KONZEPTE

5 - Risikomanagement

5 - Risikomanagement

5.1 Risikobewertung nach ISO 27001

  • Sicherheitsbewertungen für Cloud-Umgebungen (z. B. IAM, Zugriffskontrollen).
  • Penetrationstests & Schwachstellenanalysen in DevOps-Pipelines.
  • Absicherung von Entwicklungs- und Produktionsumgebungen.
  • Regelmäßige Risikoanalysen im Bereich Datenschutz und AGG-Compliance.

5.2 Umsetzung von TOMs nach ISO 27001

TOMs werden in technische & organisatorische Maßnahmen unterteilt:

Technische Maßnahmen (ISO 27001):

  • Sichere CI/CD-Pipelines (automatisierte Sicherheitsprüfungen in GitHub Actions & Azure DevOps).
  • Verschlüsselung von Kundendaten (TLS 1.2+, AES-256, Hashing-Verfahren).
  • Netzwerksicherheit (Zero-Trust-Architektur, Firewalls, VPN).
  • Identity & Access Management (IAM) mit rollenbasierten Zugriffsrechten (RBAC).
  • Datenschutzkonforme Speicherung und Verarbeitung personenbezogener Daten. Dies umfasst die Anwendung von Verschlüsselungstechnologien (AES-256 für gespeicherte Daten, TLS 1.2+ für Datenübertragungen), die Implementierung von Zugriffskontrollen basierend auf dem Least-Privilege-Prinzip sowie regelmäßige Datenschutzüberprüfungen und Audits zur Sicherstellung der DSGVO-Konformität.

Organisatorische Maßnahmen (ISO 27001 und AGG):

  • Schulungen & Awareness-Programme für Mitarbeiter.
  • Datenschutz- & Zugriffskontrollrichtlinien nach DSGVO & ISO 27001.
  • Incident Response Management für Sicherheitsvorfälle.
  • Regelmäßige Security-Audits & Penetrationstests.
  • Sensibilisierungsmaßnahmen zur Einhaltung der AGG-Prinzipien.
Last updated: April 10, 2025: feat(1201-QMS) adding QMS (a73d2d6)
Bearbeiten