Info:Trust and Safety/Cloud - Sicherheit und Zuverlässigkeit/C5 Interner Auditstatus: Unterschied zwischen den Versionen

Version vom 30. April 2024, 10:56 Uhr

Overview

Mehr Info: Kriterienkatalog Cloud Computing C5

Aktuelle Phase des internen Audits: Erstaudit

Vollständig umgesetzte C5-Richtlinien: 92 %

Teilweise umgesetzte C5-Richtlinien: 66 %

Kriterienliste

C5 Interner Auditstatus
ID	Guideline	Comment	Audit state
C5-01-OIS-01	Managementsystem für Informationssicherheit (OIS-02)	ISMS is in effect, but not all requirements of C5 are implemented	teilweise umgesetzt
C5-01-OIS-02	Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitungt (OIS-02)	Security policy is available, but needs improvement	teilweise umgesetzt
C5-01-OIS-03	Zuständigkeiten und Verantwortungen im Rahmen der Informationssicherheit (OIS-03)		vollständig umgesetzt
C5-01-OIS-04	Funktionstrennung (OIS-04)		vollständig umgesetzt
C5-01-OIS-05	Kontakt zu relevanten Behörden und Interessenverbänden (OIS-05)		vollständig umgesetzt
C5-01-OIS-06	Richtlinie für die Organisation des Risikomanagements (OIS-06)		vollständig umgesetzt
C5-01-OIS-07	Identifikation, Analyse, Beurteilung und Behandlung von Risiken (OIS-07)	The process is described, but not well established	teilweise umgesetzt
C5-03-SP-01	Dokumentation, Kommunikation und Bereitstellung von Richtlinien und Anweisungen (SP-01)		vollständig umgesetzt
C5-03-SP-02	Überprüfung und Freigabe von von Richtlinien und Anweisungen (SP-02)		vollständig umgesetzt
C5-03-SP-03	Abweichungen von bestehenden Richtlinien und Anweisungen (SP-03)		vollständig umgesetzt
C5-04-HR-01	Sicherheitsüberprüfung der Hintergrundinformationen (HR-01)	Given the small size of the company, trust is established on a personal basis	nicht aktiv
C5-04-HR-02	Beschäftigungsvereinbarungen (HR-02)	We do bind our employees contractually to data protection and privacy. Security is only mentioned implicitly here.	teilweise umgesetzt
C5-04-HR-03	Programm zur Sicherheitsausbildung und Sensibilisierung (HR-03)		vollständig umgesetzt
C5-04-HR-04	Disziplinarmaßnahmen (HR-04)	There is no specific mention of security issues. However, standard disciplinary measures apply.	teilweise umgesetzt
C5-04-HR-05	Beendigung des Beschäftigungsverhältnisses oder Änderungen der Verantwortlichkeiten (HR-05)		vollständig umgesetzt
C5-05-AM-01	Asset Inventar (AM-01)		vollständig umgesetzt
C5-05-AM-02	Zuweisung von Asset Verantwortlichen (AM-02)		vollständig umgesetzt
C5-05-AM-03	Nutzungsanweisungen für Assets (AM-03)	In our internal wiki, we document the handling of specific assets. However, there is no systematic approach	teilweise umgesetzt
C5-05-AM-04	Ab- und Rückgabe von Assets (AM-04)		vollständig umgesetzt
C5-05-AM-05	Klassifikation von Informationen (AM-05)	We classify services, but there is no classification scheme for data. All customer data is treated as sensitive.	teilweise umgesetzt
C5-05-AM-06	Kennzeichnung von Informationen und Handhabung von Assets (AM-06)	We currently do not label information. As a standard, all customer data is treated as sensitive.	nicht aktiv
C5-05-AM-07	Verwaltung von Datenträgern (AM-07)		vollständig umgesetzt
C5-05-AM-08	Überführung und Entfernung von Assets (AM-08)		vollständig umgesetzt
C5-06-PS-01	Perimeterschutz (PS-01)	Data center locations, where our cloud data is located, do all comply with ISO 27001 and do have according perimeter protection.	teilweise umgesetzt
C5-06-PS-02	Physische Zutrittskontrolle (PS-02)		vollständig umgesetzt
C5-06-PS-03	Schutz vor Bedrohungen von außen und aus der Umgebung (PS-03)		vollständig umgesetzt
C5-06-PS-04	Schutz vor Unterbrechungen durch Stromausfälle und andere derartige Risiken (PS-04)		vollständig umgesetzt
C5-06-PS-05	Wartung von Infrastruktur und Geräten (PS-05)		vollständig umgesetzt
C5-07-OPS-01	Kapazitätsmanagement – Planung (OPS-01)		vollständig umgesetzt
C5-07-OPS-02	Kapazitätsmanagement – Überwachung (OPS-02)		vollständig umgesetzt
C5-07-OPS-03	Kapazitätsmanagement - Datenlokation (OPS-03)	Here, it is required to make resource data available to the customer for their planning. This is currently out of scope.	nicht aktiv
C5-07-OPS-04	Kapazitätsmanagement - Steuerung von Ressourcen (OPS-04)		vollständig umgesetzt
C5-07-OPS-05	Schutz vor Schadprogrammen (OPS-05)		vollständig umgesetzt
C5-07-OPS-06	Datensicherung und Wiederherstellung – Konzept (OPS-06)		vollständig umgesetzt
C5-07-OPS-07	Datensicherung und Wiederherstellung – Überwachung (OPS-07)		vollständig umgesetzt
C5-07-OPS-08	Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-08)		vollständig umgesetzt
C5-07-OPS-09	Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-09)		vollständig umgesetzt
C5-07-OPS-10	Protokollierung und Überwachung – Konzept (OPS-10)		vollständig umgesetzt
C5-07-OPS-11	Protokollierung und Überwachung – Konzept (OPS-11)	Is currently covered in OPS-10	nicht aktiv
C5-07-OPS-12	Protokollierung und Überwachung – Kritische Assets (OPS-12)	Is currently covered by OPS-10	nicht aktiv
C5-07-OPS-13	Protokollierung und Überwachung – Aufbewahrung der Protokolle (OPS-13)	Is currently covered by OPS-10	nicht aktiv
C5-07-OPS-14	Protokollierung und Überwachung – Zurechenbarkeit (OPS-14)	Log data is stored centrally on a logging server.	teilweise umgesetzt
C5-07-OPS-15	Protokollierung und Überwachung – Konfiguration (OPS-15)	Application logs are available. Access logs are stored without IP address	teilweise umgesetzt
C5-07-OPS-16	Protokollierung und Überwachung – Verfügbarkeit der Überwachungs-Software (OPS-16)		vollständig umgesetzt
C5-07-OPS-17	Umgang mit Schwachstellen, Störungen und Fehlern – Konzept (OPS-17)		vollständig umgesetzt
C5-07-OPS-18	Umgang mit Schwachstellen, Störungen und Fehlern – Penetrationstests (OPS-18)		vollständig umgesetzt
C5-07-OPS-19	Umgang mit Schwachstellen, Störungen und Fehlern - Integration mit Änderungs- und Incident Management (OPS-19)	We currently do not perform any external or internal penetration tests. However, some of our customers did. No major issues were found.	nicht aktiv
C5-07-OPS-20	Umgang mit Schwachstellen, Störungen und Fehlern – Einbindung des Cloud-Kunden (OPS-20)	There is no regular process for this yet.	teilweise umgesetzt
C5-07-OPS-21	Umgang mit Schwachstellen, Störungen und Fehlern - Prüfung offener Schwachstellen (OPS-21)		vollständig umgesetzt
C5-07-OPS-22	Umgang mit Schwachstellen, Störungen und Fehlern – System-Härtung (OPS-22)		vollständig umgesetzt
C5-07-OPS-23	Segregation der gespeicherten und verarbeiteten Daten der Cloud-Kunden in gemeinsam genutzten Ressourcen (OPS-23)	We adhere to industry standards. There is currently no documentation per system.	teilweise umgesetzt
C5-07-OPS-24	ISM:Separation of Datasets in the Cloud Infrastructure (OPS-24)		vollständig umgesetzt
C5-08-IDM-01	Richtlinie für Zugangs- und Zugriffsberechtigungen (IDM-01)		vollständig umgesetzt
C5-08-IDM-02	Benutzerregistrierung (IDM-02)		vollständig umgesetzt
C5-08-IDM-03	Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen (IDM-03)	Some of our systems implement this. The rest is managed automatically.	teilweise umgesetzt
C5-08-IDM-04	Berechtigungsentzug (Deprovisionierung) bei Veränderungen des Arbeitsverhältnisses (IDM-04)		vollständig umgesetzt
C5-08-IDM-05	Regelmäßige Überprüfung der Zugriffsberechtigungen (IDM-05)	This is currently only done for the most critical systems	teilweise umgesetzt
C5-08-IDM-06	Administratorenberechtigungen (IDM-06)	Mostly implemented, but we do not revoke privileges on a limited time basis	teilweise umgesetzt
C5-08-IDM-07	Geheimhaltung von Authentifizierungsinformationen (IDM-07)		vollständig umgesetzt
C5-08-IDM-08	Sichere Anmeldeverfahren (IDM-08)		vollständig umgesetzt
C5-08-IDM-09	Umgang mit Notfallbenutzern (IDM-09)		vollständig umgesetzt
C5-09-CRY-01	Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung (CRY-01)	There are some guidelines, but no approved policy yet.	teilweise umgesetzt
C5-09-CRY-02	Verschlüsselung von Daten bei der Übertragung (Transportverschlüsselung) (CRY-02)		vollständig umgesetzt
C5-09-CRY-03	Verschlüsselung von sensiblen Daten bei der Speicherung (CRY-03)	Customer data is enKRYpted at rest. Backups are enKRYpted	teilweise umgesetzt
C5-09-CRY-04	Sichere Schlüsselverwaltung (CRY-04)	There is no centralized key management. Guidelines exist.	teilweise umgesetzt
C5-10-COS-01	Technische Schutzmaßnahmen (COS-01)	We do not run any intrusion detection system. However, we monitor network patterns and will be informed on major irregularities, like DDOS attacks.	nicht aktiv
C5-10-COS-02	Überwachen von Verbindungen (COS-02)		vollständig umgesetzt
C5-10-COS-03	Netzwerkübergreifende Zugriffe (COS-03)	All access to the cloud network is logged.	teilweise umgesetzt
C5-10-COS-04	Netzwerke zur Administration (COS-04)		vollständig umgesetzt
C5-10-COS-05	Segregation des Datenverkehrs in gemeinsam genutzten Netzwerkumgebungen (COS-05)		vollständig umgesetzt
C5-10-COS-06	Dokumentation der Netztopologie (COS-06)	Internal traffic segregated, but not enKRYpted.	teilweise umgesetzt
C5-10-COS-07	Richtlinien zur Datenübertragung (COS-07)		vollständig umgesetzt
C5-10-COS-08	Vertraulichkeitserklärung (COS-08)		vollständig umgesetzt
C5-11-PI-01	Nutzung öffentlicher API's und Industriestandards (PI-01)		vollständig umgesetzt
C5-11-PI-02	Export von Daten (PI-02)		vollständig umgesetzt
C5-11-PI-03	Richtlinie zur Portabilität und Interoperabilität (PI-03)		vollständig umgesetzt
C5-12-DEV-01	Richtlinien zur Entwicklung / Beschaffung von Informationssystemen (DEV-01)	We apply the coding guidelines which are followed in the Wikimedia ecosystem	teilweise umgesetzt
C5-12-DEV-02	Auslagerung der Entwicklung (DEV-02)	Contractual agreements are in place but need updating. However, third parties do not have access to our production cloud or to production code.	teilweise umgesetzt
C5-12-DEV-03	Richtlinien zur Änderung von Informationssystemen (DEV-03)		vollständig umgesetzt
C5-12-DEV-04	Risikobewertung der Änderungen (DEV-04)	Training is done on the job and on an annual basis in combination with GDPR compliance training	teilweise umgesetzt
C5-12-DEV-05	Kategorisierung der Änderungen (DEV-05)	Any changes are assessed within the team. A formal risk assessment is not applied yet.	teilweise umgesetzt
C5-12-DEV-06	Priorisierung der Änderungen (DEV-06)		vollständig umgesetzt
C5-12-DEV-07	Testen der Änderungen (DEV-07)		vollständig umgesetzt
C5-12-DEV-08	Zurückrollen der Änderungen (DEV-08)		vollständig umgesetzt
C5-12-DEV-09	Überprüfen von ordnungsgemäßer Testdurchführung und Genehmigung (DEV-09)		vollständig umgesetzt
C5-12-DEV-10	Notfalländerungen (DEV-10)		vollständig umgesetzt
C5-13-SSO-01	Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister und Lieferanten des Cloud-Anbieters (SSO-01)		vollständig umgesetzt
C5-13-SSO-02	Risikobeurteilung der Dienstleister und Lieferanten (SSO-02)		vollständig umgesetzt
C5-13-SSO-03	Verzeichnis der Dienstleister und Lieferanten (SSO-03)		vollständig umgesetzt
C5-13-SSO-04	Überwachung der Einhaltung der Anforderungen (SSO-04)		vollständig umgesetzt
C5-13-SSO-05	Ausstiegsstrategie für den Bezug von Leistungen (SSO-05)	There is no documented exit strategy.	nicht aktiv
C5-14-SIM-01	Verantwortlichkeiten und Vorgehensmodell (SIM-01)		vollständig umgesetzt
C5-14-SIM-02	Klassifizierung von Kunden Systemen (SIM-02)		vollständig umgesetzt
C5-14-SIM-03	Bearbeitung von Sicherheitsvorfällen (SIM-03)		vollständig umgesetzt
C5-14-SIM-04	Dokumentation und Berichterstattung über Sicherheitsvorfälle (SIM-04)		vollständig umgesetzt
C5-14-SIM-05	Security Incident Event Management (SIM-05)		vollständig umgesetzt
C5-15-BCM-01	Verantwortung durch die Unternehmensleitung (BCM-01)		vollständig umgesetzt
C5-15-BCM-02	Richtlinien und Verfahren zur Business Impact Analyse (BCM-02)	Risk analysis was done and is documented. There is no formal policy.	nicht aktiv
C5-15-BCM-03	Planung der Betriebskontinuität (BCM-03)		vollständig umgesetzt
C5-15-BCM-04	Verifizierung, Aktualisierung und Test der Betriebskontinuität (BCM-04)	Disaster recovery tests are conducted at implementation time. There is no regular schedule yet.	teilweise umgesetzt
C5-16-COM-01	Identifizierung anwendbarer gesetzlicher, regulatorischer, selbstauferlegter oder vertraglicher Anforderungen (COM-01)		vollständig umgesetzt
C5-16-COM-02	Richtlinie für die Planung und Durchführung von Audits (COM-02)	We conduct annual audits of the ISMS. There is no formal policy.	nicht aktiv
C5-16-COM-03	Interne Audits des Informationssicherheitsmanagementsystems (COM-03)	There is no formal process of the internal audit yet	teilweise umgesetzt
C5-16-COM-04	Informationen über die Informationssicherheitsleistung und Managementbewertung des ISMS (COM-04)		vollständig umgesetzt
C5-17-INQ-01	Juristische Beurteilung von Ermittlungsanfragen (INQ-01)		vollständig umgesetzt
C5-17-INQ-02	Information der Cloud-Kunden über Ermittlungsanfragen (INQ-02)		vollständig umgesetzt
C5-17-INQ-03	Voraussetzungen für den Zugriff auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-03)		vollständig umgesetzt
C5-17-INQ-04	Begrenzung des Zugriffs auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-04)		vollständig umgesetzt
C5-18-PSS-01	Leitlinien und Empfehlungen für Cloud-Kunden (PSS-01)	We maintain this information in our product documentation. However it cannot be found in one central place.	teilweise umgesetzt
C5-18-PSS-02	Identifikation von Schwachstellen des Cloud-Dienstes (PSS-02)		vollständig umgesetzt
C5-18-PSS-03	Online-Register bekannter Schwachstellen (PSS-03)		vollständig umgesetzt
C5-18-PSS-04	Fehlerbehandlungs- und Protokollierungsmechanismen (PSS-04)		vollständig umgesetzt
C5-18-PSS-05	Authentisierungsmechanismen (PSS-05)		vollständig umgesetzt
C5-18-PSS-06	Session Management (PSS-06)		vollständig umgesetzt
C5-18-PSS-07	Vertraulichkeit von Authentisierungsinformationen (PSS-07)		vollständig umgesetzt
C5-18-PSS-08	Rollen- und Rechtekonzept (PSS-08)		vollständig umgesetzt
C5-18-PSS-09	Autorisierungsmechanismen (PSS-09)		vollständig umgesetzt
C5-18-PSS-10	Software-defined Networking (PSS-10)	We do not provide SDN to the customer	nicht aktiv
C5-18-PSS-11	Images für virtuelle Maschinen und Container (PSS-11)	We do not proved VMs and containers to the customer in the cloud	nicht aktiv
C5-18-PSS-12	Lokationen der Datenverarbeitung und -speicherung (PSS-12)	We do not provide a choice of data locations to the cloud customers	nicht aktiv

Info:Trust and Safety/Cloud - Sicherheit und Zuverlässigkeit/C5 Interner Auditstatus: Unterschied zwischen den Versionen

Version vom 30. April 2024, 10:56 Uhr

Overview

Kriterienliste

Diskussionen