Org. Maßnahme - Governance

• Die individuellen Zugriffsrechte auf die Daten müssen festgelegt und dokumentiert werden und mit dem Zweck des KI-Systems übereinstimmen (siehe auch CY1.2)
• ein entsprechendes Zugriffsmanagement sollte mindestens beinhalten: a) Gewährung und Änderung (Provisionierung) von Zugriffsberechtigungen basierend auf dem Prinzip der minimalen Rechtevergabe und dem Need-to-know-Prinzip; b) Trennung von Aufgaben; c) Zugang zu Daten für unbefugte Subjekte wird verweigert; d) Regelmäßige Überprüfung der gewährten Berechtigungen; e) Entzug von Berechtigungen bei Änderungen im Beschäftigungsverhältnis oder der Rolle des Mitarbeiters f) Im Falle von personenbezogenen Daten, die Möglichkeit der betroffenen Personen Zugriff auf ihre Daten zu erhalten, siehe auch MA1.3 g) Die Dokumentation der Daten sollte Details zum Zugangsmanagement beinhalten, siehe DA1.1

Tech. Maßnahme - Daten

• technische Maßnahmen wie ein Zugriffsmanagementsystem müssen definiert und vorhanden sein, um den Zugriff auf personenbezogene und proprietäre Trainings-, Test-, Validierungs-, und anderen KI-spezifischen Daten durch nicht autorisierte Personen zu verhindern
• Die Übermittlung von personenbezogenen oder proprietären Daten zwischen Parteien oder in eine Cloud muss gesichert werden, mindestens durch a) Nutzung und Dokumentierung von Verschlüsselungsverfahren für die Übertragung (Daten in Bewegung) b) Implementierung technischer Schutzmaßnahmen für die Kommunikationssicherheit

Tech. Maßnahme - Betrieb

• technische Maßnahmen müssen definiert und vorgesehen sein, um den Zugriff auf personenbezogene und proprietäre Trainings-, Test-, Validierungs-, und anderen KI-spezifischen Daten durch nicht autorisierte Personen während des Betriebs des KI-Systems zu verhindern, einschließlich Eingabe- und Ausgabedaten des KI-Systems

Org. Maßnahme - Governance

• Die individuellen Zugriffsrechte auf die Daten müssen festgelegt und dokumentiert werden und mit dem Zweck des KI-Systems übereinstimmen (siehe auch CY1.2)
• ein entsprechendes Zugriffsmanagement sollte mindestens beinhalten: a) Gewährung und Änderung (Provisionierung) von Zugriffsberechtigungen basierend auf dem Prinzip der minimalen Rechtevergabe und dem Need-to-know-Prinzip; b) Trennung von Aufgaben; c) Zugang zu Daten für unbefugte Subjekte wird verweigert; d) Regelmäßige Überprüfung der gewährten Berechtigungen; e) Entzug von Berechtigungen bei Änderungen im Beschäftigungsverhältnis oder der Rolle des Mitarbeiters f) Im Falle von personenbezogenen Daten, die Möglichkeit der betroffenen Personen Zugriff auf ihre Daten zu erhalten, siehe auch MA1.3 g) Die Dokumentation der Daten sollte Details zum Zugangsmanagement beinhalten, siehe DA1.1

Tech. Maßnahme - Daten

• technische Maßnahmen wie ein Zugriffsmanagementsystem müssen definiert und vorhanden sein, um den Zugriff auf personenbezogene und proprietäre Trainings-, Test-, Validierungs-, und anderen KI-spezifischen Daten durch nicht autorisierte Personen zu verhindern
• Die Übermittlung von personenbezogenen oder proprietären Daten zwischen Parteien oder in eine Cloud muss gesichert werden, mindestens durch a) Nutzung und Dokumentierung von Verschlüsselungsverfahren für die Übertragung (Daten in Bewegung) b) Implementierung technischer Schutzmaßnahmen für die Kommunikationssicherheit

Org. Maßnahme - Governance

• Die individuellen Zugriffsrechte auf die Daten müssen festgelegt und dokumentiert werden und mit dem Zweck des KI-Systems übereinstimmen (siehe auch CY1.2)

Tech. Maßnahme - Daten

• technische Maßnahmen wie ein Zugriffsmanagementsystem müssen definiert und vorhanden sein, um den Zugriff auf personenbezogene und proprietäre Trainings-, Test-, Validierungs-, und anderen KI-spezifischen Daten durch nicht autorisierte Personen zu verhindern
• Die Übermittlung von personenbezogenen oder proprietären Daten zwischen Parteien oder in eine Cloud muss gesichert werden, mindestens durch a) Nutzung und Dokumentierung von Verschlüsselungsverfahren für die Übertragung (Daten in Bewegung) b) Implementierung technischer Schutzmaßnahmen für die Kommunikationssicherheit

Es wurden keine Maßnahmen ergriffen oder Sicherheitskontrollen eingeführt um den Zugang zu KI-spezifischen Daten zu regeln