Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
breakpilot-compliance/ai-compliance-sdk/policies/tom_controls_v1.json
Benjamin Admin 38e278ee3c
All checks were successful
CI / go-lint (push) Has been skipped
Details
CI / python-lint (push) Has been skipped
Details
CI / nodejs-lint (push) Has been skipped
Details
CI / test-go-ai-compliance (push) Successful in 32s
Details
CI / test-python-backend-compliance (push) Successful in 29s
Details
CI / test-python-document-crawler (push) Successful in 20s
Details
CI / test-python-dsms-gateway (push) Successful in 18s
Details
feat(ucca): Pflichtendatenbank v2 (325 Obligations), Trigger-Engine, TOM-Control-Mapping 
- 9 Regulation-JSON-Dateien (DSGVO 80, AI Act 60, NIS2 40, BDSG 30, TTDSG 20, DSA 35, Data Act 25, EU-Maschinen 15, DORA 20)
- Condition-Tree-Engine fuer automatische Pflichtenselektion (all_of/any_of, 80+ Field-Paths)
- Generischer JSONRegulationModule-Loader mit YAML-Fallback
- Bidirektionales TOM-Control-Mapping (291 Obligation→Control, 92 Control→Obligation)
- Gap-Analyse-Engine (Compliance-%, Priority Actions, Domain Breakdown)
- ScopeDecision→UnifiedFacts Bridge fuer Auto-Profiling
- 4 neue API-Endpoints (assess-from-scope, tom-controls, gap-analysis, reverse-lookup)
- Frontend: Auto-Profiling Button, Regulation-Filter Chips, TOM-Panel, Gap-Analyse-View
- 18 Unit Tests (Condition Engine, v2 Loader, TOM Mapper)

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-03-05 14:51:44 +01:00

6523 lines
199 KiB
JSON
Raw Permalink Blame History

{
"version": "1.0",
"schema": "iso_annex_a",
"generated": "2026-03-05",
"total_controls": 180,
"domains": [
{
"id": "GOV",
"name": "Governance & Policies",
"objective": "Datenschutz-Governance-Rahmen etablieren, Verantwortlichkeiten definieren und regelmaessige Reviews sicherstellen",
"controls": [
{
"id": "TOM.GOV.01",
"title": "ISMS/Privacy Governance",
"description": "Rollen, Verantwortlichkeiten und Review-Zyklen fuer das Datenschutz-Management definieren und dokumentieren.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Rollen, Verantwortlichkeiten und Review-Zyklen fuer das Datenschutz-Management definieren und dokumentieren.",
"evidence": [
"Organigramm",
"Governance-Policy",
"Review-Protokolle"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 5(2)",
"Art. 24"
],
"iso27001": [
"A.5.1"
],
"bsi": [
"ISMS.1"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "ANNUAL",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.GOV.02",
"title": "Datenschutzbeauftragter (DSB)",
"description": "Bestellung eines DSB gemaess Art. 37 DSGVO, Sicherstellung der Unabhaengigkeit und Ressourcenausstattung.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Bestellung eines DSB gemaess Art. 37 DSGVO, Sicherstellung der Unabhaengigkeit und Ressourcenausstattung.",
"evidence": [
"DSB-Bestellungsurkunde",
"Aufgabenbeschreibung",
"Schulungsnachweise"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 37",
"Art. 38",
"Art. 39"
],
"iso27001": [
"A.5.2"
],
"bsi": [
"ORP.1"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "ANNUAL",
"priority": "CRITICAL",
"complexity": "LOW"
},
{
"id": "TOM.GOV.03",
"title": "Datenschutz-Leitlinie",
"description": "Unternehmensweite Datenschutz-Policy erstellen, von der Geschaeftsfuehrung genehmigen und an alle Mitarbeiter kommunizieren.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Unternehmensweite Datenschutz-Policy erstellen, von der Geschaeftsfuehrung genehmigen und an alle Mitarbeiter kommunizieren.",
"evidence": [
"Datenschutz-Leitlinie",
"Freigabenachweis",
"Kommunikationsprotokoll"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 24",
"Art. 5(2)"
],
"iso27001": [
"A.5.1"
],
"bsi": [
"ORP.1"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.GOV.04",
"title": "Richtlinien-Review-Zyklus",
"description": "Alle Datenschutz-Richtlinien mindestens jaehrlich pruefen und bei Aenderungen der Rechtslage aktualisieren.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Alle Datenschutz-Richtlinien mindestens jaehrlich pruefen und bei Aenderungen der Rechtslage aktualisieren.",
"evidence": [
"Review-Protokolle",
"Aenderungshistorie",
"Versionsverwaltung"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 24(1)"
],
"iso27001": [
"A.5.1"
],
"bsi": [
"ORP.1"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.GOV.05",
"title": "Compliance-Monitoring",
"description": "Regelmaessige interne Pruefungen der Datenschutz-Compliance durchfuehren und Abweichungen dokumentieren.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Regelmaessige interne Pruefungen der Datenschutz-Compliance durchfuehren und Abweichungen dokumentieren.",
"evidence": [
"Audit-Berichte",
"Massnahmenplaene",
"Nachverfolgung"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 5(2)",
"Art. 32(1d)"
],
"iso27001": [
"A.5.36"
],
"bsi": [
"DER.3.1"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.GOV.06",
"title": "Datenschutz-Risikoregister",
"description": "Zentrales Register aller datenschutzrelevanten Risiken fuehren, bewerten und Massnahmen zuordnen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Zentrales Register aller datenschutzrelevanten Risiken fuehren, bewerten und Massnahmen zuordnen.",
"evidence": [
"Risikoregister",
"Risikobewertungen",
"Massnahmenplan"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 24(1)",
"Art. 35"
],
"iso27001": [
"A.5.3"
],
"bsi": [
"ISMS.1"
],
"sdm": [
"Transparenz",
"Integritaet"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.GOV.07",
"title": "Management-Review",
"description": "Geschaeftsfuehrung informiert sich regelmaessig ueber den Stand der Datenschutz-Compliance und trifft strategische Entscheidungen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Geschaeftsfuehrung informiert sich regelmaessig ueber den Stand der Datenschutz-Compliance und trifft strategische Entscheidungen.",
"evidence": [
"Management-Review-Protokoll",
"Praesentationen",
"Entscheidungsprotokolle"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 24"
],
"iso27001": [
"A.5.1"
],
"bsi": [
"ISMS.1"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "MEDIUM",
"complexity": "LOW"
},
{
"id": "TOM.GOV.08",
"title": "Datenschutz-Folgenabschaetzung Prozess",
"description": "Standardisierten DSFA-Prozess gemaess Art. 35 etablieren mit Schwellwertanalyse, Durchfuehrung und Massnahmenableitung.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Standardisierten DSFA-Prozess gemaess Art. 35 etablieren mit Schwellwertanalyse, Durchfuehrung und Massnahmenableitung.",
"evidence": [
"DSFA-Vorlage",
"Schwellwertanalyse",
"DSFA-Dokumentation"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 35",
"Art. 36"
],
"iso27001": [
"A.5.34"
],
"bsi": [
"CON.2"
],
"sdm": [
"Transparenz",
"Datenminimierung"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.GOV.09",
"title": "Datenschutz-Budgetplanung",
"description": "Dediziertes Budget fuer Datenschutz-Massnahmen, Tools und Schulungen planen und jaehrlich ueberpruefen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Dediziertes Budget fuer Datenschutz-Massnahmen, Tools und Schulungen planen und jaehrlich ueberpruefen.",
"evidence": [
"Budgetplanung",
"Ausgabenberichte",
"Investitionsplan"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 24"
],
"iso27001": [
"A.5.1"
],
"bsi": [
"ISMS.1"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "ANNUAL",
"priority": "MEDIUM",
"complexity": "LOW"
},
{
"id": "TOM.GOV.10",
"title": "Datenschutz bei Projekten (Privacy by Design)",
"description": "Bei jedem neuen IT-Projekt oder Geschaeftsprozess Datenschutzanforderungen fruehzeitig einbeziehen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Bei jedem neuen IT-Projekt oder Geschaeftsprozess Datenschutzanforderungen fruehzeitig einbeziehen.",
"evidence": [
"Projekt-Checkliste",
"DSFA-Schwellwertanalyse",
"Freigabeprotokolle"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 25(1)"
],
"iso27001": [
"A.5.8"
],
"bsi": [
"CON.2"
],
"sdm": [
"Datenminimierung",
"Zweckbindung"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.GOV.11",
"title": "Verzeichnis von Verarbeitungstaetigkeiten",
"description": "VVT gemaess Art. 30 DSGVO fuehren und aktuell halten mit allen Pflichtangaben.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "VVT gemaess Art. 30 DSGVO fuehren und aktuell halten mit allen Pflichtangaben.",
"evidence": [
"VVT-Dokument",
"Update-Protokolle"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 30"
],
"iso27001": [
"A.5.9"
],
"bsi": [
"CON.2"
],
"sdm": [
"Transparenz",
"Zweckbindung"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.GOV.12",
"title": "Eskalationsprozess Datenschutzvorfaelle",
"description": "Klaren Eskalationspfad fuer Datenschutzvorfaelle definieren mit Meldewegen, Fristen und Zustaendigkeiten.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Klaren Eskalationspfad fuer Datenschutzvorfaelle definieren mit Meldewegen, Fristen und Zustaendigkeiten.",
"evidence": [
"Eskalationsmatrix",
"Prozessbeschreibung",
"Kontaktliste"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 33",
"Art. 34"
],
"iso27001": [
"A.5.24"
],
"bsi": [
"DER.2.1"
],
"sdm": [
"Vertraulichkeit",
"Integritaet"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.GOV.13",
"title": "Externe Datenschutz-Audits",
"description": "Regelmaessige externe Audits der Datenschutz-Compliance durch unabhaengige Pruefer durchfuehren lassen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Regelmaessige externe Audits der Datenschutz-Compliance durch unabhaengige Pruefer durchfuehren lassen.",
"evidence": [
"Audit-Berichte extern",
"Zertifikate",
"Massnahmenplan"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 5(2)",
"Art. 42"
],
"iso27001": [
"A.5.35"
],
"bsi": [
"DER.3.1"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.GOV.14",
"title": "Datenschutz-Kennzahlen (KPIs)",
"description": "Messbare KPIs fuer Datenschutz definieren und regelmaessig berichten (z.B. offene DSR, Schulungsquote, Vorfaelle).",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Messbare KPIs fuer Datenschutz definieren und regelmaessig berichten (z.B. offene DSR, Schulungsquote, Vorfaelle).",
"evidence": [
"KPI-Dashboard",
"Quartalsberichte",
"Trend-Analysen"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 5(2)"
],
"iso27001": [
"A.5.1"
],
"bsi": [
"ISMS.1"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "QUARTERLY",
"priority": "MEDIUM",
"complexity": "MEDIUM"
},
{
"id": "TOM.GOV.15",
"title": "Datenschutz-Zertifizierung",
"description": "Anstreben einer Datenschutz-Zertifizierung (z.B. Art. 42 DSGVO, ISO 27701) zur Nachweisfuehrung.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Anstreben einer Datenschutz-Zertifizierung (z.B. Art. 42 DSGVO, ISO 27701) zur Nachweisfuehrung.",
"evidence": [
"Zertifikat",
"Audit-Bericht",
"Massnahmenplan"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 42",
"Art. 43"
],
"iso27001": [
"A.5.35"
],
"bsi": [
"ISMS.1"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "ANNUAL",
"priority": "MEDIUM",
"complexity": "HIGH"
}
]
},
{
"id": "HR",
"name": "Personnel & Awareness",
"objective": "Mitarbeiter fuer Datenschutz sensibilisieren, Verpflichtungen sicherstellen und kontinuierliche Kompetenzentwicklung foerdern",
"controls": [
{
"id": "TOM.HR.01",
"title": "Datenschutz-Verpflichtung Mitarbeiter",
"description": "Alle Mitarbeiter auf das Datengeheimnis verpflichten und Vertraulichkeitserklaerungen einholen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Alle Mitarbeiter auf das Datengeheimnis verpflichten und Vertraulichkeitserklaerungen einholen.",
"evidence": [
"Vertraulichkeitserklaerung",
"Verpflichtungsnachweis"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 28(3b)",
"Art. 29"
],
"iso27001": [
"A.6.6"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "CRITICAL",
"complexity": "LOW"
},
{
"id": "TOM.HR.02",
"title": "Datenschutz-Grundschulung",
"description": "Verpflichtende Datenschutz-Grundschulung fuer alle neuen Mitarbeiter innerhalb des Onboardings.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Verpflichtende Datenschutz-Grundschulung fuer alle neuen Mitarbeiter innerhalb des Onboardings.",
"evidence": [
"Schulungsteilnahme",
"Zertifikat",
"Schulungsunterlagen"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 39(1b)"
],
"iso27001": [
"A.6.3"
],
"bsi": [
"ORP.3"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.HR.03",
"title": "Jaehrliche Auffrischungsschulung",
"description": "Mindestens jaehrliche Datenschutz-Auffrischung fuer alle Mitarbeiter mit aktuellen Themen und Fallbeispielen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Mindestens jaehrliche Datenschutz-Auffrischung fuer alle Mitarbeiter mit aktuellen Themen und Fallbeispielen.",
"evidence": [
"Teilnehmerlisten",
"Schulungsinhalte",
"Evaluationsboegen"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 39(1b)"
],
"iso27001": [
"A.6.3"
],
"bsi": [
"ORP.3"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.HR.04",
"title": "Rollenspezifische Schulungen",
"description": "Vertiefte Schulungen fuer Mitarbeiter mit besonderen Datenschutzaufgaben (IT, HR, Marketing, Vertrieb).",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Vertiefte Schulungen fuer Mitarbeiter mit besonderen Datenschutzaufgaben (IT, HR, Marketing, Vertrieb).",
"evidence": [
"Schulungsplan",
"Teilnahmenachweise",
"Kompetenzmatrix"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 39(1b)"
],
"iso27001": [
"A.6.3"
],
"bsi": [
"ORP.3"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.HR.05",
"title": "Datenschutz-Onboarding-Checkliste",
"description": "Standardisiertes Onboarding mit Datenschutz-Briefing, Verpflichtung, Systemzugaenge und Schulungstermin.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Standardisiertes Onboarding mit Datenschutz-Briefing, Verpflichtung, Systemzugaenge und Schulungstermin.",
"evidence": [
"Onboarding-Checkliste",
"Unterschriften",
"IT-Zugangsprotokolle"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 24",
"Art. 29"
],
"iso27001": [
"A.6.1"
],
"bsi": [
"ORP.2"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.HR.06",
"title": "Datenschutz-Offboarding-Prozess",
"description": "Beim Austritt Zugriffe entziehen, Geraete zuruecknehmen und Vertraulichkeitspflichten bekraeftigen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Beim Austritt Zugriffe entziehen, Geraete zuruecknehmen und Vertraulichkeitspflichten bekraeftigen.",
"evidence": [
"Offboarding-Checkliste",
"Zugangsentzugs-Protokoll",
"Geraeterueckgabe"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32"
],
"iso27001": [
"A.6.5"
],
"bsi": [
"ORP.2"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.HR.07",
"title": "Phishing-Awareness-Training",
"description": "Regelmaessige Phishing-Simulationen und Trainings zur Erkennung von Social-Engineering-Angriffen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Regelmaessige Phishing-Simulationen und Trainings zur Erkennung von Social-Engineering-Angriffen.",
"evidence": [
"Phishing-Test-Ergebnisse",
"Schulungsnachweise",
"Klickraten-Report"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.6.3"
],
"bsi": [
"ORP.3"
],
"sdm": [
"Vertraulichkeit",
"Integritaet"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.HR.08",
"title": "Datenschutz-Champions/Botschafter",
"description": "In jeder Abteilung einen Datenschutz-Ansprechpartner benennen als Multiplikator und Erstanlaufstelle.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "In jeder Abteilung einen Datenschutz-Ansprechpartner benennen als Multiplikator und Erstanlaufstelle.",
"evidence": [
"Benennungsliste",
"Aufgabenbeschreibung",
"Schulungsnachweise"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 24"
],
"iso27001": [
"A.5.2"
],
"bsi": [
"ORP.1"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "ANNUAL",
"priority": "MEDIUM",
"complexity": "LOW"
},
{
"id": "TOM.HR.09",
"title": "Schulung besondere Datenkategorien",
"description": "Spezialschulung fuer Mitarbeiter mit Zugang zu Art. 9/10 Daten zu erhoehten Schutzanforderungen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Spezialschulung fuer Mitarbeiter mit Zugang zu Art. 9/10 Daten zu erhoehten Schutzanforderungen.",
"evidence": [
"Teilnahmenachweise",
"Sonderschulungsunterlagen"
],
"applies_if": {
"field": "special_categories",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 9",
"Art. 10"
],
"iso27001": [
"A.6.3"
],
"bsi": [
"ORP.3"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.HR.10",
"title": "Kinder-Datenschutz-Schulung",
"description": "Schulung fuer Mitarbeiter die mit Daten von Minderjaehrigen arbeiten zu besonderen Schutzpflichten.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Schulung fuer Mitarbeiter die mit Daten von Minderjaehrigen arbeiten zu besonderen Schutzpflichten.",
"evidence": [
"Schulungsunterlagen",
"Teilnahmenachweise"
],
"applies_if": {
"field": "vulnerable_persons",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 8",
"ErwGr. 38"
],
"iso27001": [
"A.6.3"
],
"bsi": [
"ORP.3"
],
"sdm": [
"Vertraulichkeit",
"Datenminimierung"
]
},
"review_frequency": "ANNUAL",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.HR.11",
"title": "Disziplinarprozess bei Datenschutzverstoessen",
"description": "Klaren Prozess fuer arbeitsrechtliche Konsequenzen bei vorsaetzlichen Datenschutzverstoessen definieren.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Klaren Prozess fuer arbeitsrechtliche Konsequenzen bei vorsaetzlichen Datenschutzverstoessen definieren.",
"evidence": [
"Disziplinarordnung",
"Dokumentierte Vorfaelle",
"Sanktionskatalog"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 24"
],
"iso27001": [
"A.6.4"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "MEDIUM",
"complexity": "LOW"
},
{
"id": "TOM.HR.12",
"title": "Datenschutz-Wissenstest",
"description": "Nach Schulungen Verstaendnistests durchfuehren um die Wirksamkeit der Schulungsmassnahmen zu pruefen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Nach Schulungen Verstaendnistests durchfuehren um die Wirksamkeit der Schulungsmassnahmen zu pruefen.",
"evidence": [
"Testergebnisse",
"Bestehensquoten",
"Nachschulungsplaene"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 5(2)"
],
"iso27001": [
"A.6.3"
],
"bsi": [
"ORP.3"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "ANNUAL",
"priority": "MEDIUM",
"complexity": "LOW"
},
{
"id": "TOM.HR.13",
"title": "Externe Datenschutz-Zertifizierung Mitarbeiter",
"description": "Fachkraefte zu externen Datenschutz-Zertifizierungen (CIPP/E, CIPM, DSB-Zertifikat) entsenden.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Fachkraefte zu externen Datenschutz-Zertifizierungen (CIPP/E, CIPM, DSB-Zertifikat) entsenden.",
"evidence": [
"Zertifikate",
"Fortbildungsnachweise"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 37(5)"
],
"iso27001": [
"A.6.3"
],
"bsi": [
"ORP.3"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "ANNUAL",
"priority": "LOW",
"complexity": "HIGH"
},
{
"id": "TOM.HR.14",
"title": "Awareness-Kampagnen",
"description": "Regelmaessige Datenschutz-Awareness durch Poster, Newsletter, Intranet-Beitraege und Quiz-Aktionen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Regelmaessige Datenschutz-Awareness durch Poster, Newsletter, Intranet-Beitraege und Quiz-Aktionen.",
"evidence": [
"Kampagnen-Material",
"Reichweiten-Statistiken",
"Feedback"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 39(1b)"
],
"iso27001": [
"A.6.3"
],
"bsi": [
"ORP.3"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "QUARTERLY",
"priority": "MEDIUM",
"complexity": "LOW"
},
{
"id": "TOM.HR.15",
"title": "Notfall-Kommunikationsschulung",
"description": "Schulung zur korrekten Kommunikation bei Datenpannen (intern, extern, Behoerden, Betroffene).",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Schulung zur korrekten Kommunikation bei Datenpannen (intern, extern, Behoerden, Betroffene).",
"evidence": [
"Schulungsunterlagen",
"Uebungsprotokolle",
"Kommunikationsvorlagen"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 33",
"Art. 34"
],
"iso27001": [
"A.5.24"
],
"bsi": [
"DER.2.1"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
}
]
},
{
"id": "IAM",
"name": "Identity & Access Management",
"objective": "Sichere Identitaetsverwaltung und Authentifizierung fuer alle Systeme und Benutzer gewaehrleisten",
"controls": [
{
"id": "TOM.IAM.01",
"title": "Zentrales Identitaetsmanagement",
"description": "Zentrales IAM-System (z.B. LDAP, Azure AD) fuer einheitliche Benutzerverwaltung einsetzen.",
"type": "TECHNICAL",
"implementation_guidance": "Zentrales IAM-System (z.B. LDAP, Azure AD) fuer einheitliche Benutzerverwaltung einsetzen.",
"evidence": [
"IAM-Systemdokumentation",
"Benutzerlisten",
"Konfiguration"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1b)"
],
"iso27001": [
"A.5.15"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.IAM.02",
"title": "Multi-Faktor-Authentifizierung (MFA)",
"description": "MFA fuer alle administrativen Zugaenge und Systeme mit personenbezogenen Daten verpflichtend einsetzen.",
"type": "TECHNICAL",
"implementation_guidance": "MFA fuer alle administrativen Zugaenge und Systeme mit personenbezogenen Daten verpflichtend einsetzen.",
"evidence": [
"MFA-Konfiguration",
"Aktivierungsstatistik",
"Ausnahmeliste"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.5"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit",
"Integritaet"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.IAM.03",
"title": "Passwort-Policy",
"description": "Mindeststandards fuer Passwoerter definieren: Laenge, Komplexitaet, Aenderungsintervalle, Sperrung.",
"type": "TECHNICAL",
"implementation_guidance": "Mindeststandards fuer Passwoerter definieren: Laenge, Komplexitaet, Aenderungsintervalle, Sperrung.",
"evidence": [
"Passwort-Richtlinie",
"Technische Konfiguration",
"Compliance-Report"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.5.17"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.IAM.04",
"title": "Single Sign-On (SSO)",
"description": "SSO-Loesung implementieren fuer sichere und benutzerfreundliche Authentifizierung ueber alle Systeme.",
"type": "TECHNICAL",
"implementation_guidance": "SSO-Loesung implementieren fuer sichere und benutzerfreundliche Authentifizierung ueber alle Systeme.",
"evidence": [
"SSO-Konfiguration",
"Angebundene Systeme",
"Audit-Logs"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.5"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.IAM.05",
"title": "Benutzer-Provisioning/Deprovisioning",
"description": "Automatisierte Prozesse fuer Anlegen und Deaktivieren von Benutzerkonten bei Ein-/Austritt.",
"type": "TECHNICAL",
"implementation_guidance": "Automatisierte Prozesse fuer Anlegen und Deaktivieren von Benutzerkonten bei Ein-/Austritt.",
"evidence": [
"Provisioning-Workflows",
"Audit-Trail",
"SLA-Einhaltung"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1b)"
],
"iso27001": [
"A.5.18"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.IAM.06",
"title": "Service-Account-Management",
"description": "Service-Accounts inventarisieren, mit minimalen Rechten versehen und regelmaessig pruefen.",
"type": "TECHNICAL",
"implementation_guidance": "Service-Accounts inventarisieren, mit minimalen Rechten versehen und regelmaessig pruefen.",
"evidence": [
"Service-Account-Inventar",
"Berechtigungsmatrix",
"Review-Protokolle"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.5.18"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit",
"Nichtverkettung"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.IAM.07",
"title": "Privileged Access Management (PAM)",
"description": "Verwaltung privilegierter Zugaenge mit Session-Recording, Just-in-Time-Access und Genehmigungsworkflows.",
"type": "TECHNICAL",
"implementation_guidance": "Verwaltung privilegierter Zugaenge mit Session-Recording, Just-in-Time-Access und Genehmigungsworkflows.",
"evidence": [
"PAM-Konfiguration",
"Session-Logs",
"Genehmigungsprotokolle"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.2"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit",
"Integritaet"
]
},
"review_frequency": "QUARTERLY",
"priority": "CRITICAL",
"complexity": "HIGH"
},
{
"id": "TOM.IAM.08",
"title": "Biometrische Authentifizierung",
"description": "Bei Bedarf biometrische Verfahren einsetzen unter Beachtung der besonderen Schutzanforderungen Art. 9.",
"type": "TECHNICAL",
"implementation_guidance": "Bei Bedarf biometrische Verfahren einsetzen unter Beachtung der besonderen Schutzanforderungen Art. 9.",
"evidence": [
"DSFA",
"Konfiguration",
"Einwilligungsnachweise"
],
"applies_if": {
"field": "special_categories",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 9",
"Art. 32"
],
"iso27001": [
"A.8.5"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.IAM.09",
"title": "Session-Management",
"description": "Automatische Session-Timeouts, Inaktivitaets-Sperren und sichere Session-Tokens implementieren.",
"type": "TECHNICAL",
"implementation_guidance": "Automatische Session-Timeouts, Inaktivitaets-Sperren und sichere Session-Tokens implementieren.",
"evidence": [
"Session-Konfiguration",
"Timeout-Einstellungen",
"Sicherheitstests"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.5"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.IAM.10",
"title": "Account-Sperrung bei Fehlversuchen",
"description": "Automatische Kontosperrung nach konfigurierbarer Anzahl fehlgeschlagener Anmeldeversuche.",
"type": "TECHNICAL",
"implementation_guidance": "Automatische Kontosperrung nach konfigurierbarer Anzahl fehlgeschlagener Anmeldeversuche.",
"evidence": [
"Sperr-Konfiguration",
"Monitoring-Alerts",
"Entsperr-Prozess"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.5"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.IAM.11",
"title": "Identitaets-Federation",
"description": "Sichere Identity Federation fuer Drittland-Partner mit Standards wie SAML/OIDC.",
"type": "TECHNICAL",
"implementation_guidance": "Sichere Identity Federation fuer Drittland-Partner mit Standards wie SAML/OIDC.",
"evidence": [
"Federation-Konfiguration",
"Trust-Vereinbarungen",
"Audit-Logs"
],
"applies_if": {
"field": "third_country_transfer",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 32",
"Art. 44-49"
],
"iso27001": [
"A.8.5"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.IAM.12",
"title": "Selbstbedienungs-Passwort-Reset",
"description": "Sicheren Self-Service Passwort-Reset implementieren mit Identitaetsverifikation.",
"type": "TECHNICAL",
"implementation_guidance": "Sicheren Self-Service Passwort-Reset implementieren mit Identitaetsverifikation.",
"evidence": [
"Konfiguration",
"Nutzungsstatistik",
"Sicherheitstest"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.5"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "MEDIUM",
"complexity": "LOW"
},
{
"id": "TOM.IAM.13",
"title": "API-Authentifizierung und Token-Management",
"description": "Sichere API-Keys und OAuth2-Tokens mit Ablaufdatum, Rotation und Scope-Einschraenkung verwalten.",
"type": "TECHNICAL",
"implementation_guidance": "Sichere API-Keys und OAuth2-Tokens mit Ablaufdatum, Rotation und Scope-Einschraenkung verwalten.",
"evidence": [
"API-Key-Inventar",
"Token-Policies",
"Rotations-Logs"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.5"
],
"bsi": [
"APP.1"
],
"sdm": [
"Vertraulichkeit",
"Integritaet"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.IAM.14",
"title": "Conditional Access Policies",
"description": "Kontextabhaengige Zugangssteuerung basierend auf Geraetestatus, Standort, Risikolevel.",
"type": "TECHNICAL",
"implementation_guidance": "Kontextabhaengige Zugangssteuerung basierend auf Geraetestatus, Standort, Risikolevel.",
"evidence": [
"Policy-Konfiguration",
"Anwendungsberichte",
"Ausnahmen"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.5"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.IAM.15",
"title": "Hardware-Token/FIDO2",
"description": "Phishing-resistente Authentifizierung durch FIDO2/WebAuthn Hardware-Token fuer kritische Systeme.",
"type": "TECHNICAL",
"implementation_guidance": "Phishing-resistente Authentifizierung durch FIDO2/WebAuthn Hardware-Token fuer kritische Systeme.",
"evidence": [
"Token-Inventar",
"Verteilungsliste",
"Einsatzrichtlinie"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.5"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
}
]
},
{
"id": "AC",
"name": "Authorization & Least Privilege",
"objective": "Zugriff auf personenbezogene Daten nach dem Need-to-Know-Prinzip steuern und regelmaessig rezertifizieren",
"controls": [
{
"id": "TOM.AC.01",
"title": "Rollenbasierte Zugriffskontrolle (RBAC)",
"description": "RBAC-Modell implementieren mit klar definierten Rollen und minimalen Berechtigungen pro Rolle.",
"type": "TECHNICAL",
"implementation_guidance": "RBAC-Modell implementieren mit klar definierten Rollen und minimalen Berechtigungen pro Rolle.",
"evidence": [
"Rollenmatrix",
"Berechtigungskonzept",
"RBAC-Konfiguration"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1b)"
],
"iso27001": [
"A.5.15"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit",
"Nichtverkettung"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.AC.02",
"title": "Need-to-Know-Prinzip",
"description": "Zugriff auf personenbezogene Daten nur fuer Mitarbeiter die diese fuer ihre Aufgaben benoetigen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Zugriff auf personenbezogene Daten nur fuer Mitarbeiter die diese fuer ihre Aufgaben benoetigen.",
"evidence": [
"Berechtigungskonzept",
"Zugriffsantraege",
"Genehmigungsprotokolle"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 25(2)",
"Art. 32"
],
"iso27001": [
"A.5.15"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Datenminimierung",
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "CRITICAL",
"complexity": "LOW"
},
{
"id": "TOM.AC.03",
"title": "Zugriffsrezertifizierung",
"description": "Regelmaessige Ueberpruefung aller vergebenen Berechtigungen durch Vorgesetzte oder Dateneigentuemer.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Regelmaessige Ueberpruefung aller vergebenen Berechtigungen durch Vorgesetzte oder Dateneigentuemer.",
"evidence": [
"Rezertifizierungs-Protokolle",
"Aenderungsnachweise",
"Fristenueberwachung"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1d)"
],
"iso27001": [
"A.5.18"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.AC.04",
"title": "Attributbasierte Zugriffskontrolle (ABAC)",
"description": "Feingramulaere Zugriffssteuerung basierend auf Benutzer-Attributen, Datenklassifizierung und Kontext.",
"type": "TECHNICAL",
"implementation_guidance": "Feingramulaere Zugriffssteuerung basierend auf Benutzer-Attributen, Datenklassifizierung und Kontext.",
"evidence": [
"ABAC-Policies",
"Attribut-Schema",
"Test-Ergebnisse"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 25(1)",
"Art. 32"
],
"iso27001": [
"A.5.15"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit",
"Nichtverkettung"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.AC.05",
"title": "Trennung kritischer Funktionen (SoD)",
"description": "Separation of Duties sicherstellen um Interessenkonflikte und Missbrauchsrisiken zu minimieren.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Separation of Duties sicherstellen um Interessenkonflikte und Missbrauchsrisiken zu minimieren.",
"evidence": [
"SoD-Matrix",
"Rollenkonflikte-Analyse",
"Ausnahmen-Register"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.5.3"
],
"bsi": [
"ORP.1"
],
"sdm": [
"Integritaet",
"Nichtverkettung"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.AC.06",
"title": "Datenklassifizierung und Labeling",
"description": "Systematische Klassifizierung aller Daten nach Schutzbedarf (oeffentlich, intern, vertraulich, streng vertraulich).",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Systematische Klassifizierung aller Daten nach Schutzbedarf (oeffentlich, intern, vertraulich, streng vertraulich).",
"evidence": [
"Klassifizierungsschema",
"Dateninventar",
"Label-Statistik"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.5.12"
],
"bsi": [
"CON.1"
],
"sdm": [
"Vertraulichkeit",
"Integritaet"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.AC.07",
"title": "Zugriff auf besondere Datenkategorien",
"description": "Zusaetzliche Zugriffsbeschraenkungen fuer Art. 9/10 Daten mit expliziter Genehmigung und Protokollierung.",
"type": "TECHNICAL",
"implementation_guidance": "Zusaetzliche Zugriffsbeschraenkungen fuer Art. 9/10 Daten mit expliziter Genehmigung und Protokollierung.",
"evidence": [
"Sonder-Berechtigungskonzept",
"Genehmigungsnachweise",
"Zugriffsprotokolle"
],
"applies_if": {
"field": "special_categories",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 9",
"Art. 10"
],
"iso27001": [
"A.5.15"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit",
"Nichtverkettung"
]
},
"review_frequency": "QUARTERLY",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.AC.08",
"title": "Temporaere Zugriffsrechte",
"description": "Zeitlich befristete Zugaenge fuer Projekte, externe Berater oder Notfaelle mit automatischem Ablauf.",
"type": "TECHNICAL",
"implementation_guidance": "Zeitlich befristete Zugaenge fuer Projekte, externe Berater oder Notfaelle mit automatischem Ablauf.",
"evidence": [
"Befristungsrichtlinie",
"Ablauf-Konfiguration",
"Review-Protokolle"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.5.18"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "MEDIUM",
"complexity": "MEDIUM"
},
{
"id": "TOM.AC.09",
"title": "Zugriffsentzug bei Rollenwechsel",
"description": "Bei internem Wechsel alte Berechtigungen entziehen und neue rollenkonform vergeben.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Bei internem Wechsel alte Berechtigungen entziehen und neue rollenkonform vergeben.",
"evidence": [
"Wechsel-Checkliste",
"Berechtigungs-Audit",
"Freigabeprotokolle"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.5.18"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.AC.10",
"title": "Protokollierung von Zugriffsaenderungen",
"description": "Jede Aenderung an Zugriffsrechten lueckenlos protokollieren mit Zeitstempel, Antragsteller und Genehmiger.",
"type": "TECHNICAL",
"implementation_guidance": "Jede Aenderung an Zugriffsrechten lueckenlos protokollieren mit Zeitstempel, Antragsteller und Genehmiger.",
"evidence": [
"Aenderungs-Audit-Trail",
"Log-Archivierung",
"Integritaetsschutz"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 5(2)"
],
"iso27001": [
"A.8.15"
],
"bsi": [
"OPS.1.2"
],
"sdm": [
"Transparenz",
"Integritaet"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.AC.11",
"title": "Mandantentrennung",
"description": "Strikte Trennung von Mandanten-/Kundendaten auf Datenbank- und Anwendungsebene.",
"type": "TECHNICAL",
"implementation_guidance": "Strikte Trennung von Mandanten-/Kundendaten auf Datenbank- und Anwendungsebene.",
"evidence": [
"Mandantenkonzept",
"Trennungstests",
"Konfiguration"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 32(1b)"
],
"iso27001": [
"A.5.15"
],
"bsi": [
"APP.1"
],
"sdm": [
"Nichtverkettung",
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "CRITICAL",
"complexity": "HIGH"
},
{
"id": "TOM.AC.12",
"title": "Datenmaskierung und Anonymisierung",
"description": "Produktionsdaten in Test- und Entwicklungsumgebungen maskieren oder anonymisieren.",
"type": "TECHNICAL",
"implementation_guidance": "Produktionsdaten in Test- und Entwicklungsumgebungen maskieren oder anonymisieren.",
"evidence": [
"Maskierungsregeln",
"Anonymisierungsnachweise",
"Test-Compliance-Report"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 25(1)",
"Art. 32"
],
"iso27001": [
"A.8.11"
],
"bsi": [
"CON.1"
],
"sdm": [
"Datenminimierung",
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.AC.13",
"title": "Break-Glass-Verfahren",
"description": "Notfall-Zugriffsverfahren fuer Ausnahmesituationen mit nachtraeglicher Genehmigung und Protokollierung.",
"type": "TECHNICAL",
"implementation_guidance": "Notfall-Zugriffsverfahren fuer Ausnahmesituationen mit nachtraeglicher Genehmigung und Protokollierung.",
"evidence": [
"Break-Glass-Policy",
"Nutzungsprotokolle",
"Review-Berichte"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.5.18"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit",
"Verfuegbarkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.AC.14",
"title": "Zugriffskontrolle fuer Kinderdaten",
"description": "Besonders restriktive Zugriffskontrollen fuer Systeme mit Daten von Minderjaehrigen.",
"type": "TECHNICAL",
"implementation_guidance": "Besonders restriktive Zugriffskontrollen fuer Systeme mit Daten von Minderjaehrigen.",
"evidence": [
"Sonderberechtigungskonzept",
"Altersverifikation",
"Zugriffsprotokolle"
],
"applies_if": {
"field": "vulnerable_persons",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 8",
"ErwGr. 38"
],
"iso27001": [
"A.5.15"
],
"bsi": [
"ORP.4"
],
"sdm": [
"Vertraulichkeit",
"Datenminimierung"
]
},
"review_frequency": "QUARTERLY",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.AC.15",
"title": "Zero-Trust-Zugriffsmodell",
"description": "Vertrauenswuerdigkeit bei jedem Zugriff neu bewerten statt implizit durch Netzwerkzugehoerigkeit.",
"type": "TECHNICAL",
"implementation_guidance": "Vertrauenswuerdigkeit bei jedem Zugriff neu bewerten statt implizit durch Netzwerkzugehoerigkeit.",
"evidence": [
"Zero-Trust-Architektur",
"Policy-Engine-Konfiguration",
"Bewertungsregeln"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.5"
],
"bsi": [
"NET.1.1"
],
"sdm": [
"Vertraulichkeit",
"Integritaet"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "HIGH"
}
]
},
{
"id": "CRYPTO",
"name": "Encryption & Key Management",
"objective": "Vertraulichkeit und Integritaet personenbezogener Daten durch angemessene Verschluesselung sicherstellen",
"controls": [
{
"id": "TOM.CRYPTO.01",
"title": "TLS/HTTPS fuer alle Verbindungen",
"description": "Ausschliesslich TLS 1.2+ fuer alle Netzwerkverbindungen verwenden, unsichere Protokolle deaktivieren.",
"type": "TECHNICAL",
"implementation_guidance": "Ausschliesslich TLS 1.2+ fuer alle Netzwerkverbindungen verwenden, unsichere Protokolle deaktivieren.",
"evidence": [
"TLS-Konfiguration",
"SSL-Scan-Berichte",
"Cipher-Suite-Pruefung"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1a)"
],
"iso27001": [
"A.8.24"
],
"bsi": [
"CON.1"
],
"sdm": [
"Vertraulichkeit",
"Integritaet"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "CRITICAL",
"complexity": "LOW"
},
{
"id": "TOM.CRYPTO.02",
"title": "Verschluesselung ruhender Daten (at rest)",
"description": "Datenbanken, Dateisysteme und Backups mit AES-256 oder vergleichbar verschluesseln.",
"type": "TECHNICAL",
"implementation_guidance": "Datenbanken, Dateisysteme und Backups mit AES-256 oder vergleichbar verschluesseln.",
"evidence": [
"Verschluesselungskonfiguration",
"Key-Inventar",
"Audit-Berichte"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1a)"
],
"iso27001": [
"A.8.24"
],
"bsi": [
"CON.1"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.CRYPTO.03",
"title": "E-Mail-Verschluesselung",
"description": "S/MIME oder PGP fuer den Versand personenbezogener Daten per E-Mail einsetzen.",
"type": "TECHNICAL",
"implementation_guidance": "S/MIME oder PGP fuer den Versand personenbezogener Daten per E-Mail einsetzen.",
"evidence": [
"E-Mail-Policy",
"Verschluesselungskonfiguration",
"Zertifikatsverwaltung"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1a)"
],
"iso27001": [
"A.8.24"
],
"bsi": [
"CON.1"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.CRYPTO.04",
"title": "Key-Management-Prozess",
"description": "Dokumentierten Prozess fuer Erstellung, Verteilung, Rotation und Vernichtung kryptographischer Schluessel.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Dokumentierten Prozess fuer Erstellung, Verteilung, Rotation und Vernichtung kryptographischer Schluessel.",
"evidence": [
"Key-Management-Policy",
"Schluesselinventar",
"Rotationsplan"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1a)"
],
"iso27001": [
"A.8.24"
],
"bsi": [
"CON.1"
],
"sdm": [
"Vertraulichkeit",
"Integritaet"
]
},
"review_frequency": "ANNUAL",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.CRYPTO.05",
"title": "Schluessel-Rotation",
"description": "Kryptographische Schluessel regelmaessig rotieren gemaess definiertem Zeitplan und bei Kompromittierungsverdacht.",
"type": "TECHNICAL",
"implementation_guidance": "Kryptographische Schluessel regelmaessig rotieren gemaess definiertem Zeitplan und bei Kompromittierungsverdacht.",
"evidence": [
"Rotationsplan",
"Rotations-Logs",
"Automatisierungsnachweis"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1a)"
],
"iso27001": [
"A.8.24"
],
"bsi": [
"CON.1"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.CRYPTO.06",
"title": "Hardware Security Module (HSM)",
"description": "HSM fuer die Speicherung und Verwaltung von Master-Keys in Hochsicherheitsumgebungen einsetzen.",
"type": "TECHNICAL",
"implementation_guidance": "HSM fuer die Speicherung und Verwaltung von Master-Keys in Hochsicherheitsumgebungen einsetzen.",
"evidence": [
"HSM-Dokumentation",
"Zugriffsprotokolle",
"FIPS-140-2-Zertifikat"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 32(1a)"
],
"iso27001": [
"A.8.24"
],
"bsi": [
"CON.1"
],
"sdm": [
"Vertraulichkeit",
"Integritaet"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.CRYPTO.07",
"title": "Datei-/Ordner-Verschluesselung",
"description": "Endgeraete-Verschluesselung (BitLocker, FileVault) fuer alle Laptops und mobilen Geraete.",
"type": "TECHNICAL",
"implementation_guidance": "Endgeraete-Verschluesselung (BitLocker, FileVault) fuer alle Laptops und mobilen Geraete.",
"evidence": [
"Verschluesselungs-Policy",
"Aktivierungsstatus",
"MDM-Report"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1a)"
],
"iso27001": [
"A.8.1"
],
"bsi": [
"SYS.2.1"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.CRYPTO.08",
"title": "Verschluesselung bei Drittlandtransfer",
"description": "Ende-zu-Ende-Verschluesselung als ergaenzende Massnahme bei Datentransfers in Drittlaender.",
"type": "TECHNICAL",
"implementation_guidance": "Ende-zu-Ende-Verschluesselung als ergaenzende Massnahme bei Datentransfers in Drittlaender.",
"evidence": [
"E2E-Konfiguration",
"Schluesselhoheit-Nachweis",
"Transfer-Protokolle"
],
"applies_if": {
"field": "third_country_transfer",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 32(1a)",
"Art. 46"
],
"iso27001": [
"A.8.24"
],
"bsi": [
"CON.1"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "CRITICAL",
"complexity": "HIGH"
},
{
"id": "TOM.CRYPTO.09",
"title": "Datenbank-Verschluesselung (TDE)",
"description": "Transparent Data Encryption fuer Datenbanken mit personenbezogenen Daten aktivieren.",
"type": "TECHNICAL",
"implementation_guidance": "Transparent Data Encryption fuer Datenbanken mit personenbezogenen Daten aktivieren.",
"evidence": [
"TDE-Konfiguration",
"Key-Management",
"Performance-Test"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1a)"
],
"iso27001": [
"A.8.24"
],
"bsi": [
"CON.1"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.CRYPTO.10",
"title": "Verschluesselung besonderer Kategorien",
"description": "Verstaerkte Verschluesselung (z.B. Feldverschluesselung) fuer Art. 9/10 Daten auf Anwendungsebene.",
"type": "TECHNICAL",
"implementation_guidance": "Verstaerkte Verschluesselung (z.B. Feldverschluesselung) fuer Art. 9/10 Daten auf Anwendungsebene.",
"evidence": [
"Feldverschluesselungskonzept",
"Schluesselmanagement",
"Zugriffsprotokolle"
],
"applies_if": {
"field": "special_categories",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 9",
"Art. 32(1a)"
],
"iso27001": [
"A.8.24"
],
"bsi": [
"CON.1"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "CRITICAL",
"complexity": "HIGH"
},
{
"id": "TOM.CRYPTO.11",
"title": "Zertifikatsverwaltung (PKI)",
"description": "Zentralisierte Verwaltung aller digitalen Zertifikate mit Ablaufueberwachung und automatischer Erneuerung.",
"type": "TECHNICAL",
"implementation_guidance": "Zentralisierte Verwaltung aller digitalen Zertifikate mit Ablaufueberwachung und automatischer Erneuerung.",
"evidence": [
"Zertifikatsinventar",
"Ablaufueberwachung",
"PKI-Dokumentation"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1a)"
],
"iso27001": [
"A.8.24"
],
"bsi": [
"CON.1"
],
"sdm": [
"Vertraulichkeit",
"Integritaet"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.CRYPTO.12",
"title": "Sichere Zufallszahlengenerierung",
"description": "Kryptographisch sichere Zufallszahlengeneratoren (CSPRNG) fuer Schluessel, Tokens und IDs verwenden.",
"type": "TECHNICAL",
"implementation_guidance": "Kryptographisch sichere Zufallszahlengeneratoren (CSPRNG) fuer Schluessel, Tokens und IDs verwenden.",
"evidence": [
"Implementierungsdokumentation",
"Code-Review",
"Test-Berichte"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.24"
],
"bsi": [
"CON.1"
],
"sdm": [
"Integritaet"
]
},
"review_frequency": "ANNUAL",
"priority": "MEDIUM",
"complexity": "LOW"
},
{
"id": "TOM.CRYPTO.13",
"title": "Tokenisierung sensibler Daten",
"description": "Ersetzen sensibler Daten durch nicht-reversible Token wo moeglich zur Risikominimierung.",
"type": "TECHNICAL",
"implementation_guidance": "Ersetzen sensibler Daten durch nicht-reversible Token wo moeglich zur Risikominimierung.",
"evidence": [
"Tokenisierungskonzept",
"Mapping-Schutz",
"Einsatzbereiche"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 25(1)",
"Art. 32"
],
"iso27001": [
"A.8.11"
],
"bsi": [
"CON.1"
],
"sdm": [
"Datenminimierung",
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.CRYPTO.14",
"title": "Post-Quantum-Readiness",
"description": "Kryptographische Verfahren auf Post-Quantum-Sicherheit evaluieren und Migrationsplan erstellen.",
"type": "TECHNICAL",
"implementation_guidance": "Kryptographische Verfahren auf Post-Quantum-Sicherheit evaluieren und Migrationsplan erstellen.",
"evidence": [
"Evaluierungsbericht",
"Migrationsplan",
"Algorithmus-Inventar"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.24"
],
"bsi": [
"CON.1"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "MEDIUM",
"complexity": "HIGH"
},
{
"id": "TOM.CRYPTO.15",
"title": "Verschluesselung mobiler Datentraeger",
"description": "Alle mobilen Datentraeger (USB, externe Festplatten) verschluesseln oder deren Nutzung einschraenken.",
"type": "TECHNICAL",
"implementation_guidance": "Alle mobilen Datentraeger (USB, externe Festplatten) verschluesseln oder deren Nutzung einschraenken.",
"evidence": [
"USB-Policy",
"Verschluesselungstool",
"DLP-Konfiguration"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1a)"
],
"iso27001": [
"A.8.1"
],
"bsi": [
"SYS.4.5"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
}
]
},
{
"id": "LOG",
"name": "Logging, Monitoring & Detection",
"objective": "Lueckenlose Protokollierung und proaktive Ueberwachung zur Erkennung und Aufklaerung von Datenschutzvorfaellen",
"controls": [
{
"id": "TOM.LOG.01",
"title": "Zentrale Protokollierung",
"description": "Alle sicherheits- und datenschutzrelevanten Ereignisse zentral sammeln und korrelieren.",
"type": "TECHNICAL",
"implementation_guidance": "Alle sicherheits- und datenschutzrelevanten Ereignisse zentral sammeln und korrelieren.",
"evidence": [
"SIEM/Log-Management",
"Log-Quellen-Inventar",
"Konfiguration"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 5(2)",
"Art. 32(1d)"
],
"iso27001": [
"A.8.15"
],
"bsi": [
"OPS.1.2"
],
"sdm": [
"Transparenz",
"Integritaet"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.LOG.02",
"title": "Audit-Trail personenbezogener Zugriffe",
"description": "Jeden Zugriff auf personenbezogene Daten protokollieren mit Wer, Wann, Was, Warum.",
"type": "TECHNICAL",
"implementation_guidance": "Jeden Zugriff auf personenbezogene Daten protokollieren mit Wer, Wann, Was, Warum.",
"evidence": [
"Zugriffsprotokolle",
"Audit-Trail-Konfiguration",
"Stichproben-Reports"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 5(2)"
],
"iso27001": [
"A.8.15"
],
"bsi": [
"OPS.1.2"
],
"sdm": [
"Transparenz",
"Nichtverkettung"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.LOG.03",
"title": "Integritaetsschutz fuer Logs",
"description": "Protokolldaten gegen nachtraegliche Manipulation schuetzen (Write-Once, Signierung, WORM).",
"type": "TECHNICAL",
"implementation_guidance": "Protokolldaten gegen nachtraegliche Manipulation schuetzen (Write-Once, Signierung, WORM).",
"evidence": [
"Log-Integritaetskonfiguration",
"Hash-Pruefprotokolle",
"Zugriffsschutz"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 5(2)"
],
"iso27001": [
"A.8.15"
],
"bsi": [
"OPS.1.2"
],
"sdm": [
"Integritaet"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.LOG.04",
"title": "Aufbewahrungsfristen fuer Logs",
"description": "Log-Retention-Policies definieren: ausreichend lang fuer Nachvollziehbarkeit, konform mit Speicherbegrenzung.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Log-Retention-Policies definieren: ausreichend lang fuer Nachvollziehbarkeit, konform mit Speicherbegrenzung.",
"evidence": [
"Retention-Policy",
"Loeschautomatisierung",
"Compliance-Nachweis"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 5(1e)"
],
"iso27001": [
"A.8.15"
],
"bsi": [
"OPS.1.2"
],
"sdm": [
"Speicherbegrenzung",
"Transparenz"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.LOG.05",
"title": "Security Information Event Management (SIEM)",
"description": "SIEM-System zur Korrelation und Analyse von Sicherheitsereignissen in Echtzeit einsetzen.",
"type": "TECHNICAL",
"implementation_guidance": "SIEM-System zur Korrelation und Analyse von Sicherheitsereignissen in Echtzeit einsetzen.",
"evidence": [
"SIEM-Architektur",
"Regelwerk",
"Alert-Konfiguration",
"Tuning-Reports"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1d)"
],
"iso27001": [
"A.8.16"
],
"bsi": [
"OPS.1.2"
],
"sdm": [
"Integritaet",
"Verfuegbarkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.LOG.06",
"title": "Alerting bei Anomalien",
"description": "Automatische Alerts bei ungewoehnlichen Zugriffsmustern, massenhaften Downloads oder Rechteeskalationen.",
"type": "TECHNICAL",
"implementation_guidance": "Automatische Alerts bei ungewoehnlichen Zugriffsmustern, massenhaften Downloads oder Rechteeskalationen.",
"evidence": [
"Alert-Regeln",
"Eskalationsprozess",
"False-Positive-Rate"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1d)"
],
"iso27001": [
"A.8.16"
],
"bsi": [
"DER.1"
],
"sdm": [
"Integritaet",
"Vertraulichkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.LOG.07",
"title": "Datenzugriffs-Monitoring bei Art. 9 Daten",
"description": "Verstaerktes Monitoring und Alerting fuer Zugriffe auf besondere Datenkategorien.",
"type": "TECHNICAL",
"implementation_guidance": "Verstaerktes Monitoring und Alerting fuer Zugriffe auf besondere Datenkategorien.",
"evidence": [
"Monitoring-Regeln",
"Alert-Protokolle",
"Review-Berichte"
],
"applies_if": {
"field": "special_categories",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 9",
"Art. 32"
],
"iso27001": [
"A.8.16"
],
"bsi": [
"DER.1"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.LOG.08",
"title": "Login-/Logout-Protokollierung",
"description": "Erfolgreiche und fehlgeschlagene Anmeldeversuche mit Zeitstempel, IP und Geraet protokollieren.",
"type": "TECHNICAL",
"implementation_guidance": "Erfolgreiche und fehlgeschlagene Anmeldeversuche mit Zeitstempel, IP und Geraet protokollieren.",
"evidence": [
"Login-Logs",
"Konfiguration",
"Auswertungs-Reports"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1d)"
],
"iso27001": [
"A.8.15"
],
"bsi": [
"OPS.1.2"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.LOG.09",
"title": "Administrationsaktivitaeten-Logging",
"description": "Alle administrativen Taetigkeiten (Konfigurationsaenderungen, Benutzeraenderungen) protokollieren.",
"type": "TECHNICAL",
"implementation_guidance": "Alle administrativen Taetigkeiten (Konfigurationsaenderungen, Benutzeraenderungen) protokollieren.",
"evidence": [
"Admin-Audit-Trail",
"Change-Log",
"Four-Eyes-Nachweis"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 5(2)"
],
"iso27001": [
"A.8.15"
],
"bsi": [
"OPS.1.2"
],
"sdm": [
"Transparenz",
"Integritaet"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.LOG.10",
"title": "Datenloesch-Protokollierung",
"description": "Jede Loeschung personenbezogener Daten dokumentieren mit Zeitpunkt, Umfang und Rechtsgrundlage.",
"type": "TECHNICAL",
"implementation_guidance": "Jede Loeschung personenbezogener Daten dokumentieren mit Zeitpunkt, Umfang und Rechtsgrundlage.",
"evidence": [
"Loeschprotokolle",
"Automatisierungsnachweis",
"Stichproben"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 5(2)",
"Art. 17"
],
"iso27001": [
"A.8.10"
],
"bsi": [
"OPS.1.2"
],
"sdm": [
"Transparenz",
"Speicherbegrenzung"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.LOG.11",
"title": "Netzwerk-Traffic-Monitoring",
"description": "Netzwerkverkehr auf ungewoehnliche Muster, Datenexfiltration und unerlaubte Verbindungen ueberwachen.",
"type": "TECHNICAL",
"implementation_guidance": "Netzwerkverkehr auf ungewoehnliche Muster, Datenexfiltration und unerlaubte Verbindungen ueberwachen.",
"evidence": [
"Flow-Analyse-Berichte",
"IDS-Konfiguration",
"Alert-Reports"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.16"
],
"bsi": [
"NET.3.2"
],
"sdm": [
"Vertraulichkeit",
"Integritaet"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.LOG.12",
"title": "Grossvolumige Zugriffs-Alerts",
"description": "Alerts bei massenhaftem Datenexport oder -zugriff der auf Datenabfluss hindeuten koennte.",
"type": "TECHNICAL",
"implementation_guidance": "Alerts bei massenhaftem Datenexport oder -zugriff der auf Datenabfluss hindeuten koennte.",
"evidence": [
"Alert-Schwellwerte",
"DLP-Integration",
"Eskalationsprotokoll"
],
"applies_if": {
"field": "large_scale",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 32",
"Art. 33"
],
"iso27001": [
"A.8.16"
],
"bsi": [
"DER.1"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.LOG.13",
"title": "Log-Anonymisierung und Pseudonymisierung",
"description": "Personenbezogene Daten in Logs nach Moeglichkeit pseudonymisieren oder anonymisieren.",
"type": "TECHNICAL",
"implementation_guidance": "Personenbezogene Daten in Logs nach Moeglichkeit pseudonymisieren oder anonymisieren.",
"evidence": [
"Anonymisierungsregeln",
"Konfiguration",
"Stichproben"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 25(1)",
"Art. 5(1c)"
],
"iso27001": [
"A.8.11"
],
"bsi": [
"CON.1"
],
"sdm": [
"Datenminimierung"
]
},
"review_frequency": "ANNUAL",
"priority": "MEDIUM",
"complexity": "MEDIUM"
},
{
"id": "TOM.LOG.14",
"title": "24/7 Security Operations Center (SOC)",
"description": "Rund-um-die-Uhr-Ueberwachung durch internes oder externes SOC fuer kritische Systeme.",
"type": "TECHNICAL",
"implementation_guidance": "Rund-um-die-Uhr-Ueberwachung durch internes oder externes SOC fuer kritische Systeme.",
"evidence": [
"SOC-Vertrag/Aufstellung",
"Eskalationsprozess",
"Incident-Reports"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.16"
],
"bsi": [
"DER.1"
],
"sdm": [
"Verfuegbarkeit",
"Integritaet"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.LOG.15",
"title": "Forensik-Faehigkeit",
"description": "Log-Infrastruktur so gestalten, dass forensische Analysen nach Sicherheitsvorfaellen moeglich sind.",
"type": "TECHNICAL",
"implementation_guidance": "Log-Infrastruktur so gestalten, dass forensische Analysen nach Sicherheitsvorfaellen moeglich sind.",
"evidence": [
"Forensik-Richtlinie",
"Log-Archivierung",
"Chain-of-Custody-Prozess"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 33",
"Art. 34"
],
"iso27001": [
"A.5.28"
],
"bsi": [
"DER.2.2"
],
"sdm": [
"Integritaet",
"Transparenz"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "HIGH"
}
]
},
{
"id": "SDLC",
"name": "Secure Development",
"objective": "Datenschutz und Sicherheit fruehzeitig in den Software-Entwicklungsprozess integrieren",
"controls": [
{
"id": "TOM.SDLC.01",
"title": "Secure Coding Guidelines",
"description": "Verbindliche Richtlinien fuer sichere Softwareentwicklung (OWASP, SANS) etablieren und schulen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Verbindliche Richtlinien fuer sichere Softwareentwicklung (OWASP, SANS) etablieren und schulen.",
"evidence": [
"Secure Coding Policy",
"Schulungsnachweise",
"Code-Standards"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 25(1)",
"Art. 32"
],
"iso27001": [
"A.8.25"
],
"bsi": [
"APP.1"
],
"sdm": [
"Integritaet",
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.SDLC.02",
"title": "Code-Review-Prozess",
"description": "Peer-Reviews fuer alle Codeaenderungen mit Fokus auf Sicherheits- und Datenschutzaspekte.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Peer-Reviews fuer alle Codeaenderungen mit Fokus auf Sicherheits- und Datenschutzaspekte.",
"evidence": [
"Review-Policy",
"Pull-Request-Statistik",
"Review-Checkliste"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 25(1)"
],
"iso27001": [
"A.8.25"
],
"bsi": [
"APP.1"
],
"sdm": [
"Integritaet"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.SDLC.03",
"title": "Statische Code-Analyse (SAST)",
"description": "Automatisierte SAST-Tools in der CI/CD-Pipeline fuer Sicherheitsluecken-Erkennung einsetzen.",
"type": "TECHNICAL",
"implementation_guidance": "Automatisierte SAST-Tools in der CI/CD-Pipeline fuer Sicherheitsluecken-Erkennung einsetzen.",
"evidence": [
"SAST-Tool-Konfiguration",
"Scan-Berichte",
"Behebungsquoten"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.25"
],
"bsi": [
"APP.1"
],
"sdm": [
"Integritaet"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.SDLC.04",
"title": "Dependency-/Supply-Chain-Scanning",
"description": "Automatisierte Pruefung von Abhaengigkeiten auf bekannte Schwachstellen (SCA) und Lizenzen.",
"type": "TECHNICAL",
"implementation_guidance": "Automatisierte Pruefung von Abhaengigkeiten auf bekannte Schwachstellen (SCA) und Lizenzen.",
"evidence": [
"SCA-Tool-Konfiguration",
"SBOM",
"Vulnerability-Reports"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.25"
],
"bsi": [
"APP.1"
],
"sdm": [
"Integritaet"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.SDLC.05",
"title": "Secrets-Scanning",
"description": "Automatisierte Erkennung von hartcodierten Zugangsdaten, API-Keys und Tokens in Code-Repositories.",
"type": "TECHNICAL",
"implementation_guidance": "Automatisierte Erkennung von hartcodierten Zugangsdaten, API-Keys und Tokens in Code-Repositories.",
"evidence": [
"Scanner-Konfiguration",
"Findings-Report",
"Remediation-Tracking"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.25"
],
"bsi": [
"APP.1"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "CRITICAL",
"complexity": "LOW"
},
{
"id": "TOM.SDLC.06",
"title": "Privacy by Design in der Entwicklung",
"description": "Datenschutzanforderungen als fester Bestandteil in User Stories, Akzeptanzkriterien und Definition of Done.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Datenschutzanforderungen als fester Bestandteil in User Stories, Akzeptanzkriterien und Definition of Done.",
"evidence": [
"DoD-Checkliste",
"Story-Templates",
"Sprint-Review-Protokolle"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 25(1)"
],
"iso27001": [
"A.8.25"
],
"bsi": [
"APP.1"
],
"sdm": [
"Datenminimierung",
"Zweckbindung"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.SDLC.07",
"title": "Penetration Testing",
"description": "Regelmaessige Penetration Tests durch interne oder externe Experten fuer kritische Anwendungen.",
"type": "TECHNICAL",
"implementation_guidance": "Regelmaessige Penetration Tests durch interne oder externe Experten fuer kritische Anwendungen.",
"evidence": [
"Pentest-Berichte",
"Massnahmenplan",
"Nachtest-Ergebnisse"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1d)"
],
"iso27001": [
"A.8.8"
],
"bsi": [
"DER.3.1"
],
"sdm": [
"Integritaet",
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.SDLC.08",
"title": "Getrennte Umgebungen (Dev/Staging/Prod)",
"description": "Strikte Trennung von Entwicklungs-, Test- und Produktionsumgebungen mit eigenen Zugaengen.",
"type": "TECHNICAL",
"implementation_guidance": "Strikte Trennung von Entwicklungs-, Test- und Produktionsumgebungen mit eigenen Zugaengen.",
"evidence": [
"Umgebungsarchitektur",
"Zugangskonzept",
"Netzwerktrennung"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1b)"
],
"iso27001": [
"A.8.31"
],
"bsi": [
"APP.1"
],
"sdm": [
"Nichtverkettung",
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.SDLC.09",
"title": "CI/CD Security Gates",
"description": "Automatisierte Sicherheitschecks als Quality Gates in der Deployment-Pipeline.",
"type": "TECHNICAL",
"implementation_guidance": "Automatisierte Sicherheitschecks als Quality Gates in der Deployment-Pipeline.",
"evidence": [
"Pipeline-Konfiguration",
"Gate-Kriterien",
"Compliance-Rate"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.25"
],
"bsi": [
"APP.1"
],
"sdm": [
"Integritaet"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.SDLC.10",
"title": "DSGVO-Testdaten-Management",
"description": "Keine Produktionsdaten in Test-Umgebungen verwenden; stattdessen synthetische oder anonymisierte Testdaten.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Keine Produktionsdaten in Test-Umgebungen verwenden; stattdessen synthetische oder anonymisierte Testdaten.",
"evidence": [
"Testdaten-Policy",
"Anonymisierungstool",
"Compliance-Nachweis"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 25(1)",
"Art. 5(1c)"
],
"iso27001": [
"A.8.33"
],
"bsi": [
"APP.1"
],
"sdm": [
"Datenminimierung"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.SDLC.11",
"title": "Threat Modeling",
"description": "Bei neuen Features systematische Bedrohungsanalyse durchfuehren (STRIDE, LINDDUN) mit Datenschutzfokus.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Bei neuen Features systematische Bedrohungsanalyse durchfuehren (STRIDE, LINDDUN) mit Datenschutzfokus.",
"evidence": [
"Threat-Model-Dokumente",
"Massnahmenableitung",
"Review-Protokolle"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 25(1)",
"Art. 35"
],
"iso27001": [
"A.5.8"
],
"bsi": [
"CON.2"
],
"sdm": [
"Integritaet",
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.SDLC.12",
"title": "API-Security-Standards",
"description": "REST/GraphQL APIs nach OWASP API Security Top 10 absichern mit Rate-Limiting, Input-Validation, AuthZ.",
"type": "TECHNICAL",
"implementation_guidance": "REST/GraphQL APIs nach OWASP API Security Top 10 absichern mit Rate-Limiting, Input-Validation, AuthZ.",
"evidence": [
"API-Security-Richtlinie",
"Scan-Berichte",
"Test-Ergebnisse"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.25"
],
"bsi": [
"APP.1"
],
"sdm": [
"Integritaet",
"Vertraulichkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.SDLC.13",
"title": "Security-Champions-Programm",
"description": "In jedem Entwicklungsteam einen Security Champion ausbilden als Ansprechpartner fuer Sicherheitsfragen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "In jedem Entwicklungsteam einen Security Champion ausbilden als Ansprechpartner fuer Sicherheitsfragen.",
"evidence": [
"Champion-Liste",
"Schulungsnachweise",
"Aktivitaetsprotokolle"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.6.3"
],
"bsi": [
"ORP.3"
],
"sdm": [
"Integritaet"
]
},
"review_frequency": "ANNUAL",
"priority": "MEDIUM",
"complexity": "LOW"
},
{
"id": "TOM.SDLC.14",
"title": "Bug-Bounty/Responsible-Disclosure",
"description": "Programm fuer verantwortungsvolle Offenlegung von Schwachstellen durch externe Sicherheitsforscher.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Programm fuer verantwortungsvolle Offenlegung von Schwachstellen durch externe Sicherheitsforscher.",
"evidence": [
"Disclosure-Policy",
"Kontaktinformationen",
"Belohnungsrichtlinie"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 32(1d)"
],
"iso27001": [
"A.5.7"
],
"bsi": [
"DER.3.1"
],
"sdm": [
"Integritaet"
]
},
"review_frequency": "ANNUAL",
"priority": "MEDIUM",
"complexity": "MEDIUM"
},
{
"id": "TOM.SDLC.15",
"title": "Sichere Software-Lieferkette",
"description": "Integritaet der gesamten Build- und Deploy-Pipeline sicherstellen (Signierung, SBOM, Provenance).",
"type": "TECHNICAL",
"implementation_guidance": "Integritaet der gesamten Build- und Deploy-Pipeline sicherstellen (Signierung, SBOM, Provenance).",
"evidence": [
"SBOM",
"Signierungskonfiguration",
"Pipeline-Audit",
"Provenance-Logs"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.5.21"
],
"bsi": [
"APP.1"
],
"sdm": [
"Integritaet"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "HIGH"
}
]
},
{
"id": "OPS",
"name": "Operations & Hardening",
"objective": "Sichere Konfiguration und laufende Haertung aller IT-Systeme gewaehrleisten",
"controls": [
{
"id": "TOM.OPS.01",
"title": "Patch-Management-Prozess",
"description": "Zeitnahe Installation von Sicherheits-Patches mit definierten SLAs (kritisch: 24h, hoch: 7 Tage).",
"type": "TECHNICAL",
"implementation_guidance": "Zeitnahe Installation von Sicherheits-Patches mit definierten SLAs (kritisch: 24h, hoch: 7 Tage).",
"evidence": [
"Patch-Policy",
"Patch-Status-Reports",
"SLA-Einhaltung"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.8"
],
"bsi": [
"OPS.1.1"
],
"sdm": [
"Integritaet",
"Verfuegbarkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.OPS.02",
"title": "System-Haertung (Hardening)",
"description": "Betriebssysteme und Anwendungen nach CIS-Benchmarks oder BSI-Vorgaben haerten.",
"type": "TECHNICAL",
"implementation_guidance": "Betriebssysteme und Anwendungen nach CIS-Benchmarks oder BSI-Vorgaben haerten.",
"evidence": [
"Hardening-Checklisten",
"CIS-Benchmark-Reports",
"Konfigurationsdokumentation"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.9"
],
"bsi": [
"SYS.1.1"
],
"sdm": [
"Integritaet",
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.OPS.03",
"title": "Vulnerability Management",
"description": "Regelmaessige Schwachstellen-Scans und systematische Behebung nach Risikobewertung.",
"type": "TECHNICAL",
"implementation_guidance": "Regelmaessige Schwachstellen-Scans und systematische Behebung nach Risikobewertung.",
"evidence": [
"Scan-Berichte",
"Behebungs-Tracking",
"Risikobewertungen"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1d)"
],
"iso27001": [
"A.8.8"
],
"bsi": [
"OPS.1.1"
],
"sdm": [
"Integritaet"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.OPS.04",
"title": "Configuration Management",
"description": "Definierte und dokumentierte Konfigurationsstandards fuer alle Systeme mit Abweichungserkennung.",
"type": "TECHNICAL",
"implementation_guidance": "Definierte und dokumentierte Konfigurationsstandards fuer alle Systeme mit Abweichungserkennung.",
"evidence": [
"Konfigurations-Baseline",
"Drift-Detection-Reports",
"Change-Logs"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.9"
],
"bsi": [
"OPS.1.1"
],
"sdm": [
"Integritaet"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.OPS.05",
"title": "Asset-/Inventar-Management",
"description": "Vollstaendiges Inventar aller IT-Assets mit Klassifizierung und Datenschutzrelevanz-Bewertung.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Vollstaendiges Inventar aller IT-Assets mit Klassifizierung und Datenschutzrelevanz-Bewertung.",
"evidence": [
"Asset-Inventar",
"Klassifizierung",
"Verantwortlichkeiten"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 30",
"Art. 32"
],
"iso27001": [
"A.5.9"
],
"bsi": [
"ORP.1"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.OPS.06",
"title": "Endgeraete-Sicherheit (EDR/MDM)",
"description": "Endpoint Detection & Response und Mobile Device Management fuer alle Endgeraete einsetzen.",
"type": "TECHNICAL",
"implementation_guidance": "Endpoint Detection & Response und Mobile Device Management fuer alle Endgeraete einsetzen.",
"evidence": [
"EDR-Konfiguration",
"MDM-Policy",
"Geraetestatus-Reports"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.1"
],
"bsi": [
"SYS.3.2"
],
"sdm": [
"Vertraulichkeit",
"Integritaet"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.OPS.07",
"title": "Server-Haertung kritischer Systeme",
"description": "Verstaerkte Haertung fuer Systeme die besondere Datenkategorien verarbeiten.",
"type": "TECHNICAL",
"implementation_guidance": "Verstaerkte Haertung fuer Systeme die besondere Datenkategorien verarbeiten.",
"evidence": [
"Haertungsdokumentation",
"Compliance-Scans",
"Abweichungsbericht"
],
"applies_if": {
"field": "special_categories",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 9",
"Art. 32"
],
"iso27001": [
"A.8.9"
],
"bsi": [
"SYS.1.1"
],
"sdm": [
"Vertraulichkeit",
"Integritaet"
]
},
"review_frequency": "QUARTERLY",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.OPS.08",
"title": "Change-Management-Prozess",
"description": "Formaler Change-Management-Prozess fuer alle Aenderungen an produktiven Systemen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Formaler Change-Management-Prozess fuer alle Aenderungen an produktiven Systemen.",
"evidence": [
"Change-Requests",
"Genehmigungen",
"Rollback-Plaene"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1d)"
],
"iso27001": [
"A.8.32"
],
"bsi": [
"OPS.1.1"
],
"sdm": [
"Integritaet",
"Verfuegbarkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.OPS.09",
"title": "Automatisierte Compliance-Checks",
"description": "Infrastructure-as-Code Compliance-Pruefungen fuer Cloud- und Container-Umgebungen.",
"type": "TECHNICAL",
"implementation_guidance": "Infrastructure-as-Code Compliance-Pruefungen fuer Cloud- und Container-Umgebungen.",
"evidence": [
"Compliance-Scan-Reports",
"Policy-as-Code",
"Abweichungs-Alerts"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.9"
],
"bsi": [
"OPS.1.1"
],
"sdm": [
"Integritaet"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.OPS.10",
"title": "Container-Security",
"description": "Container-Images scannen, minimale Base-Images verwenden, Runtime-Schutz implementieren.",
"type": "TECHNICAL",
"implementation_guidance": "Container-Images scannen, minimale Base-Images verwenden, Runtime-Schutz implementieren.",
"evidence": [
"Image-Scan-Reports",
"Dockerfile-Reviews",
"Runtime-Policy"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.25"
],
"bsi": [
"APP.4"
],
"sdm": [
"Integritaet",
"Vertraulichkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.OPS.11",
"title": "Dekommissionierung von Systemen",
"description": "Sichere Ausserbetriebnahme von IT-Systemen mit Datenloeschung, Dokumentation und Inventar-Update.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Sichere Ausserbetriebnahme von IT-Systemen mit Datenloeschung, Dokumentation und Inventar-Update.",
"evidence": [
"Dekommissionierungsprotokoll",
"Loeschnachweis",
"Inventar-Update"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 17",
"Art. 32"
],
"iso27001": [
"A.8.10"
],
"bsi": [
"SYS.1.1"
],
"sdm": [
"Speicherbegrenzung",
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.OPS.12",
"title": "Malware-Schutz",
"description": "Aktuelle Anti-Malware-Loesung auf allen Systemen mit automatischen Updates und Echtzeit-Scan.",
"type": "TECHNICAL",
"implementation_guidance": "Aktuelle Anti-Malware-Loesung auf allen Systemen mit automatischen Updates und Echtzeit-Scan.",
"evidence": [
"AV-Konfiguration",
"Scan-Reports",
"Update-Status"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.7"
],
"bsi": [
"OPS.1.1"
],
"sdm": [
"Integritaet",
"Verfuegbarkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.OPS.13",
"title": "Zeitliche Synchronisation (NTP)",
"description": "Alle Systeme mit verlaesslicher Zeitquelle synchronisieren fuer konsistente Protokollierung.",
"type": "TECHNICAL",
"implementation_guidance": "Alle Systeme mit verlaesslicher Zeitquelle synchronisieren fuer konsistente Protokollierung.",
"evidence": [
"NTP-Konfiguration",
"Sync-Status",
"Abweichungs-Alerts"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 5(2)"
],
"iso27001": [
"A.8.17"
],
"bsi": [
"OPS.1.1"
],
"sdm": [
"Integritaet",
"Transparenz"
]
},
"review_frequency": "ANNUAL",
"priority": "MEDIUM",
"complexity": "LOW"
},
{
"id": "TOM.OPS.14",
"title": "Sichere Entsorgung von Datentraegern",
"description": "Physische Datentraeger vor Entsorgung oder Wiederverwendung sicher loeschen (NIST SP 800-88).",
"type": "TECHNICAL",
"implementation_guidance": "Physische Datentraeger vor Entsorgung oder Wiederverwendung sicher loeschen (NIST SP 800-88).",
"evidence": [
"Loeschprotokolle",
"Zertifikate Datentraegervernichtung",
"Entsorgungsvertrag"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 5(1e)",
"Art. 17"
],
"iso27001": [
"A.7.14"
],
"bsi": [
"INF.1"
],
"sdm": [
"Speicherbegrenzung",
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.OPS.15",
"title": "Immutable Infrastructure",
"description": "Unveraenderbare Server-Infrastruktur um Konfigurationsdrift und nachtraegliche Manipulation zu verhindern.",
"type": "TECHNICAL",
"implementation_guidance": "Unveraenderbare Server-Infrastruktur um Konfigurationsdrift und nachtraegliche Manipulation zu verhindern.",
"evidence": [
"IaC-Repository",
"Deployment-Logs",
"Drift-Detection"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.9"
],
"bsi": [
"OPS.1.1"
],
"sdm": [
"Integritaet"
]
},
"review_frequency": "QUARTERLY",
"priority": "MEDIUM",
"complexity": "HIGH"
}
]
},
{
"id": "NET",
"name": "Network Security",
"objective": "Netzwerksicherheit durch Segmentierung, Filterung und Ueberwachung gewaehrleisten",
"controls": [
{
"id": "TOM.NET.01",
"title": "Netzwerksegmentierung",
"description": "Netzwerk in Sicherheitszonen aufteilen und Datenverarbeitung nach Schutzbedarf separieren.",
"type": "TECHNICAL",
"implementation_guidance": "Netzwerk in Sicherheitszonen aufteilen und Datenverarbeitung nach Schutzbedarf separieren.",
"evidence": [
"Netzwerkplan",
"Segmentierungskonzept",
"Firewall-Regeln"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1b)"
],
"iso27001": [
"A.8.22"
],
"bsi": [
"NET.1.1"
],
"sdm": [
"Nichtverkettung",
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.NET.02",
"title": "Firewall-Management",
"description": "Restriktive Firewall-Regeln nach Whitelist-Prinzip mit regelmaessiger Review und Aufraeum-Zyklen.",
"type": "TECHNICAL",
"implementation_guidance": "Restriktive Firewall-Regeln nach Whitelist-Prinzip mit regelmaessiger Review und Aufraeum-Zyklen.",
"evidence": [
"Firewall-Regelwerk",
"Review-Protokolle",
"Change-Logs"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.20"
],
"bsi": [
"NET.3.2"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.NET.03",
"title": "Web Application Firewall (WAF)",
"description": "WAF vor oeffentlich erreichbaren Webanwendungen zum Schutz gegen OWASP-Top-10-Angriffe.",
"type": "TECHNICAL",
"implementation_guidance": "WAF vor oeffentlich erreichbaren Webanwendungen zum Schutz gegen OWASP-Top-10-Angriffe.",
"evidence": [
"WAF-Konfiguration",
"Regelwerk",
"Block-Statistiken"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.20"
],
"bsi": [
"NET.3.2"
],
"sdm": [
"Integritaet",
"Verfuegbarkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.NET.04",
"title": "Intrusion Detection/Prevention (IDS/IPS)",
"description": "Netzwerkbasierte Angriffserkennung und -verhinderung fuer kritische Netzwerkuebergaenge.",
"type": "TECHNICAL",
"implementation_guidance": "Netzwerkbasierte Angriffserkennung und -verhinderung fuer kritische Netzwerkuebergaenge.",
"evidence": [
"IDS/IPS-Konfiguration",
"Alert-Reports",
"Tuning-Protokolle"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.23"
],
"bsi": [
"NET.3.2"
],
"sdm": [
"Integritaet",
"Vertraulichkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.NET.05",
"title": "DMZ-Architektur",
"description": "Demilitarisierte Zone fuer oeffentlich erreichbare Dienste mit strikter Trennung vom internen Netz.",
"type": "TECHNICAL",
"implementation_guidance": "Demilitarisierte Zone fuer oeffentlich erreichbare Dienste mit strikter Trennung vom internen Netz.",
"evidence": [
"DMZ-Architektur",
"Datenflussdiagramm",
"Firewall-Regeln"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1b)"
],
"iso27001": [
"A.8.22"
],
"bsi": [
"NET.1.1"
],
"sdm": [
"Vertraulichkeit",
"Nichtverkettung"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.NET.06",
"title": "VPN/Sichere Fernzugriffe",
"description": "Alle Fernzugriffe ueber verschluesselte VPN-Tunnel mit Authentifizierung und Geraetepruefung.",
"type": "TECHNICAL",
"implementation_guidance": "Alle Fernzugriffe ueber verschluesselte VPN-Tunnel mit Authentifizierung und Geraetepruefung.",
"evidence": [
"VPN-Konfiguration",
"Zugangsprotokoll",
"Split-Tunneling-Policy"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1a)"
],
"iso27001": [
"A.8.20"
],
"bsi": [
"NET.1.1"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.NET.07",
"title": "DNS-Security (DNSSEC, DNS-Filtering)",
"description": "DNS-Anfragen filtern und absichern zum Schutz gegen DNS-basierte Angriffe und Malware.",
"type": "TECHNICAL",
"implementation_guidance": "DNS-Anfragen filtern und absichern zum Schutz gegen DNS-basierte Angriffe und Malware.",
"evidence": [
"DNS-Konfiguration",
"Filtering-Policy",
"Block-Statistiken"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.20"
],
"bsi": [
"NET.1.1"
],
"sdm": [
"Integritaet"
]
},
"review_frequency": "ANNUAL",
"priority": "MEDIUM",
"complexity": "MEDIUM"
},
{
"id": "TOM.NET.08",
"title": "Netzwerk-Zugriffskontrolle (NAC)",
"description": "Network Access Control um nur autorisierte und konforme Geraete ins Netzwerk zu lassen.",
"type": "TECHNICAL",
"implementation_guidance": "Network Access Control um nur autorisierte und konforme Geraete ins Netzwerk zu lassen.",
"evidence": [
"NAC-Konfiguration",
"Policy-Regeln",
"Geraeteinventar"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.20"
],
"bsi": [
"NET.1.1"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.NET.09",
"title": "Mikrosegmentierung",
"description": "Feingranulare Segmentierung auf Workload-Ebene insbesondere fuer Systeme mit Art. 9 Daten.",
"type": "TECHNICAL",
"implementation_guidance": "Feingranulare Segmentierung auf Workload-Ebene insbesondere fuer Systeme mit Art. 9 Daten.",
"evidence": [
"Mikrosegmentierungskonzept",
"Policy-Regeln",
"Flow-Analyse"
],
"applies_if": {
"field": "special_categories",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 9",
"Art. 32"
],
"iso27001": [
"A.8.22"
],
"bsi": [
"NET.1.1"
],
"sdm": [
"Nichtverkettung",
"Vertraulichkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.NET.10",
"title": "DDoS-Schutz",
"description": "Schutzmassnahmen gegen Distributed-Denial-of-Service-Angriffe fuer oeffentliche Dienste.",
"type": "TECHNICAL",
"implementation_guidance": "Schutzmassnahmen gegen Distributed-Denial-of-Service-Angriffe fuer oeffentliche Dienste.",
"evidence": [
"DDoS-Mitigation-Service",
"Konfiguration",
"Incident-Reports"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1b)"
],
"iso27001": [
"A.8.20"
],
"bsi": [
"NET.3.2"
],
"sdm": [
"Verfuegbarkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.NET.11",
"title": "WLAN-Sicherheit",
"description": "Sichere WLAN-Konfiguration mit WPA3/Enterprise, Gaestenetz-Trennung, Rogue-AP-Detection.",
"type": "TECHNICAL",
"implementation_guidance": "Sichere WLAN-Konfiguration mit WPA3/Enterprise, Gaestenetz-Trennung, Rogue-AP-Detection.",
"evidence": [
"WLAN-Konfiguration",
"Gaestenetz-Konzept",
"Scan-Berichte"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.20"
],
"bsi": [
"NET.2.1"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.NET.12",
"title": "Datentransfer-Monitoring bei Drittlandtransfer",
"description": "Netzwerkseitige Ueberwachung und Kontrolle von Datenfluessen in Drittlaender.",
"type": "TECHNICAL",
"implementation_guidance": "Netzwerkseitige Ueberwachung und Kontrolle von Datenfluessen in Drittlaender.",
"evidence": [
"Transfer-Monitoring-Tool",
"Alert-Regeln",
"Laenderlisten"
],
"applies_if": {
"field": "third_country_transfer",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 44-49"
],
"iso27001": [
"A.8.16"
],
"bsi": [
"NET.3.2"
],
"sdm": [
"Vertraulichkeit",
"Transparenz"
]
},
"review_frequency": "QUARTERLY",
"priority": "CRITICAL",
"complexity": "HIGH"
},
{
"id": "TOM.NET.13",
"title": "Netzwerk-Dokumentation",
"description": "Aktuelle Netzwerkdokumentation mit Topologie, Datenflussdiagrammen und Sicherheitszonen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Aktuelle Netzwerkdokumentation mit Topologie, Datenflussdiagrammen und Sicherheitszonen.",
"evidence": [
"Netzwerkdiagramme",
"Datenflussplaene",
"Zonenkonzept"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 5(2)"
],
"iso27001": [
"A.5.9"
],
"bsi": [
"NET.1.1"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.NET.14",
"title": "Zero-Trust-Network-Access (ZTNA)",
"description": "Anwendungsspezifischer Zugang statt VPN mit kontinuierlicher Vertrauensbewertung.",
"type": "TECHNICAL",
"implementation_guidance": "Anwendungsspezifischer Zugang statt VPN mit kontinuierlicher Vertrauensbewertung.",
"evidence": [
"ZTNA-Architektur",
"Policy-Engine",
"Zugangsstatistiken"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.20"
],
"bsi": [
"NET.1.1"
],
"sdm": [
"Vertraulichkeit",
"Integritaet"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.NET.15",
"title": "Honeypots/Deception Technology",
"description": "Taeuschnungssysteme zur fruehzeitigen Erkennung von Angreifern im Netzwerk einsetzen.",
"type": "TECHNICAL",
"implementation_guidance": "Taeuschnungssysteme zur fruehzeitigen Erkennung von Angreifern im Netzwerk einsetzen.",
"evidence": [
"Deception-Konfiguration",
"Alert-Protokolle",
"Incident-Reports"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.16"
],
"bsi": [
"DER.1"
],
"sdm": [
"Integritaet"
]
},
"review_frequency": "ANNUAL",
"priority": "LOW",
"complexity": "HIGH"
}
]
},
{
"id": "BCP",
"name": "Backup, DR & Business Continuity",
"objective": "Verfuegbarkeit und Wiederherstellbarkeit personenbezogener Daten sicherstellen",
"controls": [
{
"id": "TOM.BCP.01",
"title": "Backup-Konzept",
"description": "Definiertes Backup-Konzept mit RPO/RTO-Zielen, Backup-Typen und Aufbewahrungsfristen.",
"type": "TECHNICAL",
"implementation_guidance": "Definiertes Backup-Konzept mit RPO/RTO-Zielen, Backup-Typen und Aufbewahrungsfristen.",
"evidence": [
"Backup-Konzept",
"RPO/RTO-Matrix",
"Backup-Schedule"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1b)",
"Art. 32(1c)"
],
"iso27001": [
"A.8.13"
],
"bsi": [
"CON.3"
],
"sdm": [
"Verfuegbarkeit",
"Integritaet"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.BCP.02",
"title": "Regelmaessige Backup-Tests",
"description": "Restore-Tests regelmaessig durchfuehren und dokumentieren um die Wiederherstellbarkeit zu verifizieren.",
"type": "TECHNICAL",
"implementation_guidance": "Restore-Tests regelmaessig durchfuehren und dokumentieren um die Wiederherstellbarkeit zu verifizieren.",
"evidence": [
"Test-Protokolle",
"Wiederherstellungszeiten",
"Erfolgsquoten"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1d)"
],
"iso27001": [
"A.8.13"
],
"bsi": [
"CON.3"
],
"sdm": [
"Verfuegbarkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.BCP.03",
"title": "Verschluesselte Backups",
"description": "Alle Backup-Medien und -Daten verschluesseln um Vertraulichkeit auch bei physischem Verlust zu gewaehrleisten.",
"type": "TECHNICAL",
"implementation_guidance": "Alle Backup-Medien und -Daten verschluesseln um Vertraulichkeit auch bei physischem Verlust zu gewaehrleisten.",
"evidence": [
"Verschluesselungskonfiguration",
"Key-Management",
"Compliance-Nachweis"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1a)"
],
"iso27001": [
"A.8.13"
],
"bsi": [
"CON.3"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.BCP.04",
"title": "Offsite-/Georedundante Backups",
"description": "Backup-Kopien an geographisch getrenntem Standort lagern fuer Desaster-Recovery.",
"type": "TECHNICAL",
"implementation_guidance": "Backup-Kopien an geographisch getrenntem Standort lagern fuer Desaster-Recovery.",
"evidence": [
"Offsite-Standort",
"Replikationskonfiguration",
"Transfer-Verschluesselung"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1b)"
],
"iso27001": [
"A.8.14"
],
"bsi": [
"CON.3"
],
"sdm": [
"Verfuegbarkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.BCP.05",
"title": "Immutable Backups",
"description": "Unveraenderbare Backup-Kopien erstellen die auch bei Ransomware-Befall nicht verschluesselt werden koennen.",
"type": "TECHNICAL",
"implementation_guidance": "Unveraenderbare Backup-Kopien erstellen die auch bei Ransomware-Befall nicht verschluesselt werden koennen.",
"evidence": [
"WORM-Konfiguration",
"Retention-Lock",
"Test-Protokolle"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1)"
],
"iso27001": [
"A.8.13"
],
"bsi": [
"CON.3"
],
"sdm": [
"Verfuegbarkeit",
"Integritaet"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.BCP.06",
"title": "Disaster-Recovery-Plan (DRP)",
"description": "Dokumentierter und getesteter Plan zur Wiederherstellung kritischer Systeme nach Katastrophen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Dokumentierter und getesteter Plan zur Wiederherstellung kritischer Systeme nach Katastrophen.",
"evidence": [
"DRP-Dokument",
"Kontaktlisten",
"Wiederherstellungsprioritaeten"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 32(1c)"
],
"iso27001": [
"A.5.29"
],
"bsi": [
"DER.4"
],
"sdm": [
"Verfuegbarkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.BCP.07",
"title": "DR-Uebungen",
"description": "Mindestens jaehrliche Disaster-Recovery-Uebungen einschliesslich Failover-Tests.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Mindestens jaehrliche Disaster-Recovery-Uebungen einschliesslich Failover-Tests.",
"evidence": [
"Uebungsprotokolle",
"Lessons-Learned",
"Verbesserungsmassnahmen"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1d)"
],
"iso27001": [
"A.5.29"
],
"bsi": [
"DER.4"
],
"sdm": [
"Verfuegbarkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.BCP.08",
"title": "Business Continuity Plan (BCP)",
"description": "Uebergreifender BCP der alle kritischen Geschaeftsprozesse und deren Datenschutzrelevanz abdeckt.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Uebergreifender BCP der alle kritischen Geschaeftsprozesse und deren Datenschutzrelevanz abdeckt.",
"evidence": [
"BCP-Dokument",
"BIA-Ergebnisse",
"Eskalationspfade"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 32(1c)"
],
"iso27001": [
"A.5.30"
],
"bsi": [
"DER.4"
],
"sdm": [
"Verfuegbarkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.BCP.09",
"title": "Hochverfuegbarkeits-Cluster",
"description": "Redundante Systemarchitektur fuer kritische Dienste mit automatischem Failover.",
"type": "TECHNICAL",
"implementation_guidance": "Redundante Systemarchitektur fuer kritische Dienste mit automatischem Failover.",
"evidence": [
"HA-Architektur",
"Failover-Tests",
"SLA-Monitoring"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 32(1b)"
],
"iso27001": [
"A.8.14"
],
"bsi": [
"SYS.1.1"
],
"sdm": [
"Verfuegbarkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.BCP.10",
"title": "Backup-Loeschung nach Aufbewahrungsfrist",
"description": "Automatische Loeschung von Backups nach Ablauf der definierten Aufbewahrungsfrist.",
"type": "TECHNICAL",
"implementation_guidance": "Automatische Loeschung von Backups nach Ablauf der definierten Aufbewahrungsfrist.",
"evidence": [
"Retention-Policy",
"Loeschautomatisierung",
"Loeschprotokolle"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 5(1e)",
"Art. 17"
],
"iso27001": [
"A.8.10"
],
"bsi": [
"CON.3"
],
"sdm": [
"Speicherbegrenzung"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.BCP.11",
"title": "Verstaerkte Backup-Frequenz bei Massendaten",
"description": "Erhoehte Backup-Frequenz fuer Systeme mit grossem Datenvolumen und vielen Betroffenen.",
"type": "TECHNICAL",
"implementation_guidance": "Erhoehte Backup-Frequenz fuer Systeme mit grossem Datenvolumen und vielen Betroffenen.",
"evidence": [
"Backup-Schedule",
"RPO-Analyse",
"Speicherplanung"
],
"applies_if": {
"field": "large_scale",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 32(1b)"
],
"iso27001": [
"A.8.13"
],
"bsi": [
"CON.3"
],
"sdm": [
"Verfuegbarkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.BCP.12",
"title": "Backup-Verschluesselung besonderer Kategorien",
"description": "Separate Verschluesselung fuer Backups die Art. 9/10 Daten enthalten mit eigenem Schluesselmanagement.",
"type": "TECHNICAL",
"implementation_guidance": "Separate Verschluesselung fuer Backups die Art. 9/10 Daten enthalten mit eigenem Schluesselmanagement.",
"evidence": [
"Sonder-Verschluesselungskonzept",
"Key-Separation",
"Zugriffsprotokolle"
],
"applies_if": {
"field": "special_categories",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 9",
"Art. 32(1a)"
],
"iso27001": [
"A.8.13"
],
"bsi": [
"CON.3"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "CRITICAL",
"complexity": "HIGH"
},
{
"id": "TOM.BCP.13",
"title": "Cloud-Backup-Souveraenitaet",
"description": "Bei Cloud-Backups sicherstellen dass Daten im EWR verbleiben und Schluesselhoheit beim Verantwortlichen.",
"type": "TECHNICAL",
"implementation_guidance": "Bei Cloud-Backups sicherstellen dass Daten im EWR verbleiben und Schluesselhoheit beim Verantwortlichen.",
"evidence": [
"Cloud-Vertrag",
"Standort-Nachweis",
"BYOK-Konfiguration"
],
"applies_if": {
"field": "third_country_transfer",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 44-49",
"Art. 32"
],
"iso27001": [
"A.8.13"
],
"bsi": [
"CON.3"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.BCP.14",
"title": "Automatisches Failover fuer Kinderdaten",
"description": "Besonders hohe Verfuegbarkeitsanforderungen fuer Systeme mit Daten von Minderjaehrigen.",
"type": "TECHNICAL",
"implementation_guidance": "Besonders hohe Verfuegbarkeitsanforderungen fuer Systeme mit Daten von Minderjaehrigen.",
"evidence": [
"HA-Konfiguration",
"SLA-Definition",
"Monitoring"
],
"applies_if": {
"field": "vulnerable_persons",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 8",
"Art. 32(1c)"
],
"iso27001": [
"A.8.14"
],
"bsi": [
"SYS.1.1"
],
"sdm": [
"Verfuegbarkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.BCP.15",
"title": "Notfall-Kommunikationsplan",
"description": "Kommunikationsplan fuer IT-Notfaelle mit internen und externen Stakeholdern.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Kommunikationsplan fuer IT-Notfaelle mit internen und externen Stakeholdern.",
"evidence": [
"Kommunikationsplan",
"Kontaktlisten",
"Vorlagen"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 33",
"Art. 34"
],
"iso27001": [
"A.5.29"
],
"bsi": [
"DER.4"
],
"sdm": [
"Transparenz",
"Verfuegbarkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
}
]
},
{
"id": "VENDOR",
"name": "Supplier/Processor Controls",
"objective": "Datenschutz-Compliance bei der Einbindung von Auftragsverarbeitern und Dienstleistern sicherstellen",
"controls": [
{
"id": "TOM.VENDOR.01",
"title": "Auftragsverarbeitungsvertrag (AVV)",
"description": "Wirksamen AVV gemaess Art. 28 DSGVO vor Beginn der Verarbeitung abschliessen mit allen Pflichtinhalten.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Wirksamen AVV gemaess Art. 28 DSGVO vor Beginn der Verarbeitung abschliessen mit allen Pflichtinhalten.",
"evidence": [
"AVV-Vertrag",
"Checkliste Art. 28",
"Unterschriften"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 28"
],
"iso27001": [
"A.5.20"
],
"bsi": [
"OPS.2.1"
],
"sdm": [
"Vertraulichkeit",
"Zweckbindung"
]
},
"review_frequency": "ANNUAL",
"priority": "CRITICAL",
"complexity": "LOW"
},
{
"id": "TOM.VENDOR.02",
"title": "Dienstleister-Datenschutz-Pruefung",
"description": "Vor Beauftragung Datenschutz-Due-Diligence beim Auftragsverarbeiter durchfuehren.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Vor Beauftragung Datenschutz-Due-Diligence beim Auftragsverarbeiter durchfuehren.",
"evidence": [
"Due-Diligence-Checkliste",
"Bewertungsbericht",
"Freigabeprotokoll"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 28(1)"
],
"iso27001": [
"A.5.19"
],
"bsi": [
"OPS.2.1"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.VENDOR.03",
"title": "Sub-Prozessor-Management",
"description": "Genehmigungsprozess fuer Unter-Auftragsverarbeiter mit Informationspflicht und Widerspruchsrecht.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Genehmigungsprozess fuer Unter-Auftragsverarbeiter mit Informationspflicht und Widerspruchsrecht.",
"evidence": [
"Sub-Prozessor-Liste",
"Genehmigungsprotokolle",
"Informationsschreiben"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 28(2)",
"Art. 28(4)"
],
"iso27001": [
"A.5.20"
],
"bsi": [
"OPS.2.1"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.VENDOR.04",
"title": "TOM-Nachweis vom Auftragsverarbeiter",
"description": "Regelmaessige Nachweise der technisch-organisatorischen Massnahmen vom Auftragsverarbeiter einfordern.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Regelmaessige Nachweise der technisch-organisatorischen Massnahmen vom Auftragsverarbeiter einfordern.",
"evidence": [
"TOM-Dokumentation",
"Zertifikate",
"Audit-Berichte"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 28(3f)"
],
"iso27001": [
"A.5.20"
],
"bsi": [
"OPS.2.1"
],
"sdm": [
"Vertraulichkeit",
"Integritaet"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.VENDOR.05",
"title": "Lieferanten-Audit-Recht",
"description": "Vertragliches Audit-Recht beim Auftragsverarbeiter sicherstellen und regelmaessig ausueben.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Vertragliches Audit-Recht beim Auftragsverarbeiter sicherstellen und regelmaessig ausueben.",
"evidence": [
"Audit-Klausel im AVV",
"Audit-Berichte",
"Massnahmenplaene"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 28(3h)"
],
"iso27001": [
"A.5.22"
],
"bsi": [
"OPS.2.1"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.VENDOR.06",
"title": "Risikobewertung Auftragsverarbeiter",
"description": "Auftragsverarbeiter nach Risiko klassifizieren und Prueftiefe entsprechend anpassen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Auftragsverarbeiter nach Risiko klassifizieren und Prueftiefe entsprechend anpassen.",
"evidence": [
"Risikobewertungsmatrix",
"Klassifizierungsergebnisse",
"Pruefplaene"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 24",
"Art. 28"
],
"iso27001": [
"A.5.19"
],
"bsi": [
"OPS.2.1"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.VENDOR.07",
"title": "SLA-Monitoring Auftragsverarbeiter",
"description": "Laufende Ueberwachung der Service-Level-Agreements insbesondere Verfuegbarkeit und Reaktionszeiten.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Laufende Ueberwachung der Service-Level-Agreements insbesondere Verfuegbarkeit und Reaktionszeiten.",
"evidence": [
"SLA-Reports",
"Eskalationsprotokolle",
"Performance-Dashboard"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 28(3)"
],
"iso27001": [
"A.5.22"
],
"bsi": [
"OPS.2.1"
],
"sdm": [
"Verfuegbarkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "MEDIUM",
"complexity": "LOW"
},
{
"id": "TOM.VENDOR.08",
"title": "Verstaerkte Pruefung bei Drittlandtransfer",
"description": "Erhoehte Due-Diligence fuer Auftragsverarbeiter in Drittlaendern inklusive Transfer Impact Assessment.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Erhoehte Due-Diligence fuer Auftragsverarbeiter in Drittlaendern inklusive Transfer Impact Assessment.",
"evidence": [
"TIA-Dokument",
"Supplementary Measures",
"SCC-Vertrag"
],
"applies_if": {
"field": "third_country_transfer",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 28",
"Art. 44-49"
],
"iso27001": [
"A.5.19"
],
"bsi": [
"OPS.2.1"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "CRITICAL",
"complexity": "HIGH"
},
{
"id": "TOM.VENDOR.09",
"title": "Exit-Strategie Auftragsverarbeiter",
"description": "Fuer jeden kritischen Auftragsverarbeiter eine Exit-Strategie mit Datenmigration und Loeschung planen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Fuer jeden kritischen Auftragsverarbeiter eine Exit-Strategie mit Datenmigration und Loeschung planen.",
"evidence": [
"Exit-Plan",
"Datenmigrations-Konzept",
"Loeschbestaetigung-Template"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 28(3g)"
],
"iso27001": [
"A.5.20"
],
"bsi": [
"OPS.2.1"
],
"sdm": [
"Verfuegbarkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "MEDIUM",
"complexity": "MEDIUM"
},
{
"id": "TOM.VENDOR.10",
"title": "Vorfallmeldung durch Auftragsverarbeiter",
"description": "Vertragliche Pflicht zur unverzueglichen Meldung von Datenschutzvorfaellen durch den Auftragsverarbeiter.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Vertragliche Pflicht zur unverzueglichen Meldung von Datenschutzvorfaellen durch den Auftragsverarbeiter.",
"evidence": [
"AVV-Vorfallklausel",
"Meldeprozess",
"Kontaktdaten"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 28(3f)",
"Art. 33"
],
"iso27001": [
"A.5.24"
],
"bsi": [
"DER.2.1"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "ANNUAL",
"priority": "CRITICAL",
"complexity": "LOW"
},
{
"id": "TOM.VENDOR.11",
"title": "Auftragsverarbeiter-Register",
"description": "Zentrales Verzeichnis aller Auftragsverarbeiter mit Zweck, Datenkategorien und Standort.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Zentrales Verzeichnis aller Auftragsverarbeiter mit Zweck, Datenkategorien und Standort.",
"evidence": [
"AV-Register",
"Klassifizierung",
"Ablaufdaten"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 30(2)"
],
"iso27001": [
"A.5.9"
],
"bsi": [
"OPS.2.1"
],
"sdm": [
"Transparenz"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.VENDOR.12",
"title": "Cloud-Service-Provider-Compliance",
"description": "Besondere Datenschutzanforderungen an Cloud-Provider: Datenstandort, Verschluesselung, Zugriffskontrolle.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Besondere Datenschutzanforderungen an Cloud-Provider: Datenstandort, Verschluesselung, Zugriffskontrolle.",
"evidence": [
"Cloud-Security-Checkliste",
"Zertifikate (SOC2, ISO 27001)",
"Konfigurationsnachweise"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 28",
"Art. 32"
],
"iso27001": [
"A.5.23"
],
"bsi": [
"OPS.2.1"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.VENDOR.13",
"title": "Regelmaessige AV-Vertragspruefung",
"description": "Bestehende AVV regelmaessig auf Aktualitaet pruefen und an geaenderte Verarbeitungen anpassen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Bestehende AVV regelmaessig auf Aktualitaet pruefen und an geaenderte Verarbeitungen anpassen.",
"evidence": [
"Review-Protokolle",
"Aenderungsnachtraege",
"Versionierung"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 28"
],
"iso27001": [
"A.5.20"
],
"bsi": [
"OPS.2.1"
],
"sdm": [
"Zweckbindung"
]
},
"review_frequency": "ANNUAL",
"priority": "MEDIUM",
"complexity": "LOW"
},
{
"id": "TOM.VENDOR.14",
"title": "Auftragsverarbeiter-Monitoring bei Kinderdaten",
"description": "Verstaerkte Ueberwachung von Auftragsverarbeitern die Daten von Minderjaehrigen verarbeiten.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Verstaerkte Ueberwachung von Auftragsverarbeitern die Daten von Minderjaehrigen verarbeiten.",
"evidence": [
"Sonder-Pruefplan",
"Erhoehte Audit-Frequenz",
"Dokumentation"
],
"applies_if": {
"field": "vulnerable_persons",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 8",
"Art. 28"
],
"iso27001": [
"A.5.22"
],
"bsi": [
"OPS.2.1"
],
"sdm": [
"Vertraulichkeit"
]
},
"review_frequency": "QUARTERLY",
"priority": "CRITICAL",
"complexity": "HIGH"
},
{
"id": "TOM.VENDOR.15",
"title": "Joint-Controller-Vereinbarung",
"description": "Bei gemeinsamer Verantwortlichkeit transparente Vereinbarung gemaess Art. 26 DSGVO abschliessen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Bei gemeinsamer Verantwortlichkeit transparente Vereinbarung gemaess Art. 26 DSGVO abschliessen.",
"evidence": [
"Art.-26-Vereinbarung",
"Aufgabenverteilung",
"Betroffenen-Kontaktinfo"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 26"
],
"iso27001": [
"A.5.20"
],
"bsi": [
"OPS.2.1"
],
"sdm": [
"Transparenz",
"Zweckbindung"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
}
]
},
{
"id": "DATA",
"name": "Data Lifecycle",
"objective": "Personenbezogene Daten ueber den gesamten Lebenszyklus datenschutzkonform verwalten",
"controls": [
{
"id": "TOM.DATA.01",
"title": "Datenminimierung als Designprinzip",
"description": "Nur fuer den definierten Zweck erforderliche personenbezogene Daten erheben und verarbeiten.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Nur fuer den definierten Zweck erforderliche personenbezogene Daten erheben und verarbeiten.",
"evidence": [
"Dateninventar",
"Zweckbeschreibungen",
"Minimierungsanalyse"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 5(1c)",
"Art. 25(2)"
],
"iso27001": [
"A.5.12"
],
"bsi": [
"CON.1"
],
"sdm": [
"Datenminimierung"
]
},
"review_frequency": "ANNUAL",
"priority": "CRITICAL",
"complexity": "LOW"
},
{
"id": "TOM.DATA.02",
"title": "Loeschkonzept und Aufbewahrungsfristen",
"description": "Dokumentiertes Loeschkonzept mit Fristen je Datenkategorie, Rechtsgrundlagen und Automatisierung.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Dokumentiertes Loeschkonzept mit Fristen je Datenkategorie, Rechtsgrundlagen und Automatisierung.",
"evidence": [
"Loeschkonzept",
"Fristenkatalog",
"Automatisierungsnachweis"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 5(1e)",
"Art. 17"
],
"iso27001": [
"A.8.10"
],
"bsi": [
"CON.6"
],
"sdm": [
"Speicherbegrenzung"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.DATA.03",
"title": "Automatisierte Datenloeschung",
"description": "Technische Umsetzung der automatisierten Loeschung nach Fristablauf mit Protokollierung.",
"type": "TECHNICAL",
"implementation_guidance": "Technische Umsetzung der automatisierten Loeschung nach Fristablauf mit Protokollierung.",
"evidence": [
"Loeschjob-Konfiguration",
"Ausfuehrungsprotokolle",
"Ausnahmeliste"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 5(1e)",
"Art. 17"
],
"iso27001": [
"A.8.10"
],
"bsi": [
"CON.6"
],
"sdm": [
"Speicherbegrenzung"
]
},
"review_frequency": "QUARTERLY",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.DATA.04",
"title": "Betroffenenrechte-Prozess (DSR)",
"description": "Standardisierten Prozess fuer Auskunft, Berichtigung, Loeschung, Einschraenkung und Datenportabilitaet.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Standardisierten Prozess fuer Auskunft, Berichtigung, Loeschung, Einschraenkung und Datenportabilitaet.",
"evidence": [
"DSR-Prozessbeschreibung",
"Formulare",
"SLA-Definition",
"Protokolle"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 15-22"
],
"iso27001": [
"A.5.34"
],
"bsi": [
"CON.1"
],
"sdm": [
"Intervenierbarkeit",
"Transparenz"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.DATA.05",
"title": "Datenportabilitaet (Art. 20)",
"description": "Export personenbezogener Daten in strukturiertem, gaengigem und maschinenlesbarem Format ermoeglichen.",
"type": "TECHNICAL",
"implementation_guidance": "Export personenbezogener Daten in strukturiertem, gaengigem und maschinenlesbarem Format ermoeglichen.",
"evidence": [
"Export-Funktion",
"Formatdokumentation",
"Test-Exports"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 20"
],
"iso27001": [
"A.5.34"
],
"bsi": [
"CON.1"
],
"sdm": [
"Intervenierbarkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.DATA.06",
"title": "Zweckbindungs-Kontrolle",
"description": "Sicherstellen dass personenbezogene Daten nicht ueber den definierten Zweck hinaus verarbeitet werden.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Sicherstellen dass personenbezogene Daten nicht ueber den definierten Zweck hinaus verarbeitet werden.",
"evidence": [
"Zweckbeschreibungen im VVT",
"Zugriffsbeschraenkungen",
"Audit-Ergebnisse"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 5(1b)"
],
"iso27001": [
"A.5.12"
],
"bsi": [
"CON.1"
],
"sdm": [
"Zweckbindung",
"Nichtverkettung"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.DATA.07",
"title": "Speicherbegrenzungs-Review",
"description": "Regelmaessige Ueberpruefung ob gespeicherte personenbezogene Daten noch fuer den Zweck erforderlich sind.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Regelmaessige Ueberpruefung ob gespeicherte personenbezogene Daten noch fuer den Zweck erforderlich sind.",
"evidence": [
"Review-Protokolle",
"Loeschempfehlungen",
"Umsetzungsnachweis"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 5(1e)"
],
"iso27001": [
"A.8.10"
],
"bsi": [
"CON.6"
],
"sdm": [
"Speicherbegrenzung"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "HIGH",
"complexity": "LOW"
},
{
"id": "TOM.DATA.08",
"title": "Richtigkeit der Daten sicherstellen",
"description": "Prozesse zur Sicherstellung der Datenrichtigkeit: Validierung, Aktualisierung, Berichtigungsmechanismen.",
"type": "TECHNICAL",
"implementation_guidance": "Prozesse zur Sicherstellung der Datenrichtigkeit: Validierung, Aktualisierung, Berichtigungsmechanismen.",
"evidence": [
"Validierungsregeln",
"Aktualisierungsprozess",
"Berichtigungsprotokolle"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "BASELINE",
"mappings": {
"gdpr": [
"Art. 5(1d)",
"Art. 16"
],
"iso27001": [
"A.5.33"
],
"bsi": [
"CON.1"
],
"sdm": [
"Richtigkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.DATA.09",
"title": "Pseudonymisierung",
"description": "Personenbezogene Daten wo moeglich pseudonymisieren um das Risiko bei unbefugtem Zugriff zu minimieren.",
"type": "TECHNICAL",
"implementation_guidance": "Personenbezogene Daten wo moeglich pseudonymisieren um das Risiko bei unbefugtem Zugriff zu minimieren.",
"evidence": [
"Pseudonymisierungskonzept",
"Zuordnungstabellen-Schutz",
"Anwendungsbereiche"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 25(1)",
"Art. 32(1a)"
],
"iso27001": [
"A.8.11"
],
"bsi": [
"CON.1"
],
"sdm": [
"Datenminimierung",
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.DATA.10",
"title": "Anonymisierung fuer Statistik/Forschung",
"description": "Wirksame Anonymisierung fuer statistische Auswertungen und Forschungszwecke sicherstellen.",
"type": "TECHNICAL",
"implementation_guidance": "Wirksame Anonymisierung fuer statistische Auswertungen und Forschungszwecke sicherstellen.",
"evidence": [
"Anonymisierungsverfahren",
"Re-Identifikations-Risikobewertung",
"Freigabeprotokoll"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"ErwGr. 26",
"Art. 89"
],
"iso27001": [
"A.8.11"
],
"bsi": [
"CON.1"
],
"sdm": [
"Datenminimierung"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "HIGH"
},
{
"id": "TOM.DATA.11",
"title": "Einschraenkung der Verarbeitung (Art. 18)",
"description": "Technische Moeglichkeit zur Markierung und Einschraenkung der Verarbeitung bei Betroffenenantraegen.",
"type": "TECHNICAL",
"implementation_guidance": "Technische Moeglichkeit zur Markierung und Einschraenkung der Verarbeitung bei Betroffenenantraegen.",
"evidence": [
"Markierungsfunktion",
"Prozessbeschreibung",
"Test-Protokolle"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "ENHANCED",
"mappings": {
"gdpr": [
"Art. 18"
],
"iso27001": [
"A.5.34"
],
"bsi": [
"CON.1"
],
"sdm": [
"Intervenierbarkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "MEDIUM",
"complexity": "MEDIUM"
},
{
"id": "TOM.DATA.12",
"title": "Erhoehter Schutz besonderer Kategorien",
"description": "Zusaetzliche organisatorische Massnahmen fuer die Verarbeitung von Art. 9/10 Daten.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Zusaetzliche organisatorische Massnahmen fuer die Verarbeitung von Art. 9/10 Daten.",
"evidence": [
"Sonderkonzept",
"Zugriffsrichtlinien",
"DSFA-Ergebnisse"
],
"applies_if": {
"field": "special_categories",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 9",
"Art. 10"
],
"iso27001": [
"A.5.12"
],
"bsi": [
"CON.1"
],
"sdm": [
"Vertraulichkeit",
"Zweckbindung"
]
},
"review_frequency": "SEMI_ANNUAL",
"priority": "CRITICAL",
"complexity": "MEDIUM"
},
{
"id": "TOM.DATA.13",
"title": "Legal-Hold-Prozess",
"description": "Prozess zum Anhalten geplanter Loeschungen bei Rechtsstreitigkeiten oder Behoerdenanfragen.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Prozess zum Anhalten geplanter Loeschungen bei Rechtsstreitigkeiten oder Behoerdenanfragen.",
"evidence": [
"Legal-Hold-Policy",
"Ausloeserkriterien",
"Aufhebungsprozess"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 17(3)"
],
"iso27001": [
"A.5.34"
],
"bsi": [
"CON.6"
],
"sdm": [
"Speicherbegrenzung"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.DATA.14",
"title": "Datenfluss-Mapping",
"description": "Visualisierung aller Datenfluesse innerhalb der Organisation und zu externen Empfaengern.",
"type": "ORGANIZATIONAL",
"implementation_guidance": "Visualisierung aller Datenfluesse innerhalb der Organisation und zu externen Empfaengern.",
"evidence": [
"Datenflussdiagramme",
"System-Koppelungen",
"Empfaenger-Uebersicht"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "HIGH_RISK",
"mappings": {
"gdpr": [
"Art. 30",
"Art. 35"
],
"iso27001": [
"A.5.9"
],
"bsi": [
"CON.1"
],
"sdm": [
"Transparenz",
"Nichtverkettung"
]
},
"review_frequency": "ANNUAL",
"priority": "HIGH",
"complexity": "MEDIUM"
},
{
"id": "TOM.DATA.15",
"title": "Privacy-Enhancing Technologies (PET)",
"description": "Einsatz fortschrittlicher PETs (Differential Privacy, Secure Computation, Synthetic Data) wo angemessen.",
"type": "TECHNICAL",
"implementation_guidance": "Einsatz fortschrittlicher PETs (Differential Privacy, Secure Computation, Synthetic Data) wo angemessen.",
"evidence": [
"PET-Evaluierung",
"Einsatzbereiche",
"Wirksamkeitsnachweis"
],
"applies_if": {
"field": "always",
"operator": "EQUALS",
"value": true
},
"risk_tier": "CRITICAL",
"mappings": {
"gdpr": [
"Art. 25(1)",
"Art. 32"
],
"iso27001": [
"A.8.11"
],
"bsi": [
"CON.1"
],
"sdm": [
"Datenminimierung",
"Vertraulichkeit"
]
},
"review_frequency": "ANNUAL",
"priority": "MEDIUM",
"complexity": "HIGH"
}
]
}
]
}
Reference in New Issue View Git Blame Copy Permalink