Info:Trust and Safety/Cloud - Sicherheit und Zuverlässigkeit/C5 Interner Auditstatus: Unterschied zwischen den Versionen

VisuellWikitext
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
(6 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 16: Zeile 16:
!ID
!ID
!Guideline
!Guideline
!Comment
!Kommentar
!Audit state
!Audit Status
|-
|-
|C5-01-OIS-01
|C5-01-OIS-01
|Informationssicherheits-managementsystem (OIS-02)
|Managementsystem für Informationssicherheit (OIS-02)
|ISMS is in effect, but  not all requirements of C5 are implemented
|ISMS ist in Kraft, aber nicht alle Anforderungen von C5 sind umgesetzt.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-01-OIS-02
|C5-01-OIS-02
|Leitlinie zur Informationssicherheit (OIS-02)
|Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitungt (OIS-02)
|Security policy is  available, but needs improvement
|Richtlinien für die Sicherheit sind vorhanden, aber Verbesserungen sind notwendig.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-01-OIS-03
|C5-01-OIS-03
|Schnittstellen und Abhängigkeiten (OIS-03)
|Zuständigkeiten und Verantwortungen im Rahmen der Informationssicherheit (OIS-03)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-01-OIS-04
|C5-01-OIS-04
|Aufgabentrennung (OIS-04)
|Funktionstrennung (OIS-04)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
Zeile 45: Zeile 45:
|-
|-
|C5-01-OIS-06
|C5-01-OIS-06
|Richtlinie für den Umgang mit Risiken (OIS-06)
|Richtlinie für die Organisation des Risikomanagements (OIS-06)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-01-OIS-07
|C5-01-OIS-07
|Anwendung des Verfahrens für den Umgang mit Risiken (OIS-07)
|Identifikation, Analyse, Beurteilung und Behandlung von Risiken (OIS-07)
|The process is  described, but not well established
|Der Prozess ist beschrieben und wird eingeführt.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-03-SP-01
|C5-03-SP-01
|Kommunikation und Bereitstellung von Richtlinien und Anweisungen (SP-01)
|Dokumentation, Kommunikation und Bereitstellung von Richtlinien und Anweisungen (SP-01)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-03-SP-02
|C5-03-SP-02
|Überprüfung und Freigabe von Richtlinien und Anweisungen (SP-02)
|Überprüfung und Freigabe von von Richtlinien und Anweisungen (SP-02)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
Zeile 70: Zeile 70:
|-
|-
|C5-04-HR-01
|C5-04-HR-01
|Überprüfung der Qualifikation und Vertrauenswürdigkeit (HR-01)
|Sicherheitsüberprüfung der Hintergrundinformationen (HR-01)
|Given the small size  of the company, trust is established on a personal basis
|Vertrauen wird auf persönlicher Basis aufgebaut, da das Unternehmen klein ist.
| class="col-grey-light-bg" style="" |nicht aktiv
| class="col-grey-light-bg" style="" |nicht aktiv
|-
|-
|C5-04-HR-02
|C5-04-HR-02
|Beschäftigungs- und Vertragsbedingungen (HR-02)
|Beschäftigungsvereinbarungen (HR-02)
|We do bind our  employees contractually to data protection and privacy. Security is only  mentioned implicitly here.
|Mitarbeiter werden vertraglich auf Datenschutz und Privatsphäre verpflichtet. Sicherheit ist implizit angesprochen.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
Zeile 85: Zeile 85:
|-
|-
|C5-04-HR-04
|C5-04-HR-04
|Maßregelungsprozess (HR-04)
|Disziplinarmaßnahmen (HR-04)
|There is no specific  mention of security issues. However, standard disciplinary measures apply.
|Sicherheitsfragen werden noch nicht ausdrücklich ausgeführt. Es gelten jedoch die üblichen Disziplinarmaßnahmen.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-04-HR-05
|C5-04-HR-05
|Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung (HR-05)
|Beendigung des Beschäftigungsverhältnisses oder Änderungen der Verantwortlichkeiten (HR-05)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-05-AM-01
|C5-05-AM-01
|Inventarisierung der Assets (AM-01)
|Asset Inventar (AM-01)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-05-AM-02
|C5-05-AM-02
|Richtlinie für den zulässigen Gebrauch und sicheren Umgang mit Assets (AM-02)
|Zuweisung von Asset Verantwortlichen (AM-02)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-05-AM-03
|C5-05-AM-03
|Inbetriebnahme von Hardware (AM-03)
|Nutzungsanweisungen für Assets (AM-03)
|In our internal wiki,  we document the handling of specific assets. However, there is no systematic  approach
|In der internen Knowledge Base wird der Umgang mit bestimmten Vermögenswerten dokumentiert. Dieses ist im nächsten Schritt zu systematisieren.  
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-05-AM-04
|C5-05-AM-04
|ISM:Handing in and returning assets (AM-04)
|Ab- und Rückgabe von Assets (AM-04)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-05-AM-05
|C5-05-AM-05
|ISM:Classification of information (AM-05)
|Klassifikation von Informationen (AM-05)
|We classify services, but there is no classification scheme for data. All customer data is treated  as sensitive.
|Dienste werden klassifiziert, es gibt jedoch kein Klassifizierungsschema für Daten.  
Alle Kundendaten werden vertraulich behandelt.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-05-AM-06
|C5-05-AM-06
|Klassifizierung und Kennzeichnung von Assets (AM-06)
|Kennzeichnung von Informationen und Handhabung von Assets (AM-06)
|We currently do not  label information. As a standard, all customer data is treated as sensitive.
|Informationen werden derzeit nicht gekennzeichnet.  
Standardmäßig werden alle Kundendaten vertraulich behandelt.
| class="col-grey-light-bg" style="" |nicht aktiv
| class="col-grey-light-bg" style="" |nicht aktiv
|-
|-
|C5-05-AM-07
|C5-05-AM-07
|ISM:Management of data media (AM-07)
|Verwaltung von Datenträgern (AM-07)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-05-AM-08
|C5-05-AM-08
|ISM:Transfer and removal of assets (AM-08)
|Überführung und Entfernung von Assets (AM-08)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
Zeile 136: Zeile 138:
|C5-06-PS-01
|C5-06-PS-01
|Perimeterschutz (PS-01)
|Perimeterschutz (PS-01)
|Data center locations, where our cloud data is located, do all comply with ISO 27001 and do have  according perimeter protection.
|Die Rechenzentrumsstandorte, an denen sich Cloud-Daten des Unternehmens befinden, erfüllen alle den Standard ISO 27001 und verfügen über einen entsprechenden Perimeterschutz.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
Zeile 145: Zeile 147:
|-
|-
|C5-06-PS-03
|C5-06-PS-03
|ISM:Protection against threats from  outside and from the environment (PS-03)
|Schutz vor Bedrohungen von außen und aus der Umgebung (PS-03)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-06-PS-04
|C5-06-PS-04
|ISM:Protection against interruptions  caused by power failures and other such risks (PS-04)
|Schutz vor Unterbrechungen durch Stromausfälle und andere derartige Risiken (PS-04)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-06-PS-05
|C5-06-PS-05
|ISM:Maintenance of infrastructure and  devices (PS-05)
|Wartung von Infrastruktur und Geräten (PS-05)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-07-OPS-01
|C5-07-OPS-01
|Planning (OPS-01)
|Kapazitätsmanagement – Planung (OPS-01)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-07-OPS-02
|C5-07-OPS-02
|Monitoring (OPS-02)
|Kapazitätsmanagement – Überwachung (OPS-02)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-07-OPS-03
|C5-07-OPS-03
|Controlling of Resources (OPS-03)
|Kapazitätsmanagement - Datenlokation (OPS-03)
|Here, it is required  to make resource data available to the customer for their planning. This is  currently out of scope.
|Hier ist es erforderlich, dem Kunden Ressourcendaten für seine Planung zur Verfügung zu stellen. Dies liegt derzeit außerhalb des Geltungsbereichs.
| class="col-grey-light-bg" style="" |nicht aktiv
| class="col-grey-light-bg" style="" |nicht aktiv
|-
|-
|C5-07-OPS-04
|C5-07-OPS-04
|Concept (OPS-04)
|Kapazitätsmanagement - Steuerung von Ressourcen (OPS-04)
|
|
| class="col-orange-bg" style="" |vollständig umgesetzt
| class="col-orange-bg" style="" |vollständig umgesetzt
|-
|-
|C5-07-OPS-05
|C5-07-OPS-05
|Implementation (OPS-05)
|Schutz vor Schadprogrammen (OPS-05)
|
|
| class="col-orange-bg" style="" |vollständig umgesetzt
| class="col-orange-bg" style="" |vollständig umgesetzt
|-
|-
|C5-07-OPS-06
|C5-07-OPS-06
|Concept (OPS-06)
|Datensicherung und Wiederherstellung – Konzept (OPS-06)
|
|
| class="col-orange-bg" style="" |vollständig umgesetzt
| class="col-orange-bg" style="" |vollständig umgesetzt
|-
|-
|C5-07-OPS-07
|C5-07-OPS-07
|Monitoring (OPS-07)
|Datensicherung und Wiederherstellung – Überwachung (OPS-07)
|
|
| class="col-orange-bg" style="" |vollständig umgesetzt
| class="col-orange-bg" style="" |vollständig umgesetzt
|-
|-
|C5-07-OPS-08
|C5-07-OPS-08
|Regular Testing (OPS-08)
|Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-08)
|
|
| class="col-orange-bg" style="" |vollständig umgesetzt
| class="col-orange-bg" style="" |vollständig umgesetzt
|-
|-
|C5-07-OPS-09
|C5-07-OPS-09
|Storage (OPS-09)
|Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-09)
|
|
| class="col-orange-bg" style="" |vollständig umgesetzt
| class="col-orange-bg" style="" |vollständig umgesetzt
|-
|-
|C5-07-OPS-10
|C5-07-OPS-10
|Concept (OPS-10)
|Protokollierung und Überwachung – Konzept (OPS-10)
|
|
| class="col-orange-bg" style="" |vollständig umgesetzt
| class="col-orange-bg" style="" |vollständig umgesetzt
|-
|-
|C5-07-OPS-11
|C5-07-OPS-11
|Metadata Management Concept (OPS-11)
|Protokollierung und Überwachung – Konzept (OPS-11)
|Is currently covered  in OPS-10
|Wird derzeit in OPS-10 abgedeckt
| class="col-grey-light-bg" style="" |nicht aktiv
| class="col-grey-light-bg" style="" |nicht aktiv
|-
|-
|C5-07-OPS-12
|C5-07-OPS-12
|Access, Storage and Deletion (OPS-12)
|Protokollierung und Überwachung – Kritische Assets (OPS-12)
|Is currently covered  by OPS-10
|Wird derzeit in OPS-10 abgedeckt
| class="col-grey-light-bg" style="" |nicht aktiv
| class="col-grey-light-bg" style="" |nicht aktiv
|-
|-
|C5-07-OPS-13
|C5-07-OPS-13
|Identification of Events (OPS-13)
|Protokollierung und Überwachung – Aufbewahrung der Protokolle (OPS-13)
|Is currently covered  by OPS-10
|Wird derzeit in OPS-10 abgedeckt
| class="col-grey-light-bg" style="" |nicht aktiv
| class="col-grey-light-bg" style="" |nicht aktiv
|-
|-
|C5-07-OPS-14
|C5-07-OPS-14
|Storage of the Logging Data (OPS-14)
|Protokollierung und Überwachung – Zurechenbarkeit (OPS-14)
|Log data is stored  centrally on a logging server.
|Protokolldaten werden zentral auf einem Protokollierungsserver gespeichert.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-07-OPS-15
|C5-07-OPS-15
|Accountability (OPS-15)
|Protokollierung und Überwachung – Konfiguration (OPS-15)
|Application logs are  available. Access logs are stored without IP address
|Anwendungsprotokolle sind verfügbar. Zugriffsprotokolle werden ohne IP-Adresse gespeichert.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-07-OPS-16
|C5-07-OPS-16
|Configuration (OPS-16)
|Protokollierung und Überwachung – Verfügbarkeit der Überwachungs-Software (OPS-16)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-07-OPS-17
|C5-07-OPS-17
|Availability of the Monitoring Software  (OPS-17)
|Umgang mit Schwachstellen, Störungen und Fehlern – Konzept (OPS-17)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-07-OPS-18
|C5-07-OPS-18
|Concept (OPS-18)
|Umgang mit Schwachstellen, Störungen und Fehlern – Penetrationstests (OPS-18)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-07-OPS-19
|C5-07-OPS-19
|Penetration Tests (OPS-19)
|Umgang mit Schwachstellen, Störungen und Fehlern - Integration mit Änderungs- und Incident Management (OPS-19)
|We currently do not  perform any external or internal penetration tests. However, some of our  customers did. No major issues were found.
|Im Rahmen von Kundenprojekten erfolgen zeitweise Penetrationstests. Hier wurden keine größeren Probleme festgestellt.
Hallo Welt! führt selbst (noch) keine interne Penetrationstests durch.  
| class="col-grey-light-bg" style="" |nicht aktiv
| class="col-grey-light-bg" style="" |nicht aktiv
|-
|-
|C5-07-OPS-20
|C5-07-OPS-20
|Measurements, Analyses and Assessment of Procedures (OPS-20)
|Umgang mit Schwachstellen, Störungen und Fehlern – Einbindung des Cloud-Kunden (OPS-20)
|There is no regular  process for this yet.
|Einen regulären Prozess hierfür gibt es noch nicht.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-07-OPS-21
|C5-07-OPS-21
|ISM:Involvement of Cloud Customers in the  Event of Incidents (OPS-21)
|Umgang mit Schwachstellen, Störungen und Fehlern - Prüfung offener Schwachstellen (OPS-21)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-07-OPS-22
|C5-07-OPS-22
|ISM:Testing and Documentation of Known  Vulnerabilities (OPS-22)
|Umgang mit Schwachstellen, Störungen und Fehlern – System-Härtung (OPS-22)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-07-OPS-23
|C5-07-OPS-23
|System Hardening (OPS-23)
|Segregation der gespeicherten und verarbeiteten Daten der Cloud-Kunden in gemeinsam genutzten Ressourcen (OPS-23)
|We adhere to industry  standards. There is currently no documentation per system.
|Hallo Welt! orientiert sich hier an Industriestandards.  
Derzeit gibt es keine Dokumentation pro System.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-07-OPS-24
|C5-07-OPS-24
|ISM:Separation of Datasets in the Cloud Infrastructure (OPS-24)
|Separierung der Datenbestände in der Cloud-Infrastruktur (OPS-24)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-08-IDM-01
|C5-08-IDM-01
|ISM:Policy for user accounts and access  rights (IDM-01)
|Richtlinie für Zugangs- und Zugriffsberechtigungen (IDM-01)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-08-IDM-02
|C5-08-IDM-02
|ISM:Granting and change of user accounts  and access rights (IDM-02)
|Benutzerregistrierung (IDM-02)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-08-IDM-03
|C5-08-IDM-03
|ISM:Locking and withdrawal of user accounts in the event of  inactivity or multiple failed logins (IDM-03)
|Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen (IDM-03)
|Some of our systems  implement this. The rest is managed automatically.
|Einige Systeme implementieren dies. Der Rest wird automatisch verwaltet.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-08-IDM-04
|C5-08-IDM-04
|ISM:Withdraw or adjust access rights as  the task area changes (IDM-04)
|Berechtigungsentzug (Deprovisionierung) bei Veränderungen des Arbeitsverhältnisses (IDM-04)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-08-IDM-05
|C5-08-IDM-05
|ISM:Regular review of access rights (IDM-05)
|Regelmäßige Überprüfung der Zugriffsberechtigungen (IDM-05)
|This is currently only  done for the most critical systems
|Dies wird derzeit nur für die kritischsten Systeme durchgeführt.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-08-IDM-06
|C5-08-IDM-06
|ISM:Privileged access rights (IDM-06)
|Administratorenberechtigungen (IDM-06)
|Mostly implemented,  but we do not revoke privileges on a limited time basis
|Größtenteils implementiert. Privilegien werden jedoch nicht für eine begrenzte Zeit entzogen.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-08-IDM-07
|C5-08-IDM-07
|ISM:Access to cloud customer data (IDM-07)
|Geheimhaltung von Authentifizierungsinformationen (IDM-07)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-08-IDM-08
|C5-08-IDM-08
|ISM:Confidentiality of authentication  information (IDM-08)
|Sichere Anmeldeverfahren (IDM-08)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-08-IDM-09
|C5-08-IDM-09
|ISM:Authentication Mechanisms (IDM-09)
|Umgang mit Notfallbenutzern (IDM-09)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-09-CRY-01
|C5-09-CRY-01
|ISM:Policy for the use of encryption procedures and key  management (CRY-01)
|Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung (CRY-01)
|There are some  guidelines, but no approved policy yet.
|Es gibt einige Richtlinien, aber noch keine genehmigte Richtlinie.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-09-CRY-02
|C5-09-CRY-02
|ISM:Encryption of data for transmission  (transport encryption) (CRY-02)
|Verschlüsselung von Daten bei der Übertragung (Transportverschlüsselung) (CRY-02)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-09-CRY-03
|C5-09-CRY-03
|ISM:Encryption of sensitive data for storage (CRY-03)
|Verschlüsselung von sensiblen Daten bei der Speicherung (CRY-03)
|Customer data is  encrypted at rest. Backups are encrypted
|Kundendaten werden im Ruhezustand verschlüsselt. Backups sind verschlüsselt.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-09-CRY-04
|C5-09-CRY-04
|ISM:Secure key management (CRY-04)
|Sichere Schlüsselverwaltung (CRY-04)
|There is no  centralized key management. Guidelines exist.
|Es gibt keine zentrale Schlüsselverwaltung. Richtlinien existieren.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-10-COS-01
|C5-10-COS-01
|ISM:Technical safeguards (COS-01)
|Technische Schutzmaßnahmen (COS-01)
|We do not run any  intrusion detection system. However, we monitor network patterns and will be  informed on major irregularities, like DDOS attacks.
|Hallo Welt! betreibt kein Einbruchmeldesystem. Überwacht werden aber Netzwerkmuster und es erfolgen Benachrichtigungen bei größeren Unregelmäßigkeiten, wie z. B. DDOS-Angriffe.
| class="col-grey-light-bg" style="" |nicht aktiv
| class="col-grey-light-bg" style="" |nicht aktiv
|-
|-
|C5-10-COS-02
|C5-10-COS-02
|ISM:Security requirements for connections  in the Cloud Service Provider’s network (COS-02)
|Überwachen von Verbindungen (COS-02)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-10-COS-03
|C5-10-COS-03
|ISM:Monitoring of connections in the Cloud Service  Provider’s network (COS-03)
|Netzwerkübergreifende Zugriffe (COS-03)
|All access to the  cloud network is logged.
|Alle Zugriffe auf das Cloud-Netzwerk werden protokolliert.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-10-COS-04
|C5-10-COS-04
|ISM:Cross-network access (COS-04)
|Netzwerke zur Administration (COS-04)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-10-COS-05
|C5-10-COS-05
|ISM:Networks for administration (COS-05)
|Segregation des Datenverkehrs in gemeinsam genutzten Netzwerkumgebungen (COS-05)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-10-COS-06
|C5-10-COS-06
|ISM:Segregation of data traffic in jointly used network  environments (COS-06)
|Dokumentation der Netztopologie (COS-06)
|Internal traffic  segregated, but not encrypted.
|Interner Datenverkehr getrennt, aber nicht verschlüsselt.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-10-COS-07
|C5-10-COS-07
|ISM:Documentation of the network topology (COS-07)
|Richtlinien zur Datenübertragung (COS-07)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-10-COS-08
|C5-10-COS-08
|ISM:Policies for data transmission  (COS-08)
|Vertraulichkeitserklärung (COS-08)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-11-PI-01
|C5-11-PI-01
|ISM:Documentation and safety of input and  output interfaces (PI-01)
|Nutzung öffentlicher API's und Industriestandards (PI-01)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-11-PI-02
|C5-11-PI-02
|ISM:Contractual agreements for the  provision of data (PI-02)
|Export von Daten (PI-02)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-11-PI-03
|C5-11-PI-03
|ISM:Secure deletion of data (PI-03)
|Richtlinie zur Portabilität und Interoperabilität (PI-03)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-12-DEV-01
|C5-12-DEV-01
|ISM:Policies for the development and procurement of  information systems (DEV-01)
|Richtlinien zur Entwicklung / Beschaffung von Informationssystemen (DEV-01)
|We apply the coding  guidelines which are followed in the Wikimedia ecosystem
|Hallo Welt! wendet die Codierungsrichtlinien an, die im Wikimedia-Ökosystem gelten.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-12-DEV-02
|C5-12-DEV-02
|ISM:Outsourcing of the development (DEV-02)
|Auslagerung der Entwicklung (DEV-02)
|Contractual agreements  are in place but need updating. However, third parties do not have access to  our production cloud or to production code.
|Vertragliche Vereinbarungen sind vorhanden, müssen jedoch aktualisiert werden. Dritte haben jedoch keinen Zugriff auf Produktions-Cloud oder den Produktionscode.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-12-DEV-03
|C5-12-DEV-03
|ISM:Policies for changes to information  systems (DEV-03)
|Richtlinien zur Änderung von Informationssystemen (DEV-03)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-12-DEV-04
|C5-12-DEV-04
|ISM:Safety training and awareness programme regarding  continuous software delivery and associated systems, components or tools  (DEV-04)
|Risikobewertung der Änderungen (DEV-04)
|Training is done on  the job and on an annual basis in combination with GDPR compliance training
|Die Schulung erfolgt vor Ort und jährlich in Kombination mit DSGVO-Compliance-Schulungen.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-12-DEV-05
|C5-12-DEV-05
|ISM:Risk assessment, categorisation and prioritisation of  changes (DEV-05)
|Kategorisierung der Änderungen (DEV-05)
|Any changes are  assessed within the team. A formal risk assessment is not applied yet.
|Eventuelle Änderungen werden im Team beurteilt. Eine formelle Risikobewertung wird noch nicht angewendet.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-12-DEV-06
|C5-12-DEV-06
|ISM:Testing changes (DEV-06)
|Priorisierung der Änderungen (DEV-06)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-12-DEV-07
|C5-12-DEV-07
|ISM:Logging of changes (DEV-07)
|Testen der Änderungen (DEV-07)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-12-DEV-08
|C5-12-DEV-08
|ISM:Version Control (DEV-08)
|Zurückrollen der Änderungen (DEV-08)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-12-DEV-09
|C5-12-DEV-09
|ISM:Approvals for provision in the  production environment (DEV-09)
|Überprüfen von ordnungsgemäßer Testdurchführung und Genehmigung (DEV-09)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-12-DEV-10
|C5-12-DEV-10
|ISM:Separation of environments (DEV-10)
|Notfalländerungen (DEV-10)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-13-SSO-01
|C5-13-SSO-01
|ISM:Policies and instructions for  controlling and monitoring third parties (SSO-01)
|Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister und Lieferanten des Cloud-Anbieters (SSO-01)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-13-SSO-02
|C5-13-SSO-02
|ISM:Risk assessment of service providers  and suppliers (SSO-02)
|Risikobeurteilung der Dienstleister und Lieferanten (SSO-02)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-13-SSO-03
|C5-13-SSO-03
|ISM:Directory of service providers and  suppliers (SSO-03)
|Verzeichnis der Dienstleister und Lieferanten (SSO-03)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-13-SSO-04
|C5-13-SSO-04
|ISM:Monitoring of compliance with  requirements (SSO-04)
|Überwachung der Einhaltung der Anforderungen (SSO-04)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-13-SSO-05
|C5-13-SSO-05
|ISM:Exit strategy for the receipt of benefit (SSO-05)
|Ausstiegsstrategie für den Bezug von Leistungen (SSO-05)
|There is no documented  exit strategy.
|Es gibt keine dokumentierte Ausstiegsstrategie.
| class="col-grey-light-bg" style="" |nicht aktiv
| class="col-grey-light-bg" style="" |nicht aktiv
|-
|-
|C5-14-SIM-01
|C5-14-SIM-01
|ISM:Policy for security incident  management (SIM-01)
|Verantwortlichkeiten und Vorgehensmodell (SIM-01)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-14-SIM-02
|C5-14-SIM-02
|ISM:Processing of security incidents  (SIM-02)
|Klassifizierung von Kunden Systemen (SIM-02)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-14-SIM-03
|C5-14-SIM-03
|ISM:Documentation and reporting of  security incidents (SIM-03)
|Bearbeitung von Sicherheitsvorfällen (SIM-03)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-14-SIM-04
|C5-14-SIM-04
|ISM:Duty of the users to report security  incidents to a central body (SIM-04)
|Dokumentation und Berichterstattung über Sicherheitsvorfälle (SIM-04)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-14-SIM-05
|C5-14-SIM-05
|ISM:Evaluation and learning process  (SIM-05)
|Security Incident Event Management (SIM-05)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-15-BCM-01
|C5-15-BCM-01
|ISM:Top management responsibility (BCM-01)
|Verantwortung durch die Unternehmensleitung (BCM-01)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-15-BCM-02
|C5-15-BCM-02
|ISM:Business impact analysis policies and instructions (BCM-02)
|Richtlinien und Verfahren zur Business Impact Analyse (BCM-02)
|Risk analysis was done  and is documented. There is no formal policy.
|Eine Risikoanalyse wurde durchgeführt und ist dokumentiert. Es gibt keine formelle Richtlinie.
| class="col-grey-light-bg" style="" |nicht aktiv
| class="col-grey-light-bg" style="" |nicht aktiv
|-
|-
|C5-15-BCM-03
|C5-15-BCM-03
|ISM:Planning business continuity (BCM-03)
|Planung der Betriebskontinuität (BCM-03)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-15-BCM-04
|C5-15-BCM-04
|ISM:Verification, updating and testing of the business  continuity (BCM-04)
|Verifizierung, Aktualisierung und Test der Betriebskontinuität (BCM-04)
|Disaster recovery  tests are conducted at implementation time. There is no regular schedule yet.
|Zum Zeitpunkt der Implementierung werden Disaster-Recovery-Tests durchgeführt. Einen regulären Zeitplan gibt es noch nicht.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-16-COM-01
|C5-16-COM-01
|ISM:Identification of applicable legal, regulatory, self-imposed or contractual requirements (COM-01)
|Identifizierung anwendbarer gesetzlicher, regulatorischer, selbstauferlegter oder vertraglicher Anforderungen (COM-01)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-16-COM-02
|C5-16-COM-02
|ISM:Policy for planning and conducting audits (COM-02)
|Richtlinie für die Planung und Durchführung von Audits (COM-02)
|We conduct annual  audits of the ISMS. There is no formal policy.
|Das ISMS wird jährlich auditiert. Es gibt keine formelle Richtlinie.
| class="col-grey-light-bg" style="" |nicht aktiv
| class="col-grey-light-bg" style="" |nicht aktiv
|-
|-
|C5-16-COM-03
|C5-16-COM-03
|ISM:Internal audits of the ISMS (COM-03)
|Interne Audits des Informationssicherheitsmanagementsystems (COM-03)
|There is no formal  process of the internal audit yet
|Es gibt noch keinen formellen Prozess der internen Revision
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-16-COM-04
|C5-16-COM-04
|ISM:Information on information security  performance and management assessment of the ISMS (COM-04)
|Informationen über die Informationssicherheitsleistung und Managementbewertung des ISMS (COM-04)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-17-INQ-01
|C5-17-INQ-01
|ISM:Legal Assessment of Investigative  Inquiries (INQ-01)
|Juristische Beurteilung von Ermittlungsanfragen (INQ-01)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-17-INQ-02
|C5-17-INQ-02
|ISM:Informing Cloud Customers about  Investigation Requests (INQ-02)
|Information der Cloud-Kunden über Ermittlungsanfragen (INQ-02)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-17-INQ-03
|C5-17-INQ-03
|ISM:Conditions for Access to or  Disclosure of Data in Investigation Requests (INQ-03)
|Voraussetzungen für den Zugriff auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-03)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-17-INQ-04
|C5-17-INQ-04
|ISM:Limiting Access to or Disclosure of  Data in Investigation Requests (INQ-04)
|Begrenzung des Zugriffs auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-04)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-18-PSS-01
|C5-18-PSS-01
|ISM:Guidelines and Recommendations for Cloud Customers (PSS-01)
|Leitlinien und Empfehlungen für Cloud-Kunden (PSS-01)
|We maintain this  information in our product documentation. However it cannot be found in one  central place.
|Die Pflege dieser Informationen erfolgt im Rahmen unserer Produktdokumentation. Sie können jedoch nicht an einem zentralen Ort gefunden werden.
| class="col-orange-bg" style="" |teilweise umgesetzt
| class="col-orange-bg" style="" |teilweise umgesetzt
|-
|-
|C5-18-PSS-02
|C5-18-PSS-02
|ISM:Identification of Vulnerabilities of  the Cloud Service (PSS-02)
|Identifikation von Schwachstellen des Cloud-Dienstes (PSS-02)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-18-PSS-03
|C5-18-PSS-03
|ISM:Online Register of Known  Vulnerabilities (PSS-03)
|Online-Register bekannter Schwachstellen (PSS-03)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-18-PSS-04
|C5-18-PSS-04
|ISM:Error handling and Logging Mechanisms  (PSS-04)
|Fehlerbehandlungs- und Protokollierungsmechanismen (PSS-04)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-18-PSS-05
|C5-18-PSS-05
|ISM:Authentication Mechanisms (PSS-05)
|Authentisierungsmechanismen (PSS-05)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-18-PSS-06
|C5-18-PSS-06
|ISM:Session Management (PSS-06)
|Session Management (PSS-06)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-18-PSS-07
|C5-18-PSS-07
|ISM:Confidentiality of Authentication  Information (PSS-07)
|Vertraulichkeit von Authentisierungsinformationen (PSS-07)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-18-PSS-08
|C5-18-PSS-08
|ISM:Roles and Rights Concept (PSS-08)
|Rollen- und Rechtekonzept (PSS-08)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-18-PSS-09
|C5-18-PSS-09
|ISM:Authorisation Mechanisms (PSS-09)
|Autorisierungsmechanismen (PSS-09)
|
|
| class="col-green-bg" style="" |vollständig umgesetzt
| class="col-green-bg" style="" |vollständig umgesetzt
|-
|-
|C5-18-PSS-10
|C5-18-PSS-10
|ISM:Software Defined Networking (PSS-10)
|Software-defined Networking (PSS-10)
|We do not provide SDN to the customer
|Hallo Welt! stellt dem Kunden kein SDN zur Verfügung.
| class="col-grey-light-bg" style="" |nicht aktiv
| class="col-grey-light-bg" style="" |nicht aktiv
|-
|-
|C5-18-PSS-11
|C5-18-PSS-11
|ISM:Images for Virtual Machines and Containers (PSS-11)
|Images für virtuelle Maschinen und Container (PSS-11)
|We do not proved VMs and containers to the customer in the cloud
|Hallo Welt! stellt dem Kunden keine VMs und Container in der Cloud zur Verfügung.
| class="col-grey-light-bg" style="" |nicht aktiv
| class="col-grey-light-bg" style="" |nicht aktiv
|-
|-
|C5-18-PSS-12
|C5-18-PSS-12
|ISM:Locations of Data Processing and Storage (PSS-12)
|Lokationen der Datenverarbeitung und -speicherung (PSS-12)
|We do not provide a  choice of data locations to the cloud customers
|Hallo Welt! bietet den Cloud-Kunden keine Auswahl an Datenstandorten.
| class="col-grey-light-bg" style="" |nicht aktiv
| class="col-grey-light-bg" style="" |nicht aktiv
|}
|}

Aktuelle Version vom 2. Mai 2024, 14:21 Uhr

Overview

Mehr Info: Kriterienkatalog Cloud Computing C5


Aktuelle Phase des internen Audits: Erstaudit

Vollständig umgesetzte C5-Richtlinien: 92 %

Teilweise umgesetzte C5-Richtlinien: 66 %

Kriterienliste

C5 Interner Auditstatus
ID Guideline Kommentar Audit Status
C5-01-OIS-01 Managementsystem für Informationssicherheit (OIS-02) ISMS ist in Kraft, aber nicht alle Anforderungen von C5 sind umgesetzt. teilweise umgesetzt
C5-01-OIS-02 Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitungt (OIS-02) Richtlinien für die Sicherheit sind vorhanden, aber Verbesserungen sind notwendig. teilweise umgesetzt
C5-01-OIS-03 Zuständigkeiten und Verantwortungen im Rahmen der Informationssicherheit (OIS-03) vollständig umgesetzt
C5-01-OIS-04 Funktionstrennung (OIS-04) vollständig umgesetzt
C5-01-OIS-05 Kontakt zu relevanten Behörden und Interessenverbänden (OIS-05) vollständig umgesetzt
C5-01-OIS-06 Richtlinie für die Organisation des Risikomanagements (OIS-06) vollständig umgesetzt
C5-01-OIS-07 Identifikation, Analyse, Beurteilung und Behandlung von Risiken (OIS-07) Der Prozess ist beschrieben und wird eingeführt. teilweise umgesetzt
C5-03-SP-01 Dokumentation, Kommunikation und Bereitstellung von Richtlinien und Anweisungen (SP-01) vollständig umgesetzt
C5-03-SP-02 Überprüfung und Freigabe von von Richtlinien und Anweisungen (SP-02) vollständig umgesetzt
C5-03-SP-03 Abweichungen von bestehenden Richtlinien und Anweisungen (SP-03) vollständig umgesetzt
C5-04-HR-01 Sicherheitsüberprüfung der Hintergrundinformationen (HR-01) Vertrauen wird auf persönlicher Basis aufgebaut, da das Unternehmen klein ist. nicht aktiv
C5-04-HR-02 Beschäftigungsvereinbarungen (HR-02) Mitarbeiter werden vertraglich auf Datenschutz und Privatsphäre verpflichtet. Sicherheit ist implizit angesprochen. teilweise umgesetzt
C5-04-HR-03 Programm zur Sicherheitsausbildung und Sensibilisierung (HR-03) vollständig umgesetzt
C5-04-HR-04 Disziplinarmaßnahmen (HR-04) Sicherheitsfragen werden noch nicht ausdrücklich ausgeführt. Es gelten jedoch die üblichen Disziplinarmaßnahmen. teilweise umgesetzt
C5-04-HR-05 Beendigung des Beschäftigungsverhältnisses oder Änderungen der Verantwortlichkeiten (HR-05) vollständig umgesetzt
C5-05-AM-01 Asset Inventar (AM-01) vollständig umgesetzt
C5-05-AM-02 Zuweisung von Asset Verantwortlichen (AM-02) vollständig umgesetzt
C5-05-AM-03 Nutzungsanweisungen für Assets (AM-03) In der internen Knowledge Base wird der Umgang mit bestimmten Vermögenswerten dokumentiert. Dieses ist im nächsten Schritt zu systematisieren. teilweise umgesetzt
C5-05-AM-04 Ab- und Rückgabe von Assets (AM-04) vollständig umgesetzt
C5-05-AM-05 Klassifikation von Informationen (AM-05) Dienste werden klassifiziert, es gibt jedoch kein Klassifizierungsschema für Daten.

Alle Kundendaten werden vertraulich behandelt.

teilweise umgesetzt
C5-05-AM-06 Kennzeichnung von Informationen und Handhabung von Assets (AM-06) Informationen werden derzeit nicht gekennzeichnet.

Standardmäßig werden alle Kundendaten vertraulich behandelt.

nicht aktiv
C5-05-AM-07 Verwaltung von Datenträgern (AM-07) vollständig umgesetzt
C5-05-AM-08 Überführung und Entfernung von Assets (AM-08) vollständig umgesetzt
C5-06-PS-01 Perimeterschutz (PS-01) Die Rechenzentrumsstandorte, an denen sich Cloud-Daten des Unternehmens befinden, erfüllen alle den Standard ISO 27001 und verfügen über einen entsprechenden Perimeterschutz. teilweise umgesetzt
C5-06-PS-02 Physische Zutrittskontrolle (PS-02) vollständig umgesetzt
C5-06-PS-03 Schutz vor Bedrohungen von außen und aus der Umgebung (PS-03) vollständig umgesetzt
C5-06-PS-04 Schutz vor Unterbrechungen durch Stromausfälle und andere derartige Risiken (PS-04) vollständig umgesetzt
C5-06-PS-05 Wartung von Infrastruktur und Geräten (PS-05) vollständig umgesetzt
C5-07-OPS-01 Kapazitätsmanagement – Planung (OPS-01) vollständig umgesetzt
C5-07-OPS-02 Kapazitätsmanagement – Überwachung (OPS-02) vollständig umgesetzt
C5-07-OPS-03 Kapazitätsmanagement - Datenlokation (OPS-03) Hier ist es erforderlich, dem Kunden Ressourcendaten für seine Planung zur Verfügung zu stellen. Dies liegt derzeit außerhalb des Geltungsbereichs. nicht aktiv
C5-07-OPS-04 Kapazitätsmanagement - Steuerung von Ressourcen (OPS-04) vollständig umgesetzt
C5-07-OPS-05 Schutz vor Schadprogrammen (OPS-05) vollständig umgesetzt
C5-07-OPS-06 Datensicherung und Wiederherstellung – Konzept (OPS-06) vollständig umgesetzt
C5-07-OPS-07 Datensicherung und Wiederherstellung – Überwachung (OPS-07) vollständig umgesetzt
C5-07-OPS-08 Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-08) vollständig umgesetzt
C5-07-OPS-09 Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-09) vollständig umgesetzt
C5-07-OPS-10 Protokollierung und Überwachung – Konzept (OPS-10) vollständig umgesetzt
C5-07-OPS-11 Protokollierung und Überwachung – Konzept (OPS-11) Wird derzeit in OPS-10 abgedeckt nicht aktiv
C5-07-OPS-12 Protokollierung und Überwachung – Kritische Assets (OPS-12) Wird derzeit in OPS-10 abgedeckt nicht aktiv
C5-07-OPS-13 Protokollierung und Überwachung – Aufbewahrung der Protokolle (OPS-13) Wird derzeit in OPS-10 abgedeckt nicht aktiv
C5-07-OPS-14 Protokollierung und Überwachung – Zurechenbarkeit (OPS-14) Protokolldaten werden zentral auf einem Protokollierungsserver gespeichert. teilweise umgesetzt
C5-07-OPS-15 Protokollierung und Überwachung – Konfiguration (OPS-15) Anwendungsprotokolle sind verfügbar. Zugriffsprotokolle werden ohne IP-Adresse gespeichert. teilweise umgesetzt
C5-07-OPS-16 Protokollierung und Überwachung – Verfügbarkeit der Überwachungs-Software (OPS-16) vollständig umgesetzt
C5-07-OPS-17 Umgang mit Schwachstellen, Störungen und Fehlern – Konzept (OPS-17) vollständig umgesetzt
C5-07-OPS-18 Umgang mit Schwachstellen, Störungen und Fehlern – Penetrationstests (OPS-18) vollständig umgesetzt
C5-07-OPS-19 Umgang mit Schwachstellen, Störungen und Fehlern - Integration mit Änderungs- und Incident Management (OPS-19) Im Rahmen von Kundenprojekten erfolgen zeitweise Penetrationstests. Hier wurden keine größeren Probleme festgestellt.

Hallo Welt! führt selbst (noch) keine interne Penetrationstests durch.

nicht aktiv
C5-07-OPS-20 Umgang mit Schwachstellen, Störungen und Fehlern – Einbindung des Cloud-Kunden (OPS-20) Einen regulären Prozess hierfür gibt es noch nicht. teilweise umgesetzt
C5-07-OPS-21 Umgang mit Schwachstellen, Störungen und Fehlern - Prüfung offener Schwachstellen (OPS-21) vollständig umgesetzt
C5-07-OPS-22 Umgang mit Schwachstellen, Störungen und Fehlern – System-Härtung (OPS-22) vollständig umgesetzt
C5-07-OPS-23 Segregation der gespeicherten und verarbeiteten Daten der Cloud-Kunden in gemeinsam genutzten Ressourcen (OPS-23) Hallo Welt! orientiert sich hier an Industriestandards.

Derzeit gibt es keine Dokumentation pro System.

teilweise umgesetzt
C5-07-OPS-24 Separierung der Datenbestände in der Cloud-Infrastruktur (OPS-24) vollständig umgesetzt
C5-08-IDM-01 Richtlinie für Zugangs- und Zugriffsberechtigungen (IDM-01) vollständig umgesetzt
C5-08-IDM-02 Benutzerregistrierung (IDM-02) vollständig umgesetzt
C5-08-IDM-03 Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen (IDM-03) Einige Systeme implementieren dies. Der Rest wird automatisch verwaltet. teilweise umgesetzt
C5-08-IDM-04 Berechtigungsentzug (Deprovisionierung) bei Veränderungen des Arbeitsverhältnisses (IDM-04) vollständig umgesetzt
C5-08-IDM-05 Regelmäßige Überprüfung der Zugriffsberechtigungen (IDM-05) Dies wird derzeit nur für die kritischsten Systeme durchgeführt. teilweise umgesetzt
C5-08-IDM-06 Administratorenberechtigungen (IDM-06) Größtenteils implementiert. Privilegien werden jedoch nicht für eine begrenzte Zeit entzogen. teilweise umgesetzt
C5-08-IDM-07 Geheimhaltung von Authentifizierungsinformationen (IDM-07) vollständig umgesetzt
C5-08-IDM-08 Sichere Anmeldeverfahren (IDM-08) vollständig umgesetzt
C5-08-IDM-09 Umgang mit Notfallbenutzern (IDM-09) vollständig umgesetzt
C5-09-CRY-01 Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung (CRY-01) Es gibt einige Richtlinien, aber noch keine genehmigte Richtlinie. teilweise umgesetzt
C5-09-CRY-02 Verschlüsselung von Daten bei der Übertragung (Transportverschlüsselung) (CRY-02) vollständig umgesetzt
C5-09-CRY-03 Verschlüsselung von sensiblen Daten bei der Speicherung (CRY-03) Kundendaten werden im Ruhezustand verschlüsselt. Backups sind verschlüsselt. teilweise umgesetzt
C5-09-CRY-04 Sichere Schlüsselverwaltung (CRY-04) Es gibt keine zentrale Schlüsselverwaltung. Richtlinien existieren. teilweise umgesetzt
C5-10-COS-01 Technische Schutzmaßnahmen (COS-01) Hallo Welt! betreibt kein Einbruchmeldesystem. Überwacht werden aber Netzwerkmuster und es erfolgen Benachrichtigungen bei größeren Unregelmäßigkeiten, wie z. B. DDOS-Angriffe. nicht aktiv
C5-10-COS-02 Überwachen von Verbindungen (COS-02) vollständig umgesetzt
C5-10-COS-03 Netzwerkübergreifende Zugriffe (COS-03) Alle Zugriffe auf das Cloud-Netzwerk werden protokolliert. teilweise umgesetzt
C5-10-COS-04 Netzwerke zur Administration (COS-04) vollständig umgesetzt
C5-10-COS-05 Segregation des Datenverkehrs in gemeinsam genutzten Netzwerkumgebungen (COS-05) vollständig umgesetzt
C5-10-COS-06 Dokumentation der Netztopologie (COS-06) Interner Datenverkehr getrennt, aber nicht verschlüsselt. teilweise umgesetzt
C5-10-COS-07 Richtlinien zur Datenübertragung (COS-07) vollständig umgesetzt
C5-10-COS-08 Vertraulichkeitserklärung (COS-08) vollständig umgesetzt
C5-11-PI-01 Nutzung öffentlicher API's und Industriestandards (PI-01) vollständig umgesetzt
C5-11-PI-02 Export von Daten (PI-02) vollständig umgesetzt
C5-11-PI-03 Richtlinie zur Portabilität und Interoperabilität (PI-03) vollständig umgesetzt
C5-12-DEV-01 Richtlinien zur Entwicklung / Beschaffung von Informationssystemen (DEV-01) Hallo Welt! wendet die Codierungsrichtlinien an, die im Wikimedia-Ökosystem gelten. teilweise umgesetzt
C5-12-DEV-02 Auslagerung der Entwicklung (DEV-02) Vertragliche Vereinbarungen sind vorhanden, müssen jedoch aktualisiert werden. Dritte haben jedoch keinen Zugriff auf Produktions-Cloud oder den Produktionscode. teilweise umgesetzt
C5-12-DEV-03 Richtlinien zur Änderung von Informationssystemen (DEV-03) vollständig umgesetzt
C5-12-DEV-04 Risikobewertung der Änderungen (DEV-04) Die Schulung erfolgt vor Ort und jährlich in Kombination mit DSGVO-Compliance-Schulungen. teilweise umgesetzt
C5-12-DEV-05 Kategorisierung der Änderungen (DEV-05) Eventuelle Änderungen werden im Team beurteilt. Eine formelle Risikobewertung wird noch nicht angewendet. teilweise umgesetzt
C5-12-DEV-06 Priorisierung der Änderungen (DEV-06) vollständig umgesetzt
C5-12-DEV-07 Testen der Änderungen (DEV-07) vollständig umgesetzt
C5-12-DEV-08 Zurückrollen der Änderungen (DEV-08) vollständig umgesetzt
C5-12-DEV-09 Überprüfen von ordnungsgemäßer Testdurchführung und Genehmigung (DEV-09) vollständig umgesetzt
C5-12-DEV-10 Notfalländerungen (DEV-10) vollständig umgesetzt
C5-13-SSO-01 Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister und Lieferanten des Cloud-Anbieters (SSO-01) vollständig umgesetzt
C5-13-SSO-02 Risikobeurteilung der Dienstleister und Lieferanten (SSO-02) vollständig umgesetzt
C5-13-SSO-03 Verzeichnis der Dienstleister und Lieferanten (SSO-03) vollständig umgesetzt
C5-13-SSO-04 Überwachung der Einhaltung der Anforderungen (SSO-04) vollständig umgesetzt
C5-13-SSO-05 Ausstiegsstrategie für den Bezug von Leistungen (SSO-05) Es gibt keine dokumentierte Ausstiegsstrategie. nicht aktiv
C5-14-SIM-01 Verantwortlichkeiten und Vorgehensmodell (SIM-01) vollständig umgesetzt
C5-14-SIM-02 Klassifizierung von Kunden Systemen (SIM-02) vollständig umgesetzt
C5-14-SIM-03 Bearbeitung von Sicherheitsvorfällen (SIM-03) vollständig umgesetzt
C5-14-SIM-04 Dokumentation und Berichterstattung über Sicherheitsvorfälle (SIM-04) vollständig umgesetzt
C5-14-SIM-05 Security Incident Event Management (SIM-05) vollständig umgesetzt
C5-15-BCM-01 Verantwortung durch die Unternehmensleitung (BCM-01) vollständig umgesetzt
C5-15-BCM-02 Richtlinien und Verfahren zur Business Impact Analyse (BCM-02) Eine Risikoanalyse wurde durchgeführt und ist dokumentiert. Es gibt keine formelle Richtlinie. nicht aktiv
C5-15-BCM-03 Planung der Betriebskontinuität (BCM-03) vollständig umgesetzt
C5-15-BCM-04 Verifizierung, Aktualisierung und Test der Betriebskontinuität (BCM-04) Zum Zeitpunkt der Implementierung werden Disaster-Recovery-Tests durchgeführt. Einen regulären Zeitplan gibt es noch nicht. teilweise umgesetzt
C5-16-COM-01 Identifizierung anwendbarer gesetzlicher, regulatorischer, selbstauferlegter oder vertraglicher Anforderungen (COM-01) vollständig umgesetzt
C5-16-COM-02 Richtlinie für die Planung und Durchführung von Audits (COM-02) Das ISMS wird jährlich auditiert. Es gibt keine formelle Richtlinie. nicht aktiv
C5-16-COM-03 Interne Audits des Informationssicherheitsmanagementsystems (COM-03) Es gibt noch keinen formellen Prozess der internen Revision teilweise umgesetzt
C5-16-COM-04 Informationen über die Informationssicherheitsleistung und Managementbewertung des ISMS (COM-04) vollständig umgesetzt
C5-17-INQ-01 Juristische Beurteilung von Ermittlungsanfragen (INQ-01) vollständig umgesetzt
C5-17-INQ-02 Information der Cloud-Kunden über Ermittlungsanfragen (INQ-02) vollständig umgesetzt
C5-17-INQ-03 Voraussetzungen für den Zugriff auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-03) vollständig umgesetzt
C5-17-INQ-04 Begrenzung des Zugriffs auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-04) vollständig umgesetzt
C5-18-PSS-01 Leitlinien und Empfehlungen für Cloud-Kunden (PSS-01) Die Pflege dieser Informationen erfolgt im Rahmen unserer Produktdokumentation. Sie können jedoch nicht an einem zentralen Ort gefunden werden. teilweise umgesetzt
C5-18-PSS-02 Identifikation von Schwachstellen des Cloud-Dienstes (PSS-02) vollständig umgesetzt
C5-18-PSS-03 Online-Register bekannter Schwachstellen (PSS-03) vollständig umgesetzt
C5-18-PSS-04 Fehlerbehandlungs- und Protokollierungsmechanismen (PSS-04) vollständig umgesetzt
C5-18-PSS-05 Authentisierungsmechanismen (PSS-05) vollständig umgesetzt
C5-18-PSS-06 Session Management (PSS-06) vollständig umgesetzt
C5-18-PSS-07 Vertraulichkeit von Authentisierungsinformationen (PSS-07) vollständig umgesetzt
C5-18-PSS-08 Rollen- und Rechtekonzept (PSS-08) vollständig umgesetzt
C5-18-PSS-09 Autorisierungsmechanismen (PSS-09) vollständig umgesetzt
C5-18-PSS-10 Software-defined Networking (PSS-10) Hallo Welt! stellt dem Kunden kein SDN zur Verfügung. nicht aktiv
C5-18-PSS-11 Images für virtuelle Maschinen und Container (PSS-11) Hallo Welt! stellt dem Kunden keine VMs und Container in der Cloud zur Verfügung. nicht aktiv
C5-18-PSS-12 Lokationen der Datenverarbeitung und -speicherung (PSS-12) Hallo Welt! bietet den Cloud-Kunden keine Auswahl an Datenstandorten. nicht aktiv
Abgerufen von „https://de.wiki.bluespice.com/w/index.php?title=Info:Trust_and_Safety/Cloud_-_Sicherheit_und_Zuverlässigkeit/C5_Interner_Auditstatus&oldid=10319
Keine Kategorien vergebenBearbeiten

Diskussionen