Das Festplattenpasswort für jedes Laufwerk in den BIOS-Einstellungen des Geräts ist aktiviert.
Es wird ein passwortgeschütztes Tastatur-/Bildschirmschloss gesetzt, das bei Inaktivität automatisch aktiviert wird. Das Inaktivitätsintervall sollte nicht mehr als 30 Minuten betragen.
Das Antivirenprogramm wird auf dem Gerät installiert und ausgeführt.
Ein Firewall-Programm ist installiert und wird auf dem Gerät ausgeführt.
Mitarbeiter mit Arbeitsplätzen, die Microsoft Windows-Betriebssysteme verwenden, installieren Sicherheitspatches für ihre jeweilige Version.
Das Passwort, das mit einer Benutzer-ID für den Computerzugriff verknüpft ist, ist das primäre Mittel, um die Identität zu verifizieren und anschließend den Zugriff auf den Computer und die Informationen zu ermöglichen. Das Passwort für die Identitätsprüfung wird geheim gehalten und nicht an Dritte weitergegeben.
Passwörter zur Identitätsprüfung dürfen nicht trivial oder vorhersehbar sein.
Das Passwort muss mindestens alle drei Monate (90 Tage) geändert werden.
Der Auftragnehmer hat Maßnahmen ergriffen, um zu verhindern, dass Unbefugte Zugang zu Datenverarbeitungssystemen haben.
Der Auftragnehmer darf Dritten (mit Ausnahme von Mitarbeitern und zugelassenen Unterauftragnehmern) den Zugang zu personenbezogenen Daten nur mit vorheriger Zustimmung des Verantwortlichen gestatten.
Wenn Personal des Auftragnehmers Zugang zu Systemen des Verantwortlichen hat, muss der Auftragnehmer den Verantwortlichen unverzüglich über eine Beendigung des Vertragsverhältnisses mit dem Personal informieren, das den Zugang zu den Systemen des Verantwortlichen hat, damit dieser das Verfahren zur Aufhebung des Zugangs einleiten kann.
Der Auftragnehmer stellt sicher, dass die Zugangskontrolle durch ein Authentifizierungssystem gewährleistet wird.
Personenbezogene Daten dürfen nur in physisch gesicherten Bereichen ausgedruckt werden, die vom Auftragnehmer kontrolliert werden, und dem Personal nur im Fall der Notwendigkeit der Kenntnisnahme zur Verfügung gestellt werden.
Die Zugriffsrechte des Personals auf personenbezogene Daten beschränken sich auf das erforderliche Minimum, das für die Ausübung seiner Tätigkeit erforderlich ist.
Der Auftragnehmer hat Maßnahmen getroffen, um die Verwendung bzw. Installation von nicht autorisierter Hardware und/oder Software zu verhindern.
Der Auftragnehmer hat Regeln für die sichere und dauerhafte Löschung nicht mehr benötigter Daten festgelegt.
Alle persönlichen Daten, die auf Datenträgern gespeichert werden, die die Einrichtungen des Auftragnehmers verlassen, werden verschlüsselt.
Personenbezogene Daten werden verschlüsselt übertragen, wenn sie über das interne Netzwerk des Auftragnehmers übertragen werden.
Personenbezogene Daten werden bei der Übertragung über öffentliche Netze verschlüsselt übertragen.
Der Auftragnehmer protokolliert alle Aktivitäten im Bereich der Dateneingabe, wie z.B.: Erfolglose Zugriffsversuche; Berechtigungsausnahmen; Berechtigungsänderungen; Eigentümerwechsel des Datenobjekts; Zugriff außerhalb der Zugriffszeiten.
Der Auftragnehmer stellt sicher, dass die Log-Dateien regelmäßig auf Sicherheitsvorfälle überprüft werden.
Der Auftragnehmer trifft geeignete Maßnahmen, um sicherzustellen, dass die Übermittlung, Speicherung, Nutzung, Änderung und Löschung personenbezogener Daten nur nach Maßgabe der Bestimmungen des Verantwortlichen erfolgen kann. Der Auftragnehmer muss daher die Anweisungen des Verantwortlichen befolgen.
