Knowledgebase
Helpdesk
Knowledgebase
Helpdesk
Erste Schritte + Grundlagen
Grundfunktionen
Assets + Organisation
Datenschutz
Informationssicherheit
Technische und Organisatorische Maßnahmen (TOM)
ModulüberblickTOM anlegen und Stammdaten pflegenTOM-Wirksamkeit prüfen und messenTOM-Verknüpfungen pflegen: Asset, Risiko, VVT, Geschäftsprozess
Personal + Schulung
FAQ + Troubleshooting

TOM-Verknüpfungen pflegen: Asset, Risiko, VVT, Geschäftsprozess

Technische und Organisatorische Maßnahmen (TOM)

Über den Tab Verknüpfungen verbinden Sie eine Maßnahme mit den Objekten, auf die sie wirkt: Assets, Risiken, Verarbeitungstätigkeiten, Geschäftsprozessen und Bedrohungen. Diese Verknüpfungen sind die Grundlage für Nachweise, SoA-Reports und die automatische TOM-Vererbung in die Verarbeitungstätigkeiten (VT) und Geschäftsprozesse. Dieser Artikel zeigt, wie Sie Verknüpfungen anlegen, wann sich ein direkter VVT-Link lohnt und wie Sie veraltete Verknüpfungen aufräumen.

In 5 Minuten erledigt

  • Maßnahme öffnen, Tab Verknüpfungen wählen.
  • Objekt-Kategorie wählen (Assets, Risiken, VVT, Geschäftsprozesse, Bedrohungen).
  • Über Hinzufügen das Objekt suchen und übernehmen.
  • Verknüpfung wird sofort gespeichert - kein separater Speichern-Klick.
  • Für weitere Objekte wiederholen.

Wann brauchen Sie das?

  • Sie haben eine neue Maßnahme angelegt und ordnen sie den passenden Schutzobjekten zu.
  • Ein Risiko wurde neu bewertet und braucht zusätzliche Maßnahmenabdeckung.
  • Eine Verarbeitungstätigkeit braucht explizite TOM, die nicht über die Asset-Kette verknüpft sind.

Schritt für Schritt

  1. Öffnen Sie die Maßnahme und wechseln Sie in den Tab Verknüpfungen.
  2. Wählen Sie die passende Objekt-Kategorie:
    • Assets - Hardware, Software, Cloud-Service, Information oder Lokation aus dem Assetmanagement.
    • Risiken - Risikoeinträge aus dem Risikomanagement.
    • Verarbeitungstätigkeiten - VVT-Einträge nach Art. 30 DSGVO.
    • Geschäftsprozesse - Prozesse aus dem Prozessmodul.
    • Dienstleister / AVV - Verknüpfte Dienstleister / Lieferanten / Auftragsverabeiter
    • Bedrohungen - Bedrohungen aus dem Bedrohungskatalog.
    • Anforderungs-Mapping - Mit welchen Anfordeurngen lässt sich diese TOM verknüpfen
  4. Klicken Sie auf Hinzufügen, suchen Sie das Objekt und bestätigen Sie. Das System speichert die Verknüpfung sofort - ein separater Speichern-Klick ist nicht nötig.
  5. Wiederholen Sie für weitere Objekte. Es gibt quasi keine Mengenbeschränkung pro Maßnahme.

Tipp: Verknüpfungen wirken in beide Richtungen. Wenn Sie auf der Detailseite eines Assets in den Tab "Maßnahmen" wechseln, sehen Sie alle TOM, die dieses Asset schützen - automatisch durch die Verknüpfung an dieser Stelle gepflegt.

Die Asset-Kette und TOM-Vererbung

Eine Besonderheit lohnt sich zu verstehen: Wenn Sie eine Maßnahme mit einem Asset verknüpfen und dieses Asset in einer Verarbeitungstätigkeit referenziert ist, erscheint die Maßnahme automatisch im TOM-Tab der VT. Sie müssen die TOM nicht zusätzlich direkt in der VVT verknüpfen.

Diese Vererbung spart Pflegeaufwand: Eine technische Schutzmaßnahme an einem zentralen System schützt automatisch alle Verarbeitungstätigkeiten, die dieses System nutzen. Die Schutzkette bleibt dabei nachvollziehbar dokumentiert.

Es kann bei zu grob angelegten Daten und Informationen und zu grober TOM-Verknüpfung jedoch auch sein, dass Maßnahmen verknüpft werden, die nicht zutreffend sind.

Faustregel für die Reihenfolge: Verknüpfen Sie technische Maßnahmen zuerst über das Asset und lassen Sie die Vererbung arbeiten, statt jede Verarbeitungstätigkeit einzeln zu pflegen. Den direkten VVT-Link setzen Sie erst dort, wo die Asset-Kette nicht greift oder greifen soll.

Direkt in der VVT verknüpfen sollten Sie nur:

  • Organisatorische Maßnahmen, die nicht an einem konkreten Asset hängen (Verträge, Schulungen).
  • Maßnahmen, die abweichend zur Asset-Standardabdeckung erweitert wurden.

Verknüpfungs-Logik im Audit-Kontext

Verknüpfung

Was sie leistet

Audit-Frage

TOM -> Asset

Konkrete Schutzwirkung auf System / Standort

Wie schützen Sie System X?

TOM -> Risiko

Risikobehandlungsplan nach 6.1.3

Welche TOM mildert Risiko Y?

TOM -> VVT

DSGVO Art. 32-Nachweis pro Verarbeitung

Welche TOM schützen VT Z?

TOM -> Geschäftsprozess

Wirksamkeit auf Prozess-Ebene

Welcher Prozess ist abgedeckt?

TOM -> Bedrohung

Bedrohungs-Mitigation

Welche TOM gegen Bedrohung A?

Die Verknüpfungen wirken in beide Richtungen: Pro Asset, Risiko, VVT oder Bedrohung sehen Sie automatisch alle wirkenden TOM, und pro Maßnahme alle Objekte, die sie abdeckt.

Wann eine direkte VVT/GP-Verknüpfung sinnvoll ist

Die Asset-Vererbung deckt den Standardfall ab. In drei Konstellationen lohnt der direkte VVT-Link:

  1. Organisatorische Maßnahme ohne Asset-Bezug. Beispiel: Vertraulichkeitsvereinbarung mit dem Auftragsverarbeiter - das ist eine Vertragsklausel ohne Asset.
  2. Schulung pro VVT. Beispiel: spezifische Schulung für das HR-Team zur Bewerberdatenverarbeitung.
  3. VT-spezifische Sondermaßnahme. Beispiel: Datenminimierungs-Setting in der VVT, das über die Standard-Asset-Konfiguration hinausgeht.

Verknüpfungen aufräumen

Wenn ein Asset stillgelegt oder ein Risiko geschlossen wird, bleiben die TOM-Verknüpfungen bestehen. Räumen Sie diese auf, wenn der Sachverhalt nicht mehr gilt:

  1. Tab Verknüpfungen öffnen.
  2. Veraltete Verknüpfung identifizieren, zum Beispiel am Status des verknüpften Assets.
  3. Verknüpfung entfernen klicken - die Verknüpfung wird sofort gelöst.

War diese Verknüpfung der einzige Schutz-Beleg für eine Verarbeitungstätigkeit, fehlt danach diese Abdeckung im Anforderungs-Mapping. Prüfen Sie deshalb vor dem Entfernen, ob die Verarbeitungstätigkeit anderweitig abgedeckt bleibt.

Häufige Stolperfallen

  • Versehentliches Entfernen: Die Verknüpfung wird sofort und ohne Rückfrage entfernt. Klicken Sie Verknüpfung entfernen nur bewusst.
  • Direkter VVT-Link trotz Asset-Link: Hängt die Maßnahme bereits über die Asset-Kette an der Verarbeitungstätigkeit, ist ein zusätzlicher direkter VVT-Link doppelte Pflege ohne Mehrwert. Die TOM erscheint jedoch in jedem fall nicht doppelt.
  • Eine TOM für sehr viele Assets: Schützt eine Maßnahme pauschal hundert und mehr Assets, verliert die Zuordnung an Aussagekraft. Faustregel: so grob wie möglich, so granular wie nötig.

Die Risiko-Verknüpfung liefert den Bezug zum Risikobehandlungsplan nach ISO 27001 6.1.3, die VVT-Verknüpfung den Nachweis nach DSGVO Art. 32 pro Verarbeitung.

Häufig gestellte Fragen

Was passiert mit Verknüpfungen, wenn ich eine Maßnahme lösche?

Sie werden unwiderruflich entfernt - im Asset, im Risiko, in der VVT, im Anforderungs-Mapping. Empfehlung: Maßnahmen archivieren statt löschen.

Wie sehe ich, welche TOM ein Asset schützen?

Auf der Detailseite des Assets gibt es den Tab Maßnahmen. Dort sind alle TOM gelistet, die mit diesem Asset verknüpft sind - inklusive Status und Wirksamkeit.

Kann eine TOM mehrere Assets gleichzeitig schützen?

Ja. Eine TOM kann mit beliebig vielen Assets, Risiken, VVTs, Geschäftsprozessen und Bedrohungen verknüpft sein. Die Vererbung in die VVT erfolgt über jede dieser Verknüpfungen.

Was sind Bedrohungen und wofür brauche ich die?

Bedrohungen sind Einträge aus dem Bedrohungskatalog (Modul Risikomanagement). Die Verknüpfung TOM -> Bedrohung zeigt, welche Schutzmaßnahmen gegen konkrete Bedrohungen wirken - relevant für eine Bedrohungs-orientierte Risikoanalyse.

Wirkt sich eine TOM auf die Risiko-Bewertung aus?

Indirekt. Die Maßnahmen-Verknüpfung dokumentiert die Behandlung. Die tatsächliche Risiko-Bewertung (Restrisiko nach Maßnahme) erfolgt im Risikomanagement-Modul - die TOM-Verknüpfung liefert dazu die Begründung.

Verwandte Artikel


War dieser Artikel hilfreich?

Powered by Product Fruits
Impressum | Datenschutzerklärung