ { "id": "TOM.BCP.01", "title": "Backup-Konzept", "description": "Definiertes Backup-Konzept mit RPO/RTO-Zielen, Backup-Typen und Aufbewahrungsfristen.", "type": "TECHNICAL", "implementation_guidance": "Definiertes Backup-Konzept mit RPO/RTO-Zielen, Backup-Typen und Aufbewahrungsfristen.", "evidence": [ "Backup-Konzept", "RPO/RTO-Matrix", "Backup-Schedule" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1b)", "Art. 32(1c)" ], "iso27001": [ "A.8.13" ], "bsi": [ "CON.3" ], "sdm": [ "Verfuegbarkeit", "Integritaet" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.BCP.02", "title": "Regelmaessige Backup-Tests", "description": "Restore-Tests regelmaessig durchfuehren und dokumentieren um die Wiederherstellbarkeit zu verifizieren.", "type": "TECHNICAL", "implementation_guidance": "Restore-Tests regelmaessig durchfuehren und dokumentieren um die Wiederherstellbarkeit zu verifizieren.", "evidence": [ "Test-Protokolle", "Wiederherstellungszeiten", "Erfolgsquoten" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1d)" ], "iso27001": [ "A.8.13" ], "bsi": [ "CON.3" ], "sdm": [ "Verfuegbarkeit" ] }, "review_frequency": "QUARTERLY", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.BCP.03", "title": "Verschluesselte Backups", "description": "Alle Backup-Medien und -Daten verschluesseln um Vertraulichkeit auch bei physischem Verlust zu gewaehrleisten.", "type": "TECHNICAL", "implementation_guidance": "Alle Backup-Medien und -Daten verschluesseln um Vertraulichkeit auch bei physischem Verlust zu gewaehrleisten.", "evidence": [ "Verschluesselungskonfiguration", "Key-Management", "Compliance-Nachweis" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1a)" ], "iso27001": [ "A.8.13" ], "bsi": [ "CON.3" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.BCP.04", "title": "Offsite-/Georedundante Backups", "description": "Backup-Kopien an geographisch getrenntem Standort lagern fuer Desaster-Recovery.", "type": "TECHNICAL", "implementation_guidance": "Backup-Kopien an geographisch getrenntem Standort lagern fuer Desaster-Recovery.", "evidence": [ "Offsite-Standort", "Replikationskonfiguration", "Transfer-Verschluesselung" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1b)" ], "iso27001": [ "A.8.14" ], "bsi": [ "CON.3" ], "sdm": [ "Verfuegbarkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.BCP.05", "title": "Immutable Backups", "description": "Unveraenderbare Backup-Kopien erstellen die auch bei Ransomware-Befall nicht verschluesselt werden koennen.", "type": "TECHNICAL", "implementation_guidance": "Unveraenderbare Backup-Kopien erstellen die auch bei Ransomware-Befall nicht verschluesselt werden koennen.", "evidence": [ "WORM-Konfiguration", "Retention-Lock", "Test-Protokolle" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1)" ], "iso27001": [ "A.8.13" ], "bsi": [ "CON.3" ], "sdm": [ "Verfuegbarkeit", "Integritaet" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.BCP.06", "title": "Disaster-Recovery-Plan (DRP)", "description": "Dokumentierter und getesteter Plan zur Wiederherstellung kritischer Systeme nach Katastrophen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Dokumentierter und getesteter Plan zur Wiederherstellung kritischer Systeme nach Katastrophen.", "evidence": [ "DRP-Dokument", "Kontaktlisten", "Wiederherstellungsprioritaeten" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 32(1c)" ], "iso27001": [ "A.5.29" ], "bsi": [ "DER.4" ], "sdm": [ "Verfuegbarkeit" ] }, "review_frequency": "ANNUAL", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.BCP.07", "title": "DR-Uebungen", "description": "Mindestens jaehrliche Disaster-Recovery-Uebungen einschliesslich Failover-Tests.", "type": "ORGANIZATIONAL", "implementation_guidance": "Mindestens jaehrliche Disaster-Recovery-Uebungen einschliesslich Failover-Tests.", "evidence": [ "Uebungsprotokolle", "Lessons-Learned", "Verbesserungsmassnahmen" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1d)" ], "iso27001": [ "A.5.29" ], "bsi": [ "DER.4" ], "sdm": [ "Verfuegbarkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.BCP.08", "title": "Business Continuity Plan (BCP)", "description": "Uebergreifender BCP der alle kritischen Geschaeftsprozesse und deren Datenschutzrelevanz abdeckt.", "type": "ORGANIZATIONAL", "implementation_guidance": "Uebergreifender BCP der alle kritischen Geschaeftsprozesse und deren Datenschutzrelevanz abdeckt.", "evidence": [ "BCP-Dokument", "BIA-Ergebnisse", "Eskalationspfade" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 32(1c)" ], "iso27001": [ "A.5.30" ], "bsi": [ "DER.4" ], "sdm": [ "Verfuegbarkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.BCP.09", "title": "Hochverfuegbarkeits-Cluster", "description": "Redundante Systemarchitektur fuer kritische Dienste mit automatischem Failover.", "type": "TECHNICAL", "implementation_guidance": "Redundante Systemarchitektur fuer kritische Dienste mit automatischem Failover.", "evidence": [ "HA-Architektur", "Failover-Tests", "SLA-Monitoring" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 32(1b)" ], "iso27001": [ "A.8.14" ], "bsi": [ "SYS.1.1" ], "sdm": [ "Verfuegbarkeit" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.BCP.10", "title": "Backup-Loeschung nach Aufbewahrungsfrist", "description": "Automatische Loeschung von Backups nach Ablauf der definierten Aufbewahrungsfrist.", "type": "TECHNICAL", "implementation_guidance": "Automatische Loeschung von Backups nach Ablauf der definierten Aufbewahrungsfrist.", "evidence": [ "Retention-Policy", "Loeschautomatisierung", "Loeschprotokolle" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 5(1e)", "Art. 17" ], "iso27001": [ "A.8.10" ], "bsi": [ "CON.3" ], "sdm": [ "Speicherbegrenzung" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.BCP.11", "title": "Verstaerkte Backup-Frequenz bei Massendaten", "description": "Erhoehte Backup-Frequenz fuer Systeme mit grossem Datenvolumen und vielen Betroffenen.", "type": "TECHNICAL", "implementation_guidance": "Erhoehte Backup-Frequenz fuer Systeme mit grossem Datenvolumen und vielen Betroffenen.", "evidence": [ "Backup-Schedule", "RPO-Analyse", "Speicherplanung" ], "applies_if": { "field": "large_scale", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 32(1b)" ], "iso27001": [ "A.8.13" ], "bsi": [ "CON.3" ], "sdm": [ "Verfuegbarkeit" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.BCP.12", "title": "Backup-Verschluesselung besonderer Kategorien", "description": "Separate Verschluesselung fuer Backups die Art. 9/10 Daten enthalten mit eigenem Schluesselmanagement.", "type": "TECHNICAL", "implementation_guidance": "Separate Verschluesselung fuer Backups die Art. 9/10 Daten enthalten mit eigenem Schluesselmanagement.", "evidence": [ "Sonder-Verschluesselungskonzept", "Key-Separation", "Zugriffsprotokolle" ], "applies_if": { "field": "special_categories", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 9", "Art. 32(1a)" ], "iso27001": [ "A.8.13" ], "bsi": [ "CON.3" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "CRITICAL", "complexity": "HIGH" }, { "id": "TOM.BCP.13", "title": "Cloud-Backup-Souveraenitaet", "description": "Bei Cloud-Backups sicherstellen dass Daten im EWR verbleiben und Schluesselhoheit beim Verantwortlichen.", "type": "TECHNICAL", "implementation_guidance": "Bei Cloud-Backups sicherstellen dass Daten im EWR verbleiben und Schluesselhoheit beim Verantwortlichen.", "evidence": [ "Cloud-Vertrag", "Standort-Nachweis", "BYOK-Konfiguration" ], "applies_if": { "field": "third_country_transfer", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 44-49", "Art. 32" ], "iso27001": [ "A.8.13" ], "bsi": [ "CON.3" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.BCP.14", "title": "Automatisches Failover fuer Kinderdaten", "description": "Besonders hohe Verfuegbarkeitsanforderungen fuer Systeme mit Daten von Minderjaehrigen.", "type": "TECHNICAL", "implementation_guidance": "Besonders hohe Verfuegbarkeitsanforderungen fuer Systeme mit Daten von Minderjaehrigen.", "evidence": [ "HA-Konfiguration", "SLA-Definition", "Monitoring" ], "applies_if": { "field": "vulnerable_persons", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 8", "Art. 32(1c)" ], "iso27001": [ "A.8.14" ], "bsi": [ "SYS.1.1" ], "sdm": [ "Verfuegbarkeit" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.BCP.15", "title": "Notfall-Kommunikationsplan", "description": "Kommunikationsplan fuer IT-Notfaelle mit internen und externen Stakeholdern.", "type": "ORGANIZATIONAL", "implementation_guidance": "Kommunikationsplan fuer IT-Notfaelle mit internen und externen Stakeholdern.", "evidence": [ "Kommunikationsplan", "Kontaktlisten", "Vorlagen" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 33", "Art. 34" ], "iso27001": [ "A.5.29" ], "bsi": [ "DER.4" ], "sdm": [ "Transparenz", "Verfuegbarkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "LOW" } ] }, { "id": "VENDOR", "name": "Supplier/Processor Controls", "objective": "Datenschutz-Compliance bei der Einbindung von Auftragsverarbeitern und Dienstleistern sicherstellen", "controls": [ { "id": "TOM.VENDOR.01", "title": "Auftragsverarbeitungsvertrag (AVV)", "description": "Wirksamen AVV gemaess Art. 28 DSGVO vor Beginn der Verarbeitung abschliessen mit allen Pflichtinhalten.", "type": "ORGANIZATIONAL", "implementation_guidance": "Wirksamen AVV gemaess Art. 28 DSGVO vor Beginn der Verarbeitung abschliessen mit allen Pflichtinhalten.", "evidence": [ "AVV-Vertrag", "Checkliste Art. 28", "Unterschriften" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 28" ], "iso27001": [ "A.5.20" ], "bsi": [ "OPS.2.1" ], "sdm": [ "Vertraulichkeit", "Zweckbindung" ] }, "review_frequency": "ANNUAL", "priority": "CRITICAL", "complexity": "LOW" }, { "id": "TOM.VENDOR.02", "title": "Dienstleister-Datenschutz-Pruefung", "description": "Vor Beauftragung Datenschutz-Due-Diligence beim Auftragsverarbeiter durchfuehren.", "type": "ORGANIZATIONAL", "implementation_guidance": "Vor Beauftragung Datenschutz-Due-Diligence beim Auftragsverarbeiter durchfuehren.", "evidence": [ "Due-Diligence-Checkliste", "Bewertungsbericht", "Freigabeprotokoll" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 28(1)" ], "iso27001": [ "A.5.19" ], "bsi": [ "OPS.2.1" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.VENDOR.03", "title": "Sub-Prozessor-Management", "description": "Genehmigungsprozess fuer Unter-Auftragsverarbeiter mit Informationspflicht und Widerspruchsrecht.", "type": "ORGANIZATIONAL", "implementation_guidance": "Genehmigungsprozess fuer Unter-Auftragsverarbeiter mit Informationspflicht und Widerspruchsrecht.", "evidence": [ "Sub-Prozessor-Liste", "Genehmigungsprotokolle", "Informationsschreiben" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 28(2)", "Art. 28(4)" ], "iso27001": [ "A.5.20" ], "bsi": [ "OPS.2.1" ], "sdm": [ "Transparenz" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.VENDOR.04", "title": "TOM-Nachweis vom Auftragsverarbeiter", "description": "Regelmaessige Nachweise der technisch-organisatorischen Massnahmen vom Auftragsverarbeiter einfordern.", "type": "ORGANIZATIONAL", "implementation_guidance": "Regelmaessige Nachweise der technisch-organisatorischen Massnahmen vom Auftragsverarbeiter einfordern.", "evidence": [ "TOM-Dokumentation", "Zertifikate", "Audit-Berichte" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 28(3f)" ], "iso27001": [ "A.5.20" ], "bsi": [ "OPS.2.1" ], "sdm": [ "Vertraulichkeit", "Integritaet" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.VENDOR.05", "title": "Lieferanten-Audit-Recht", "description": "Vertragliches Audit-Recht beim Auftragsverarbeiter sicherstellen und regelmaessig ausueben.", "type": "ORGANIZATIONAL", "implementation_guidance": "Vertragliches Audit-Recht beim Auftragsverarbeiter sicherstellen und regelmaessig ausueben.", "evidence": [ "Audit-Klausel im AVV", "Audit-Berichte", "Massnahmenplaene" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 28(3h)" ], "iso27001": [ "A.5.22" ], "bsi": [ "OPS.2.1" ], "sdm": [ "Transparenz" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.VENDOR.06", "title": "Risikobewertung Auftragsverarbeiter", "description": "Auftragsverarbeiter nach Risiko klassifizieren und Prueftiefe entsprechend anpassen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Auftragsverarbeiter nach Risiko klassifizieren und Prueftiefe entsprechend anpassen.", "evidence": [ "Risikobewertungsmatrix", "Klassifizierungsergebnisse", "Pruefplaene" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 24", "Art. 28" ], "iso27001": [ "A.5.19" ], "bsi": [ "OPS.2.1" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.VENDOR.07", "title": "SLA-Monitoring Auftragsverarbeiter", "description": "Laufende Ueberwachung der Service-Level-Agreements insbesondere Verfuegbarkeit und Reaktionszeiten.", "type": "ORGANIZATIONAL", "implementation_guidance": "Laufende Ueberwachung der Service-Level-Agreements insbesondere Verfuegbarkeit und Reaktionszeiten.", "evidence": [ "SLA-Reports", "Eskalationsprotokolle", "Performance-Dashboard" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 28(3)" ], "iso27001": [ "A.5.22" ], "bsi": [ "OPS.2.1" ], "sdm": [ "Verfuegbarkeit" ] }, "review_frequency": "QUARTERLY", "priority": "MEDIUM", "complexity": "LOW" }, { "id": "TOM.VENDOR.08", "title": "Verstaerkte Pruefung bei Drittlandtransfer", "description": "Erhoehte Due-Diligence fuer Auftragsverarbeiter in Drittlaendern inklusive Transfer Impact Assessment.", "type": "ORGANIZATIONAL", "implementation_guidance": "Erhoehte Due-Diligence fuer Auftragsverarbeiter in Drittlaendern inklusive Transfer Impact Assessment.", "evidence": [ "TIA-Dokument", "Supplementary Measures", "SCC-Vertrag" ], "applies_if": { "field": "third_country_transfer", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 28", "Art. 44-49" ], "iso27001": [ "A.5.19" ], "bsi": [ "OPS.2.1" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "CRITICAL", "complexity": "HIGH" }, { "id": "TOM.VENDOR.09", "title": "Exit-Strategie Auftragsverarbeiter", "description": "Fuer jeden kritischen Auftragsverarbeiter eine Exit-Strategie mit Datenmigration und Loeschung planen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Fuer jeden kritischen Auftragsverarbeiter eine Exit-Strategie mit Datenmigration und Loeschung planen.", "evidence": [ "Exit-Plan", "Datenmigrations-Konzept", "Loeschbestaetigung-Template" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 28(3g)" ], "iso27001": [ "A.5.20" ], "bsi": [ "OPS.2.1" ], "sdm": [ "Verfuegbarkeit" ] }, "review_frequency": "ANNUAL", "priority": "MEDIUM", "complexity": "MEDIUM" }, { "id": "TOM.VENDOR.10", "title": "Vorfallmeldung durch Auftragsverarbeiter", "description": "Vertragliche Pflicht zur unverzueglichen Meldung von Datenschutzvorfaellen durch den Auftragsverarbeiter.", "type": "ORGANIZATIONAL", "implementation_guidance": "Vertragliche Pflicht zur unverzueglichen Meldung von Datenschutzvorfaellen durch den Auftragsverarbeiter.", "evidence": [ "AVV-Vorfallklausel", "Meldeprozess", "Kontaktdaten" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 28(3f)", "Art. 33" ], "iso27001": [ "A.5.24" ], "bsi": [ "DER.2.1" ], "sdm": [ "Transparenz" ] }, "review_frequency": "ANNUAL", "priority": "CRITICAL", "complexity": "LOW" }, { "id": "TOM.VENDOR.11", "title": "Auftragsverarbeiter-Register", "description": "Zentrales Verzeichnis aller Auftragsverarbeiter mit Zweck, Datenkategorien und Standort.", "type": "ORGANIZATIONAL", "implementation_guidance": "Zentrales Verzeichnis aller Auftragsverarbeiter mit Zweck, Datenkategorien und Standort.", "evidence": [ "AV-Register", "Klassifizierung", "Ablaufdaten" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 30(2)" ], "iso27001": [ "A.5.9" ], "bsi": [ "OPS.2.1" ], "sdm": [ "Transparenz" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.VENDOR.12", "title": "Cloud-Service-Provider-Compliance", "description": "Besondere Datenschutzanforderungen an Cloud-Provider: Datenstandort, Verschluesselung, Zugriffskontrolle.", "type": "ORGANIZATIONAL", "implementation_guidance": "Besondere Datenschutzanforderungen an Cloud-Provider: Datenstandort, Verschluesselung, Zugriffskontrolle.", "evidence": [ "Cloud-Security-Checkliste", "Zertifikate (SOC2, ISO 27001)", "Konfigurationsnachweise" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 28", "Art. 32" ], "iso27001": [ "A.5.23" ], "bsi": [ "OPS.2.1" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.VENDOR.13", "title": "Regelmaessige AV-Vertragspruefung", "description": "Bestehende AVV regelmaessig auf Aktualitaet pruefen und an geaenderte Verarbeitungen anpassen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Bestehende AVV regelmaessig auf Aktualitaet pruefen und an geaenderte Verarbeitungen anpassen.", "evidence": [ "Review-Protokolle", "Aenderungsnachtraege", "Versionierung" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 28" ], "iso27001": [ "A.5.20" ], "bsi": [ "OPS.2.1" ], "sdm": [ "Zweckbindung" ] }, "review_frequency": "ANNUAL", "priority": "MEDIUM", "complexity": "LOW" }, { "id": "TOM.VENDOR.14", "title": "Auftragsverarbeiter-Monitoring bei Kinderdaten", "description": "Verstaerkte Ueberwachung von Auftragsverarbeitern die Daten von Minderjaehrigen verarbeiten.", "type": "ORGANIZATIONAL", "implementation_guidance": "Verstaerkte Ueberwachung von Auftragsverarbeitern die Daten von Minderjaehrigen verarbeiten.", "evidence": [ "Sonder-Pruefplan", "Erhoehte Audit-Frequenz", "Dokumentation" ], "applies_if": { "field": "vulnerable_persons", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 8", "Art. 28" ], "iso27001": [ "A.5.22" ], "bsi": [ "OPS.2.1" ], "sdm": [ "Vertraulichkeit" ] }, "review_frequency": "QUARTERLY", "priority": "CRITICAL", "complexity": "HIGH" }, { "id": "TOM.VENDOR.15", "title": "Joint-Controller-Vereinbarung", "description": "Bei gemeinsamer Verantwortlichkeit transparente Vereinbarung gemaess Art. 26 DSGVO abschliessen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Bei gemeinsamer Verantwortlichkeit transparente Vereinbarung gemaess Art. 26 DSGVO abschliessen.", "evidence": [ "Art.-26-Vereinbarung", "Aufgabenverteilung", "Betroffenen-Kontaktinfo" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 26" ], "iso27001": [ "A.5.20" ], "bsi": [ "OPS.2.1" ], "sdm": [ "Transparenz", "Zweckbindung" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" } ] }, { "id": "DATA", "name": "Data Lifecycle", "objective": "Personenbezogene Daten ueber den gesamten Lebenszyklus datenschutzkonform verwalten", "controls": [ { "id": "TOM.DATA.01", "title": "Datenminimierung als Designprinzip", "description": "Nur fuer den definierten Zweck erforderliche personenbezogene Daten erheben und verarbeiten.", "type": "ORGANIZATIONAL", "implementation_guidance": "Nur fuer den definierten Zweck erforderliche personenbezogene Daten erheben und verarbeiten.", "evidence": [ "Dateninventar", "Zweckbeschreibungen", "Minimierungsanalyse" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 5(1c)", "Art. 25(2)" ], "iso27001": [ "A.5.12" ], "bsi": [ "CON.1" ], "sdm": [ "Datenminimierung" ] }, "review_frequency": "ANNUAL", "priority": "CRITICAL", "complexity": "LOW" }, { "id": "TOM.DATA.02", "title": "Loeschkonzept und Aufbewahrungsfristen", "description": "Dokumentiertes Loeschkonzept mit Fristen je Datenkategorie, Rechtsgrundlagen und Automatisierung.", "type": "ORGANIZATIONAL", "implementation_guidance": "Dokumentiertes Loeschkonzept mit Fristen je Datenkategorie, Rechtsgrundlagen und Automatisierung.", "evidence": [ "Loeschkonzept", "Fristenkatalog", "Automatisierungsnachweis" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 5(1e)", "Art. 17" ], "iso27001": [ "A.8.10" ], "bsi": [ "CON.6" ], "sdm": [ "Speicherbegrenzung" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.DATA.03", "title": "Automatisierte Datenloeschung", "description": "Technische Umsetzung der automatisierten Loeschung nach Fristablauf mit Protokollierung.", "type": "TECHNICAL", "implementation_guidance": "Technische Umsetzung der automatisierten Loeschung nach Fristablauf mit Protokollierung.", "evidence": [ "Loeschjob-Konfiguration", "Ausfuehrungsprotokolle", "Ausnahmeliste" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 5(1e)", "Art. 17" ], "iso27001": [ "A.8.10" ], "bsi": [ "CON.6" ], "sdm": [ "Speicherbegrenzung" ] }, "review_frequency": "QUARTERLY", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.DATA.04", "title": "Betroffenenrechte-Prozess (DSR)", "description": "Standardisierten Prozess fuer Auskunft, Berichtigung, Loeschung, Einschraenkung und Datenportabilitaet.", "type": "ORGANIZATIONAL", "implementation_guidance": "Standardisierten Prozess fuer Auskunft, Berichtigung, Loeschung, Einschraenkung und Datenportabilitaet.", "evidence": [ "DSR-Prozessbeschreibung", "Formulare", "SLA-Definition", "Protokolle" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 15-22" ], "iso27001": [ "A.5.34" ], "bsi": [ "CON.1" ], "sdm": [ "Intervenierbarkeit", "Transparenz" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.DATA.05", "title": "Datenportabilitaet (Art. 20)", "description": "Export personenbezogener Daten in strukturiertem, gaengigem und maschinenlesbarem Format ermoeglichen.", "type": "TECHNICAL", "implementation_guidance": "Export personenbezogener Daten in strukturiertem, gaengigem und maschinenlesbarem Format ermoeglichen.", "evidence": [ "Export-Funktion", "Formatdokumentation", "Test-Exports" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 20" ], "iso27001": [ "A.5.34" ], "bsi": [ "CON.1" ], "sdm": [ "Intervenierbarkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.DATA.06", "title": "Zweckbindungs-Kontrolle", "description": "Sicherstellen dass personenbezogene Daten nicht ueber den definierten Zweck hinaus verarbeitet werden.", "type": "ORGANIZATIONAL", "implementation_guidance": "Sicherstellen dass personenbezogene Daten nicht ueber den definierten Zweck hinaus verarbeitet werden.", "evidence": [ "Zweckbeschreibungen im VVT", "Zugriffsbeschraenkungen", "Audit-Ergebnisse" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 5(1b)" ], "iso27001": [ "A.5.12" ], "bsi": [ "CON.1" ], "sdm": [ "Zweckbindung", "Nichtverkettung" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.DATA.07", "title": "Speicherbegrenzungs-Review", "description": "Regelmaessige Ueberpruefung ob gespeicherte personenbezogene Daten noch fuer den Zweck erforderlich sind.", "type": "ORGANIZATIONAL", "implementation_guidance": "Regelmaessige Ueberpruefung ob gespeicherte personenbezogene Daten noch fuer den Zweck erforderlich sind.", "evidence": [ "Review-Protokolle", "Loeschempfehlungen", "Umsetzungsnachweis" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 5(1e)" ], "iso27001": [ "A.8.10" ], "bsi": [ "CON.6" ], "sdm": [ "Speicherbegrenzung" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "HIGH", "complexity": "LOW" }, { "id": "TOM.DATA.08", "title": "Richtigkeit der Daten sicherstellen", "description": "Prozesse zur Sicherstellung der Datenrichtigkeit: Validierung, Aktualisierung, Berichtigungsmechanismen.", "type": "TECHNICAL", "implementation_guidance": "Prozesse zur Sicherstellung der Datenrichtigkeit: Validierung, Aktualisierung, Berichtigungsmechanismen.", "evidence": [ "Validierungsregeln", "Aktualisierungsprozess", "Berichtigungsprotokolle" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "BASELINE", "mappings": { "gdpr": [ "Art. 5(1d)", "Art. 16" ], "iso27001": [ "A.5.33" ], "bsi": [ "CON.1" ], "sdm": [ "Richtigkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.DATA.09", "title": "Pseudonymisierung", "description": "Personenbezogene Daten wo moeglich pseudonymisieren um das Risiko bei unbefugtem Zugriff zu minimieren.", "type": "TECHNICAL", "implementation_guidance": "Personenbezogene Daten wo moeglich pseudonymisieren um das Risiko bei unbefugtem Zugriff zu minimieren.", "evidence": [ "Pseudonymisierungskonzept", "Zuordnungstabellen-Schutz", "Anwendungsbereiche" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 25(1)", "Art. 32(1a)" ], "iso27001": [ "A.8.11" ], "bsi": [ "CON.1" ], "sdm": [ "Datenminimierung", "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.DATA.10", "title": "Anonymisierung fuer Statistik/Forschung", "description": "Wirksame Anonymisierung fuer statistische Auswertungen und Forschungszwecke sicherstellen.", "type": "TECHNICAL", "implementation_guidance": "Wirksame Anonymisierung fuer statistische Auswertungen und Forschungszwecke sicherstellen.", "evidence": [ "Anonymisierungsverfahren", "Re-Identifikations-Risikobewertung", "Freigabeprotokoll" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "ErwGr. 26", "Art. 89" ], "iso27001": [ "A.8.11" ], "bsi": [ "CON.1" ], "sdm": [ "Datenminimierung" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "HIGH" }, { "id": "TOM.DATA.11", "title": "Einschraenkung der Verarbeitung (Art. 18)", "description": "Technische Moeglichkeit zur Markierung und Einschraenkung der Verarbeitung bei Betroffenenantraegen.", "type": "TECHNICAL", "implementation_guidance": "Technische Moeglichkeit zur Markierung und Einschraenkung der Verarbeitung bei Betroffenenantraegen.", "evidence": [ "Markierungsfunktion", "Prozessbeschreibung", "Test-Protokolle" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "ENHANCED", "mappings": { "gdpr": [ "Art. 18" ], "iso27001": [ "A.5.34" ], "bsi": [ "CON.1" ], "sdm": [ "Intervenierbarkeit" ] }, "review_frequency": "ANNUAL", "priority": "MEDIUM", "complexity": "MEDIUM" }, { "id": "TOM.DATA.12", "title": "Erhoehter Schutz besonderer Kategorien", "description": "Zusaetzliche organisatorische Massnahmen fuer die Verarbeitung von Art. 9/10 Daten.", "type": "ORGANIZATIONAL", "implementation_guidance": "Zusaetzliche organisatorische Massnahmen fuer die Verarbeitung von Art. 9/10 Daten.", "evidence": [ "Sonderkonzept", "Zugriffsrichtlinien", "DSFA-Ergebnisse" ], "applies_if": { "field": "special_categories", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 9", "Art. 10" ], "iso27001": [ "A.5.12" ], "bsi": [ "CON.1" ], "sdm": [ "Vertraulichkeit", "Zweckbindung" ] }, "review_frequency": "SEMI_ANNUAL", "priority": "CRITICAL", "complexity": "MEDIUM" }, { "id": "TOM.DATA.13", "title": "Legal-Hold-Prozess", "description": "Prozess zum Anhalten geplanter Loeschungen bei Rechtsstreitigkeiten oder Behoerdenanfragen.", "type": "ORGANIZATIONAL", "implementation_guidance": "Prozess zum Anhalten geplanter Loeschungen bei Rechtsstreitigkeiten oder Behoerdenanfragen.", "evidence": [ "Legal-Hold-Policy", "Ausloeserkriterien", "Aufhebungsprozess" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 17(3)" ], "iso27001": [ "A.5.34" ], "bsi": [ "CON.6" ], "sdm": [ "Speicherbegrenzung" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.DATA.14", "title": "Datenfluss-Mapping", "description": "Visualisierung aller Datenfluesse innerhalb der Organisation und zu externen Empfaengern.", "type": "ORGANIZATIONAL", "implementation_guidance": "Visualisierung aller Datenfluesse innerhalb der Organisation und zu externen Empfaengern.", "evidence": [ "Datenflussdiagramme", "System-Koppelungen", "Empfaenger-Uebersicht" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "HIGH_RISK", "mappings": { "gdpr": [ "Art. 30", "Art. 35" ], "iso27001": [ "A.5.9" ], "bsi": [ "CON.1" ], "sdm": [ "Transparenz", "Nichtverkettung" ] }, "review_frequency": "ANNUAL", "priority": "HIGH", "complexity": "MEDIUM" }, { "id": "TOM.DATA.15", "title": "Privacy-Enhancing Technologies (PET)", "description": "Einsatz fortschrittlicher PETs (Differential Privacy, Secure Computation, Synthetic Data) wo angemessen.", "type": "TECHNICAL", "implementation_guidance": "Einsatz fortschrittlicher PETs (Differential Privacy, Secure Computation, Synthetic Data) wo angemessen.", "evidence": [ "PET-Evaluierung", "Einsatzbereiche", "Wirksamkeitsnachweis" ], "applies_if": { "field": "always", "operator": "EQUALS", "value": true }, "risk_tier": "CRITICAL", "mappings": { "gdpr": [ "Art. 25(1)", "Art. 32" ], "iso27001": [ "A.8.11" ], "bsi": [ "CON.1" ], "sdm": [ "Datenminimierung", "Vertraulichkeit" ] }, "review_frequency": "ANNUAL", "priority": "MEDIUM", "complexity": "HIGH" } ] } ] }