Knowledgebase
Helpdesk
Knowledgebase
Helpdesk
Erste Schritte + Grundlagen
Grundfunktionen
Assets + Organisation
Datenschutz
Informationssicherheit
Technische und Organisatorische Maßnahmen (TOM)
ModulüberblickTOM anlegen und Stammdaten pflegenTOM-Wirksamkeit prüfen und messen
Personal + Schulung
FAQ + Troubleshooting

Modulüberblick

Technische und Organisatorische Maßnahmen (TOM)

Dieser Artikel zeigt, wie Sie im Modul Technische und organisatorische Maßnahmen (TOM) arbeiten - die Listenansicht, die Detail-Tabs, das Statusmodell, die TOM-Vererbung in die VVT und typische Stolperfallen. Die fachliche und konzeptionelle Einordnung (Was ist eine TOM, normative Verankerung in DSGVO Art. 32 und ISO 27001 Annex A, Framework-Mapping NIS-2/DORA/C5/TISAX, Vergleich altes vs. neues System) finden Sie im Konzept: TOM in Erste Schritte + Grundlagen.

In 5 Minuten erledigt

  • Informationssicherheit > Technische und organisatorische Maßnahmen öffnen.
  • In der Toolbar Neu klicken, Bezeichnung und Typ (Technisch oder Organisatorisch) wählen.
  • Speichern. Detailseite mit sechs Tabs öffnet sich.
  • Stammdaten pflegen (Verantwortlicher, Status, Schutzziele C/I/A).
  • Im Tab Verknüpfungen Assets, Risiken oder VVT verbinden - Verknüpfungen werden sofort gespeichert.

Vertiefung: TOM-Maßnahme anlegen.

Listenansicht und Toolbar

Die Übersichtsseite zeigt das TOM-Register mit Spalten:

  • Bezeichnung (klickbar zur Detailseite)
  • Typ (Technisch / Organisatorisch)
  • Schutzziele (C/I/A-Indikatoren als Symbole)
  • Umsetzungsstatus (Geplant / In Umsetzung / Umgesetzt)
  • Wirksamkeit (Letzter Prüfstand: grün / gelb / rot / nicht bewertet)
  • Schlagwort
  • Verantwortlicher

Filter in der Toolbar: Status, Typ, Verantwortlicher, Framework (ISO 27001 Annex A, BSI IT-Grundschutz, NIS-2, BAIT, VAIT), Wirksamkeits-Zustand. Über die Toolbar erreichen Sie zusätzlich Massenaktionen und den SOA-Export.

Tabs der Detailseite

Die Detailseite einer TOM hat sechs Tabs:

  1. Stammdaten - Bezeichnung, Beschreibung, Typ (Technisch / Organisatorisch), Verantwortlicher, Umsetzungsstatus, Schutzziele C/I/A mit Begründung pro Dimension.
  2. Verknüpfungen - Assets, Risiken, VVT, Geschäftsprozesse, Bedrohungen jeweils als Sub-Sektion. Verknüpfungen werden sofort persistiert (atomare Operation, kein Speichern-Klick).
  3. Anforderungs-Mapping - Framework-Zuordnung (ISO 27001 Annex A, BSI IT-Grundschutz, NIS-2/BSIG, DORA, BSI C5, TISAX, BAIT, VAIT).
  4. Wirksamkeit - Messgegenstand, Schwellenwerte, Prüfturnus, Historie der Wirksamkeitsbewertungen, automatische Erinnerung an die nächste Prüfung.
  5. Dokumente - Konzepte, Nachweise, Belege als Anhänge.
  6. Einstellungen (konditional) - Freigabe für gesamte Unternehmensgruppe , Workflow-Trigger.

Statusmodell

Eine TOM durchläuft drei Umsetzungs-Phasen:

Status

Bedeutung

Geplant

Maßnahme ist konzipiert, aber noch nicht umgesetzt

In Umsetzung

Umsetzung läuft, Teilumsetzung möglich

Umgesetzt

Vollständig umgesetzt, produktiv wirksam

Der Wirksamkeits-Status im Tab Wirksamkeit ist davon getrennt und wird pro Prüfzyklus aktualisiert (z.B. „Wirksam", „Bedingt wirksam", „Nicht wirksam") - bildet damit ab, ob die umgesetzte Maßnahme das Schutzziel tatsächlich erreicht.

Die TOM-Vererbung in die VVT

Eine Mechanik lohnt sich zu kennen: Wenn Sie eine TOM mit einem Asset verknüpfen und dieses Asset über Datenkategorien in einer Verarbeitungstätigkeit (VT) oder einem Geschäftsprozess (GP) referenziert ist, erscheint die TOM automatisch im TOM-Tab der VVT. Sie müssen die TOM nicht zusätzlich direkt in der VVT verknüpfen.

Diese Vererbung spart Pflegeaufwand: Eine technische Schutzmaßnahme an einem zentralen System schützt automatisch alle Verarbeitungstätigkeiten, die dieses System nutzen.

Direkt in der VVT verknüpfen sollten Sie nur:

  • Organisatorische Maßnahmen, die nicht an einem konkreten Asset hängen (Verträge, Schulungen).
  • Maßnahmen, die abweichend zur Asset-Standardabdeckung erweitert wurden.

Häufige Stolperfallen bei der Bedienung

  • Status auf „Geplant" produktiv lassen. Wer eine umgesetzte Maßnahme nicht hochstuft, bekommt ein unvollständiges SoA.
  • Direkte VT-Verknüpfung bei vorhandenem Asset-Link. Doppelte Pflege - der Asset-Pfad reicht aus.
  • Maßnahme löschen statt archivieren. Verknüpfungen gehen unwiderruflich verloren. Stattdessen archivieren.

Häufig gestellte Fragen

Was passiert mit Verknüpfungen, wenn ich eine Maßnahme lösche?

Sie werden unwiderruflich entfernt - im Asset, im Risiko, in der VVT, im Anforderungs-Mapping. Empfehlung: Maßnahmen archivieren statt löschen. Archivierte Maßnahmen behalten alle Verknüpfungen.

Muss ich für jede Maßnahme die Wirksamkeit messen?

Nein. Wirksamkeitsüberwachung lohnt sich bei zertifizierungsrelevanten Maßnahmen, bei klaren KPIs und bei Maßnahmen mit Eskalationsbedarf. Bei einfachen organisatorischen Maßnahmen reicht eine periodische Prüfung ohne Messreihe.

Wie funktioniert der SoA-Export?

Über die Toolbar Exportieren > SOA-Report. Voraussetzung: jede Maßnahme hat ein Anforderungs-Mapping auf ISO 27001 Annex A. Maßnahmen ohne Mapping erscheinen im SOA als Lücke.

Details: SOA-Export erzeugen.

Wie filtere ich auf nicht wirksame Maßnahmen?

Toolbar > Filter > Wirksamkeit > „Nicht wirksam" oder „Bedingt wirksam". Die gefilterte Liste zeigt typischerweise den Handlungsbedarf für den nächsten Maßnahmen-Review.

Verwandte Artikel

  • Konzept: TOM
  • TOM-Maßnahme anlegen
  • TOM-Verknüpfungen pflegen
  • TOM-Wirksamkeit prüfen
  • SOA-Export erzeugen
  • Informationswerte: Modul-Überblick


War dieser Artikel hilfreich?

Powered by Product Fruits
Impressum | Datenschutzerklärung