Maximale Datensicherheit

Sichere und DSGVO-konforme Kanzleisoftware mit höchstem Compliance-Standard

Bei ADVOSERVICE hat Sicherheit oberste Priorität. Wir halten uns vollständig an die BRAO und § 203 StGB und sorgen dafür, dass Ihre Daten stets sicher sind.

Organisatorische Maßnahmen
5.1 Informationssicherheitspolitik und -richtlinien Informationssicherheitspolitik und themenspezifische Richtlinien müssen definiert, von der Geschäftsleitung genehmigt, veröffentlicht, dem zuständigen Personal und den interessierten Parteien mitgeteilt und von diesen zur Kenntnis genommen sowie in geplanten Abständen und bei wesentlichen Änderungen überprüft werden.
5.2 Informationssicherheitsrollen und -verantwortlichkeiten Die Aufgaben und Zuständigkeiten im Bereich der Informationssicherheit müssen entsprechend den Erfordernissen des Unternehmens definiert und zugewiesen werden.
5.3 Aufgabentrennung Sich widersprechende Aufgaben und Verantwortungsbereiche müssen voneinander getrennt werden.
5.4 Verantwortlichkeiten der Leitung Die Leitung muss vom gesamten Personal verlangen, dass es die Informationssicherheit im Einklang mit der eingeführten Informationssicherheitspolitik, und den themenspezifischen Richtlinien und Verfahren der Organisation umsetzt.
5.5 Kontakt zu Behörden Die Organisation muss mit den zuständigen Behörden Kontakt aufnehmen und halten.
5.6 Kontakt mit speziellen Interessensgruppen Die Organisation muss mit speziellen Interessensgruppen oder sonstigen sicherheitsorientierten Expertenforen und Fachverbänden Kontakt aufnehmen und halten.
5.7 Informationen über die Bedrohungslage Informationen über Bedrohungen der Informationssicherheit müssen erhoben und analysiert werden, um Erkenntnisse über Bedrohungen zu gewinnen.
5.8 Informationssicherheit im Projektmanagement Die Informationssicherheit muss in das Projektmanagement integriert werden.
5.9 Inventar der Informationen und anderen damit verbundenen Werte Ein Inventar der Informationen und anderen damit verbundenen Werte, einschließlich der Eigentümer, muss erstellt und gepflegt werden.
5.10 Zulässiger Gebrauch von Informationen und anderen damit verbundenen Werten Regeln für den zulässigen Gebrauch und Verfahren für den Umgang mit Informationen und anderen damit verbundenen Werten müssen aufgestellt, dokumentiert und angewendet werden.
5.11 Rückgabe von Werten Das Personal und gegebenenfalls andere interessierte Parteien müssen alle Werte der Organisation, die sich in ihrem Besitz befinden, bei Änderung oder Beendigung ihres Beschäftigungsverhältnisses, Vertrags oder ihrer Vereinbarung zurückgeben.
5.12 Klassifizierung von Informationen Informationen müssen entsprechend den Informationssicherheitserfordernissen der Organisation auf der Grundlage von Vertraulichkeit, Integrität, Verfügbarkeit und relevanten Anforderungen der interessierten Parteien klassifiziert werden.
5.13 Kennzeichnung von Informationen Ein angemessener Satz von Verfahren zur Kennzeichnung von Informationen muss entsprechend dem von der Organisation eingesetzten Informationsklassifizierungsschema entwickelt und umgesetzt werden.
5.14 Informationsübermittlung Für alle Arten von Übermittlungseinrichtungen innerhalb der Organisation und zwischen der Organisation und anderen Parteien müssen Regeln, Verfahren oder Vereinbarungen zur Informationsübermittlung vorhanden sein.
5.15 Zugangssteuerung Regeln zur Steuerung des physischen und logischen Zugriffs auf Informationen und andere damit verbundene Werte müssen auf der Grundlage von Geschäfts- und Informationssicherheitsanforderungen aufgestellt und umgesetzt werden.
5.16 Identitätsmanagement Der gesamte Lebenszyklus von Identitäten muss verwaltet werden.
5.17 Authentisierungsinformationen Die Zuweisung und Verwaltung von Authentisierungsinformationen muss durch einen Managementprozess gesteuert werden, der auch die Beratung des Personals über den angemessenen Umgang mit Authentisierungsinformationen umfasst.
5.18 Zugangsrechte Zugangsrechte zu Informationen und anderen damit verbundenen Werten müssen in Übereinstimmung mit der themenspezifischen Richtlinie und den Regeln der Organisation für die Zugangssteuerung bereitgestellt, überprüft, geändert und entfernt werden.
5.19 Informationssicherheit in Lieferantenbeziehungen Es müssen Prozesse und Verfahren festgelegt und umgesetzt werden, um die mit der Nutzung der Produkte oder Dienstleistungen des Lieferanten verbundenen Informationssicherheitsrisiken zu beherrschen.
5.20 Behandlung von Informationssicherheit in Lieferantenvereinbarungen Je nach Art der Lieferantenbeziehung müssen die entsprechenden Anforderungen an die Informationssicherheit festgelegt und mit jedem Lieferanten vereinbart werden.
5.21 Umgang mit der Informationssicherheit in der Lieferkette der Informations- und Kommunikationstechnologie (IKT) Es müssen Prozesse und Verfahren festgelegt und umgesetzt werden, um die mit der IKT-Produkt- und Dienstleistungslieferkette verbundenen Informationssicherheitsrisiken zu beherrschen.
5.22 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen Die Organisation muss regelmäßig die Informationssicherheitspraktiken der Lieferanten und die Erbringung von Dienstleistungen überwachen, überprüfen, bewerten und Änderungen steuern.
5.23 Informationssicherheit für die Nutzung von Cloud-Diensten Die Verfahren für den Erwerb, die Nutzung, die Verwaltung und den Ausstieg aus Cloud-Diensten müssen in Übereinstimmung mit den Informationssicherheitsanforderungen der Organisation festgelegt werden.
5.24 Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen Die Organisation muss die Handhabung von Informationssicherheitsvorfällen planen und vorbereiten, indem sie Prozesse, Rollen und Verantwortlichkeiten für die Handhabung von Informationssicherheitsvorfällen definiert, einführt und kommuniziert.
5.25 Beurteilung und Entscheidung über Informationssicherheitsereignisse Die Organisation muss Informationssicherheitsereignisse beurteilen und entscheiden, ob sie als Informationssicherheitsvorfälle eingestuft werden müssen.
5.26 Reaktion auf Informationssicherheitsvorfälle Auf Informationssicherheitsvorfälle muss entsprechend den dokumentierten Verfahren reagiert werden
5.27 Erkenntnisse aus Informationssicherheitsvorfällen Aus Informationssicherheitsvorfällen gewonnene Erkenntnisse müssen zur Verstärkung und Verbesserung der Informationssicherheitsmaßnahmen genutzt werden
5.28 Sammeln von Beweismaterial Die Organisation muss Verfahren für die Ermittlung, Sammlung, Beschaffung und Aufbewahrung von Beweismaterial im Zusammenhang mit Informationssicherheitsereignissen einführen und umsetzen.
5.29 Informationssicherheit bei Störungen Die Organisation muss planen, wie die Informationssicherheit während einer Störung auf einem angemessenen Niveau gehalten werden kann.
5.30 IKT-Bereitschaft für Business- Continuity Die IKT-Bereitschaft muss auf der Grundlage von Business-Continuity- Zielen und IKT-Kontinuitätsanforderungen geplant, umgesetzt, aufrechterhalten und geprüft werden.
5.31 Juristische, gesetzliche, regulatorische und vertragliche Anforderungen Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen, die für die Informationssicherheit relevant sind und die Vorgehensweise der Organisation zur Erfüllung dieser Anforderungen müssen ermittelt, dokumentiert und auf dem neuesten Stand gehalten werden.
5.32 Geistige Eigentumsrechte Die Organisation muss geeignete Verfahren zum Schutz der Rechte an geistigem Eigentum einführen.
5.33 Schutz von Aufzeichnung Aufzeichnungen müssen vor Verlust, Zerstörung, Fälschung, unbefugtem Zugriff und unbefugter Veröffentlichung geschützt sein.
5.34 Datenschutz und Schutz von personenbezogenen Daten (PbD) Die Organisation muss die Anforderungen an die Wahrung der Privatsphäre und den Schutz personenbezogener Daten nach den geltenden Gesetzen und Vorschriften sowie den vertraglichen Anforderungen ermitteln und erfüllen.
5.35 Unabhängige Überprüfung der Informationssicherheit Die Vorgehensweise der Organisation für die Handhabung der Informationssicherheit und deren Umsetzung einschließlich der Mitarbeiter, Prozesse und Technologien müssen auf unabhängige Weise in planmäßigen Abständen oder jeweils bei erheblichen Änderungen überprüft werden.
5.36 Einhaltung von Richtlinien, Vorschriften und Normen für die Informationssicherheit Die Einhaltung der Informationssicherheitspolitik der Organisation und ihrer themenspezifischen Richtlinien, Regeln und Normen muss regelmäßig überprüft werden.
5.37 Dokumentierte Betriebsabläufe Die Betriebsverfahren für Informationsverarbeitungsanlagen müssen dokumentiert und dem Personal, das sie benötigt, zur Verfügung gestellt werden.

Organisatorische Maßnahmen

5.1 Informationssicherheitspolitik und -richtlinien

Informationssicherheitspolitik und themenspezifische Richtlinien müssen definiert, von der Geschäftsleitung genehmigt, veröffentlicht, dem zuständigen Personal und den interessierten Parteien mitgeteilt und von diesen zur Kenntnis genommen sowie in geplanten Abständen und bei wesentlichen Änderungen überprüft werden.

5.2 Informationssicherheitsrollen und -verantwortlichkeiten

Die Aufgaben und Zuständigkeiten im Bereich der Informationssicherheit müssen entsprechend den Erfordernissen des Unternehmens definiert und zugewiesen werden.

5.3 Aufgabentrennung

Sich widersprechende Aufgaben und Verantwortungsbereiche müssen voneinander getrennt werden.

5.4 Verantwortlichkeiten der Leitung

Die Leitung muss vom gesamten Personal verlangen, dass es die Informationssicherheit im Einklang mit der eingeführten Informationssicherheitspolitik, und den themenspezifischen Richtlinien und Verfahren der Organisation umsetzt.

5.5 Kontakt zu Behörden

Die Organisation muss mit den zuständigen Behörden Kontakt aufnehmen und halten.

5.6 Kontakt mit speziellen Interessensgruppen

Die Organisation muss mit speziellen Interessensgruppen oder sonstigen sicherheitsorientierten Expertenforen und Fachverbänden Kontakt aufnehmen und halten.

5.7 Informationen über die Bedrohungslage

Informationen über Bedrohungen der Informationssicherheit müssen erhoben und analysiert werden, um Erkenntnisse über Bedrohungen zu gewinnen.

5.8 Informationssicherheit im Projektmanagement

Die Informationssicherheit muss in das Projektmanagement integriert werden.

5.9 Inventar der Informationen und anderen damit verbundenen Werte

Ein Inventar der Informationen und anderen damit verbundenen Werte, einschließlich der Eigentümer, muss erstellt und gepflegt werden.

5.10 Zulässiger Gebrauch von Informationen und anderen damit verbundenen Werten

Regeln für den zulässigen Gebrauch und Verfahren für den Umgang mit Informationen und anderen damit verbundenen Werten müssen aufgestellt, dokumentiert und angewendet werden.

5.11 Rückgabe von Werten

Das Personal und gegebenenfalls andere interessierte Parteien müssen alle Werte der Organisation, die sich in ihrem Besitz befinden, bei Änderung oder Beendigung ihres Beschäftigungsverhältnisses, Vertrags oder ihrer Vereinbarung zurückgeben.

5.12 Klassifizierung von Informationen

Informationen müssen entsprechend den Informationssicherheitserfordernissen der Organisation auf der Grundlage von Vertraulichkeit, Integrität, Verfügbarkeit und relevanten Anforderungen der interessierten Parteien klassifiziert werden.

5.13 Kennzeichnung von Informationen

Ein angemessener Satz von Verfahren zur Kennzeichnung von Informationen muss entsprechend dem von der Organisation eingesetzten Informationsklassifizierungsschema entwickelt und umgesetzt werden.

5.14 Informationsübermittlung

Für alle Arten von Übermittlungseinrichtungen innerhalb der Organisation und zwischen der Organisation und anderen Parteien müssen Regeln, Verfahren oder Vereinbarungen zur Informationsübermittlung vorhanden sein.

5.15 Zugangssteuerung

Regeln zur Steuerung des physischen und logischen Zugriffs auf Informationen und andere damit verbundene Werte müssen auf der Grundlage von Geschäfts- und Informationssicherheitsanforderungen aufgestellt und umgesetzt werden.

5.16 Identitätsmanagement

Der gesamte Lebenszyklus von Identitäten muss verwaltet werden.

5.17 Authentisierungsinformationen

Die Zuweisung und Verwaltung von Authentisierungsinformationen muss durch einen Managementprozess gesteuert werden, der auch die Beratung des Personals über den angemessenen Umgang mit Authentisierungsinformationen umfasst.

5.18 Zugangsrechte

Zugangsrechte zu Informationen und anderen damit verbundenen Werten müssen in Übereinstimmung mit der themenspezifischen Richtlinie und den Regeln der Organisation für die Zugangssteuerung bereitgestellt, überprüft, geändert und entfernt werden.

5.19 Informationssicherheit in Lieferantenbeziehungen

Es müssen Prozesse und Verfahren festgelegt und umgesetzt werden, um die mit der Nutzung der Produkte oder Dienstleistungen des Lieferanten verbundenen Informationssicherheitsrisiken zu beherrschen.

5.20 Behandlung von Informationssicherheit in Lieferantenvereinbarungen

Je nach Art der Lieferantenbeziehung müssen die entsprechenden Anforderungen an die Informationssicherheit festgelegt und mit jedem Lieferanten vereinbart werden.

5.21 Umgang mit der Informationssicherheit in der Lieferkette der Informations- und Kommunikationstechnologie (IKT)

Es müssen Prozesse und Verfahren festgelegt und umgesetzt werden, um die mit der IKT-Produkt- und Dienstleistungslieferkette verbundenen Informationssicherheitsrisiken zu beherrschen.

5.22 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen

Die Organisation muss regelmäßig die Informationssicherheitspraktiken der Lieferanten und die Erbringung von Dienstleistungen überwachen, überprüfen, bewerten und Änderungen steuern.

5.23 Informationssicherheit für die Nutzung von Cloud-Diensten

Die Verfahren für den Erwerb, die Nutzung, die Verwaltung und den Ausstieg aus Cloud-Diensten müssen in Übereinstimmung mit den Informationssicherheitsanforderungen der Organisation festgelegt werden.

5.24 Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen

Die Organisation muss die Handhabung von Informationssicherheitsvorfällen planen und vorbereiten, indem sie Prozesse, Rollen und Verantwortlichkeiten für die Handhabung von Informationssicherheitsvorfällen definiert, einführt und kommuniziert.

5.25 Beurteilung und Entscheidung über Informationssicherheitsereignisse

Die Organisation muss Informationssicherheitsereignisse beurteilen und entscheiden, ob sie als Informationssicherheitsvorfälle eingestuft werden müssen.

5.26 Reaktion auf Informationssicherheitsvorfälle

Auf Informationssicherheitsvorfälle muss entsprechend den dokumentierten Verfahren reagiert werden

5.27 Erkenntnisse aus Informationssicherheitsvorfällen

Aus Informationssicherheitsvorfällen gewonnene Erkenntnisse müssen zur Verstärkung und Verbesserung der Informationssicherheitsmaßnahmen genutzt werden

5.28 Sammeln von Beweismaterial

Die Organisation muss Verfahren für die Ermittlung, Sammlung, Beschaffung und Aufbewahrung von Beweismaterial im Zusammenhang mit Informationssicherheitsereignissen einführen und umsetzen.

5.29 Informationssicherheit bei Störungen

Die Organisation muss planen, wie die Informationssicherheit während einer Störung auf einem angemessenen Niveau gehalten werden kann.

5.30 IKT-Bereitschaft für Business- Continuity

Die IKT-Bereitschaft muss auf der Grundlage von Business-Continuity- Zielen und IKT-Kontinuitätsanforderungen geplant, umgesetzt, aufrechterhalten und geprüft werden.

5.31 Juristische, gesetzliche, regulatorische und vertragliche Anforderungen

Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen, die für die Informationssicherheit relevant sind und die Vorgehensweise der Organisation zur Erfüllung dieser Anforderungen müssen ermittelt, dokumentiert und auf dem neuesten Stand gehalten werden.

5.32 Geistige Eigentumsrechte

Die Organisation muss geeignete Verfahren zum Schutz der Rechte an geistigem Eigentum einführen.

5.33 Schutz von Aufzeichnung

Aufzeichnungen müssen vor Verlust, Zerstörung, Fälschung, unbefugtem Zugriff und unbefugter Veröffentlichung geschützt sein.

5.34 Datenschutz und Schutz von personenbezogenen Daten (PbD)

Die Organisation muss die Anforderungen an die Wahrung der Privatsphäre und den Schutz personenbezogener Daten nach den geltenden Gesetzen und Vorschriften sowie den vertraglichen Anforderungen ermitteln und erfüllen.

5.35 Unabhängige Überprüfung der Informationssicherheit

Die Vorgehensweise der Organisation für die Handhabung der Informationssicherheit und deren Umsetzung einschließlich der Mitarbeiter, Prozesse und Technologien müssen auf unabhängige Weise in planmäßigen Abständen oder jeweils bei erheblichen Änderungen überprüft werden.

5.36 Einhaltung von Richtlinien, Vorschriften und Normen für die Informationssicherheit

Die Einhaltung der Informationssicherheitspolitik der Organisation und ihrer themenspezifischen Richtlinien, Regeln und Normen muss regelmäßig überprüft werden.

5.37 Dokumentierte Betriebsabläufe

Die Betriebsverfahren für Informationsverarbeitungsanlagen müssen dokumentiert und dem Personal, das sie benötigt, zur Verfügung gestellt werden.

Software für Kanzleien

AdvoIntake

AdvoConflictCheck

AdvoTripExpense

AdvoWebTime

AdvoCloudSync

AdvoReports

AdvoDashboard

AdvoSmartlist

AdvoDocumentAutomation

Sichere und DSGVO-konforme Kanzleisoftware mit höchstem Compliance-Standard

Machen Sie den nächsten Schritt
in Richtung digitale Kanzlei.

+1 800 555 5555

Software für Kanzleien

Sichere und DSGVO-konforme Kanzleisoftware mit höchstem Compliance-Standard

Machen Sie den nächsten Schritt in Richtung digitale Kanzlei.

+1 800 555 5555

Machen Sie den nächsten Schritt
in Richtung digitale Kanzlei.