TOM (Technische und organisatorische Maßnahmen) ist der datenschutzrechtliche Begriff für alle Schutzmaßnahmen, die ein Unternehmen zum Schutz personenbezogener Daten ergreift. Art. 32 DSGVO verlangt, dass diese Maßnahmen dem Risiko angemessen sind. Technische Maßnahmen umfassen z. B. Verschlüsselung und Zugriffsbeschränkungen, organisatorische Maßnahmen Schulungen und Richtlinien. Im ISMS überschneiden sich TOMs stark mit den Informationssicherheitskontrollen. Eine saubere Dokumentation der TOMs erleichtert sowohl Datenschutz- als auch ISMS-Audits.