Info:Trust and Safety/Cloud - Sicherheit und Zuverlässigkeit/C5 Interner Auditstatus: Unterschied zwischen den Versionen

Version vom 30. April 2024, 12:50 Uhr

Overview

Mehr Info: Kriterienkatalog Cloud Computing C5

Aktuelle Phase des internen Audits: Erstaudit

Vollständig umgesetzte C5-Richtlinien: 92 %

Teilweise umgesetzte C5-Richtlinien: 66 %

Kriterienliste

C5 Interner Auditstatus
ID	Guideline	Comment	Audit state
C5-01-OIS-01	Managementsystem für Informationssicherheit (OIS-02)	ISMS ist in Kraft, aber nicht alle Anforderungen von C5 sind umgesetzt.	teilweise umgesetzt
C5-01-OIS-02	Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitungt (OIS-02)	Sicherheitsrichtlinien sind verfügbar, müssen jedoch verbessert werden.	teilweise umgesetzt
C5-01-OIS-03	Zuständigkeiten und Verantwortungen im Rahmen der Informationssicherheit (OIS-03)		vollständig umgesetzt
C5-01-OIS-04	Funktionstrennung (OIS-04)		vollständig umgesetzt
C5-01-OIS-05	Kontakt zu relevanten Behörden und Interessenverbänden (OIS-05)		vollständig umgesetzt
C5-01-OIS-06	Richtlinie für die Organisation des Risikomanagements (OIS-06)		vollständig umgesetzt
C5-01-OIS-07	Identifikation, Analyse, Beurteilung und Behandlung von Risiken (OIS-07)	Der Prozess ist beschrieben, aber nicht gut etabliert.	teilweise umgesetzt
C5-03-SP-01	Dokumentation, Kommunikation und Bereitstellung von Richtlinien und Anweisungen (SP-01)		vollständig umgesetzt
C5-03-SP-02	Überprüfung und Freigabe von von Richtlinien und Anweisungen (SP-02)		vollständig umgesetzt
C5-03-SP-03	Abweichungen von bestehenden Richtlinien und Anweisungen (SP-03)		vollständig umgesetzt
C5-04-HR-01	Sicherheitsüberprüfung der Hintergrundinformationen (HR-01)	Angesichts der geringen Unternehmensgröße entsteht Vertrauen auf persönlicher Basis.	nicht aktiv
C5-04-HR-02	Beschäftigungsvereinbarungen (HR-02)	Wir verpflichten unsere Mitarbeiter vertraglich auf Datenschutz und Privatsphäre. Sicherheit wird hier nur implizit erwähnt.	teilweise umgesetzt
C5-04-HR-03	Programm zur Sicherheitsausbildung und Sensibilisierung (HR-03)		vollständig umgesetzt
C5-04-HR-04	Disziplinarmaßnahmen (HR-04)	Sicherheitsprobleme werden nicht ausdrücklich erwähnt. Es gelten jedoch die üblichen Disziplinarmaßnahmen.	teilweise umgesetzt
C5-04-HR-05	Beendigung des Beschäftigungsverhältnisses oder Änderungen der Verantwortlichkeiten (HR-05)		vollständig umgesetzt
C5-05-AM-01	Asset Inventar (AM-01)		vollständig umgesetzt
C5-05-AM-02	Zuweisung von Asset Verantwortlichen (AM-02)		vollständig umgesetzt
C5-05-AM-03	Nutzungsanweisungen für Assets (AM-03)	In unserem internen Wiki dokumentieren wir den Umgang mit bestimmten Vermögenswerten. Es gibt jedoch keinen systematischen Ansatz.	teilweise umgesetzt
C5-05-AM-04	Ab- und Rückgabe von Assets (AM-04)		vollständig umgesetzt
C5-05-AM-05	Klassifikation von Informationen (AM-05)	Wir klassifizieren Dienste, es gibt jedoch kein Klassifizierungsschema für Daten. Alle Kundendaten werden vertraulich behandelt.	teilweise umgesetzt
C5-05-AM-06	Kennzeichnung von Informationen und Handhabung von Assets (AM-06)	Wir kennzeichnen Informationen derzeit nicht. Standardmäßig werden alle Kundendaten vertraulich behandelt.	nicht aktiv
C5-05-AM-07	Verwaltung von Datenträgern (AM-07)		vollständig umgesetzt
C5-05-AM-08	Überführung und Entfernung von Assets (AM-08)		vollständig umgesetzt
C5-06-PS-01	Perimeterschutz (PS-01)	Die Rechenzentrumsstandorte, an denen sich unsere Cloud-Daten befinden, entsprechen alle der ISO 27001 und verfügen über einen entsprechenden Perimeterschutz.	teilweise umgesetzt
C5-06-PS-02	Physische Zutrittskontrolle (PS-02)		vollständig umgesetzt
C5-06-PS-03	Schutz vor Bedrohungen von außen und aus der Umgebung (PS-03)		vollständig umgesetzt
C5-06-PS-04	Schutz vor Unterbrechungen durch Stromausfälle und andere derartige Risiken (PS-04)		vollständig umgesetzt
C5-06-PS-05	Wartung von Infrastruktur und Geräten (PS-05)		vollständig umgesetzt
C5-07-OPS-01	Kapazitätsmanagement – Planung (OPS-01)		vollständig umgesetzt
C5-07-OPS-02	Kapazitätsmanagement – Überwachung (OPS-02)		vollständig umgesetzt
C5-07-OPS-03	Kapazitätsmanagement - Datenlokation (OPS-03)	Hier ist es erforderlich, dem Kunden Ressourcendaten für seine Planung zur Verfügung zu stellen. Dies liegt derzeit außerhalb des Geltungsbereichs.	nicht aktiv
C5-07-OPS-04	Kapazitätsmanagement - Steuerung von Ressourcen (OPS-04)		vollständig umgesetzt
C5-07-OPS-05	Schutz vor Schadprogrammen (OPS-05)		vollständig umgesetzt
C5-07-OPS-06	Datensicherung und Wiederherstellung – Konzept (OPS-06)		vollständig umgesetzt
C5-07-OPS-07	Datensicherung und Wiederherstellung – Überwachung (OPS-07)		vollständig umgesetzt
C5-07-OPS-08	Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-08)		vollständig umgesetzt
C5-07-OPS-09	Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-09)		vollständig umgesetzt
C5-07-OPS-10	Protokollierung und Überwachung – Konzept (OPS-10)		vollständig umgesetzt
C5-07-OPS-11	Protokollierung und Überwachung – Konzept (OPS-11)	Wird derzeit in OPS-10 abgedeckt	nicht aktiv
C5-07-OPS-12	Protokollierung und Überwachung – Kritische Assets (OPS-12)	Wird derzeit in OPS-10 abgedeckt	nicht aktiv
C5-07-OPS-13	Protokollierung und Überwachung – Aufbewahrung der Protokolle (OPS-13)	Wird derzeit in OPS-10 abgedeckt	nicht aktiv
C5-07-OPS-14	Protokollierung und Überwachung – Zurechenbarkeit (OPS-14)	Protokolldaten werden zentral auf einem Protokollierungsserver gespeichert.	teilweise umgesetzt
C5-07-OPS-15	Protokollierung und Überwachung – Konfiguration (OPS-15)	Anwendungsprotokolle sind verfügbar. Zugriffsprotokolle werden ohne IP-Adresse gespeichert.	teilweise umgesetzt
C5-07-OPS-16	Protokollierung und Überwachung – Verfügbarkeit der Überwachungs-Software (OPS-16)		vollständig umgesetzt
C5-07-OPS-17	Umgang mit Schwachstellen, Störungen und Fehlern – Konzept (OPS-17)		vollständig umgesetzt
C5-07-OPS-18	Umgang mit Schwachstellen, Störungen und Fehlern – Penetrationstests (OPS-18)		vollständig umgesetzt
C5-07-OPS-19	Umgang mit Schwachstellen, Störungen und Fehlern - Integration mit Änderungs- und Incident Management (OPS-19)	Derzeit führen wir keine externen oder internen Penetrationstests durch. Einige unserer Kunden taten dies jedoch. Es wurden keine größeren Probleme festgestellt.	nicht aktiv
C5-07-OPS-20	Umgang mit Schwachstellen, Störungen und Fehlern – Einbindung des Cloud-Kunden (OPS-20)	Einen regulären Prozess hierfür gibt es noch nicht.	teilweise umgesetzt
C5-07-OPS-21	Umgang mit Schwachstellen, Störungen und Fehlern - Prüfung offener Schwachstellen (OPS-21)		vollständig umgesetzt
C5-07-OPS-22	Umgang mit Schwachstellen, Störungen und Fehlern – System-Härtung (OPS-22)		vollständig umgesetzt
C5-07-OPS-23	Segregation der gespeicherten und verarbeiteten Daten der Cloud-Kunden in gemeinsam genutzten Ressourcen (OPS-23)	Wir halten uns an Industriestandards. Derzeit gibt es keine Dokumentation pro System.	teilweise umgesetzt
C5-07-OPS-24	Separierung der Datenbestände in der Cloud-Infrastruktur (OPS-24)		vollständig umgesetzt
C5-08-IDM-01	Richtlinie für Zugangs- und Zugriffsberechtigungen (IDM-01)		vollständig umgesetzt
C5-08-IDM-02	Benutzerregistrierung (IDM-02)		vollständig umgesetzt
C5-08-IDM-03	Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen (IDM-03)	Einige unserer Systeme implementieren dies. Der Rest wird automatisch verwaltet.	teilweise umgesetzt
C5-08-IDM-04	Berechtigungsentzug (Deprovisionierung) bei Veränderungen des Arbeitsverhältnisses (IDM-04)		vollständig umgesetzt
C5-08-IDM-05	Regelmäßige Überprüfung der Zugriffsberechtigungen (IDM-05)	Dies wird derzeit nur für die kritischsten Systeme durchgeführt.	teilweise umgesetzt
C5-08-IDM-06	Administratorenberechtigungen (IDM-06)	Größtenteils implementiert, wir entziehen Privilegien jedoch nicht für eine begrenzte Zeit.	teilweise umgesetzt
C5-08-IDM-07	Geheimhaltung von Authentifizierungsinformationen (IDM-07)		vollständig umgesetzt
C5-08-IDM-08	Sichere Anmeldeverfahren (IDM-08)		vollständig umgesetzt
C5-08-IDM-09	Umgang mit Notfallbenutzern (IDM-09)		vollständig umgesetzt
C5-09-CRY-01	Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung (CRY-01)	There are some guidelines, but no approved policy yet.	teilweise umgesetzt
C5-09-CRY-02	Verschlüsselung von Daten bei der Übertragung (Transportverschlüsselung) (CRY-02)		vollständig umgesetzt
C5-09-CRY-03	Verschlüsselung von sensiblen Daten bei der Speicherung (CRY-03)	Customer data is enKRYpted at rest. Backups are enKRYpted	teilweise umgesetzt
C5-09-CRY-04	Sichere Schlüsselverwaltung (CRY-04)	There is no centralized key management. Guidelines exist.	teilweise umgesetzt
C5-10-COS-01	Technische Schutzmaßnahmen (COS-01)	We do not run any intrusion detection system. However, we monitor network patterns and will be informed on major irregularities, like DDOS attacks.	nicht aktiv
C5-10-COS-02	Überwachen von Verbindungen (COS-02)		vollständig umgesetzt
C5-10-COS-03	Netzwerkübergreifende Zugriffe (COS-03)	All access to the cloud network is logged.	teilweise umgesetzt
C5-10-COS-04	Netzwerke zur Administration (COS-04)		vollständig umgesetzt
C5-10-COS-05	Segregation des Datenverkehrs in gemeinsam genutzten Netzwerkumgebungen (COS-05)		vollständig umgesetzt
C5-10-COS-06	Dokumentation der Netztopologie (COS-06)	Internal traffic segregated, but not enKRYpted.	teilweise umgesetzt
C5-10-COS-07	Richtlinien zur Datenübertragung (COS-07)		vollständig umgesetzt
C5-10-COS-08	Vertraulichkeitserklärung (COS-08)		vollständig umgesetzt
C5-11-PI-01	Nutzung öffentlicher API's und Industriestandards (PI-01)		vollständig umgesetzt
C5-11-PI-02	Export von Daten (PI-02)		vollständig umgesetzt
C5-11-PI-03	Richtlinie zur Portabilität und Interoperabilität (PI-03)		vollständig umgesetzt
C5-12-DEV-01	Richtlinien zur Entwicklung / Beschaffung von Informationssystemen (DEV-01)	We apply the coding guidelines which are followed in the Wikimedia ecosystem	teilweise umgesetzt
C5-12-DEV-02	Auslagerung der Entwicklung (DEV-02)	Contractual agreements are in place but need updating. However, third parties do not have access to our production cloud or to production code.	teilweise umgesetzt
C5-12-DEV-03	Richtlinien zur Änderung von Informationssystemen (DEV-03)		vollständig umgesetzt
C5-12-DEV-04	Risikobewertung der Änderungen (DEV-04)	Training is done on the job and on an annual basis in combination with GDPR compliance training	teilweise umgesetzt
C5-12-DEV-05	Kategorisierung der Änderungen (DEV-05)	Any changes are assessed within the team. A formal risk assessment is not applied yet.	teilweise umgesetzt
C5-12-DEV-06	Priorisierung der Änderungen (DEV-06)		vollständig umgesetzt
C5-12-DEV-07	Testen der Änderungen (DEV-07)		vollständig umgesetzt
C5-12-DEV-08	Zurückrollen der Änderungen (DEV-08)		vollständig umgesetzt
C5-12-DEV-09	Überprüfen von ordnungsgemäßer Testdurchführung und Genehmigung (DEV-09)		vollständig umgesetzt
C5-12-DEV-10	Notfalländerungen (DEV-10)		vollständig umgesetzt
C5-13-SSO-01	Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister und Lieferanten des Cloud-Anbieters (SSO-01)		vollständig umgesetzt
C5-13-SSO-02	Risikobeurteilung der Dienstleister und Lieferanten (SSO-02)		vollständig umgesetzt
C5-13-SSO-03	Verzeichnis der Dienstleister und Lieferanten (SSO-03)		vollständig umgesetzt
C5-13-SSO-04	Überwachung der Einhaltung der Anforderungen (SSO-04)		vollständig umgesetzt
C5-13-SSO-05	Ausstiegsstrategie für den Bezug von Leistungen (SSO-05)	There is no documented exit strategy.	nicht aktiv
C5-14-SIM-01	Verantwortlichkeiten und Vorgehensmodell (SIM-01)		vollständig umgesetzt
C5-14-SIM-02	Klassifizierung von Kunden Systemen (SIM-02)		vollständig umgesetzt
C5-14-SIM-03	Bearbeitung von Sicherheitsvorfällen (SIM-03)		vollständig umgesetzt
C5-14-SIM-04	Dokumentation und Berichterstattung über Sicherheitsvorfälle (SIM-04)		vollständig umgesetzt
C5-14-SIM-05	Security Incident Event Management (SIM-05)		vollständig umgesetzt
C5-15-BCM-01	Verantwortung durch die Unternehmensleitung (BCM-01)		vollständig umgesetzt
C5-15-BCM-02	Richtlinien und Verfahren zur Business Impact Analyse (BCM-02)	Risk analysis was done and is documented. There is no formal policy.	nicht aktiv
C5-15-BCM-03	Planung der Betriebskontinuität (BCM-03)		vollständig umgesetzt
C5-15-BCM-04	Verifizierung, Aktualisierung und Test der Betriebskontinuität (BCM-04)	Disaster recovery tests are conducted at implementation time. There is no regular schedule yet.	teilweise umgesetzt
C5-16-COM-01	Identifizierung anwendbarer gesetzlicher, regulatorischer, selbstauferlegter oder vertraglicher Anforderungen (COM-01)		vollständig umgesetzt
C5-16-COM-02	Richtlinie für die Planung und Durchführung von Audits (COM-02)	We conduct annual audits of the ISMS. There is no formal policy.	nicht aktiv
C5-16-COM-03	Interne Audits des Informationssicherheitsmanagementsystems (COM-03)	There is no formal process of the internal audit yet	teilweise umgesetzt
C5-16-COM-04	Informationen über die Informationssicherheitsleistung und Managementbewertung des ISMS (COM-04)		vollständig umgesetzt
C5-17-INQ-01	Juristische Beurteilung von Ermittlungsanfragen (INQ-01)		vollständig umgesetzt
C5-17-INQ-02	Information der Cloud-Kunden über Ermittlungsanfragen (INQ-02)		vollständig umgesetzt
C5-17-INQ-03	Voraussetzungen für den Zugriff auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-03)		vollständig umgesetzt
C5-17-INQ-04	Begrenzung des Zugriffs auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-04)		vollständig umgesetzt
C5-18-PSS-01	Leitlinien und Empfehlungen für Cloud-Kunden (PSS-01)	We maintain this information in our product documentation. However it cannot be found in one central place.	teilweise umgesetzt
C5-18-PSS-02	Identifikation von Schwachstellen des Cloud-Dienstes (PSS-02)		vollständig umgesetzt
C5-18-PSS-03	Online-Register bekannter Schwachstellen (PSS-03)		vollständig umgesetzt
C5-18-PSS-04	Fehlerbehandlungs- und Protokollierungsmechanismen (PSS-04)		vollständig umgesetzt
C5-18-PSS-05	Authentisierungsmechanismen (PSS-05)		vollständig umgesetzt
C5-18-PSS-06	Session Management (PSS-06)		vollständig umgesetzt
C5-18-PSS-07	Vertraulichkeit von Authentisierungsinformationen (PSS-07)		vollständig umgesetzt
C5-18-PSS-08	Rollen- und Rechtekonzept (PSS-08)		vollständig umgesetzt
C5-18-PSS-09	Autorisierungsmechanismen (PSS-09)		vollständig umgesetzt
C5-18-PSS-10	Software-defined Networking (PSS-10)	We do not provide SDN to the customer	nicht aktiv
C5-18-PSS-11	Images für virtuelle Maschinen und Container (PSS-11)	We do not proved VMs and containers to the customer in the cloud	nicht aktiv
C5-18-PSS-12	Lokationen der Datenverarbeitung und -speicherung (PSS-12)	We do not provide a choice of data locations to the cloud customers	nicht aktiv

@@ Zeile 21: / Zeile 21: @@
 |C5-01-OIS-01
 |Managementsystem für Informationssicherheit (OIS-02)
-|ISMS is in effect, but  not all requirements of C5 are implemented
+|ISMS ist in Kraft, aber nicht alle Anforderungen von C5 sind umgesetzt.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
 |C5-01-OIS-02
 |Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitungt (OIS-02)
-|Security policy is  available, but needs improvement
+|Sicherheitsrichtlinien sind verfügbar, müssen jedoch verbessert werden.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 51: / Zeile 51: @@
 |C5-01-OIS-07
 |Identifikation, Analyse, Beurteilung und Behandlung von Risiken (OIS-07)
-|The process is  described, but not well established
+|Der Prozess ist beschrieben, aber nicht gut etabliert.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 71: / Zeile 71: @@
 |C5-04-HR-01
 |Sicherheitsüberprüfung der Hintergrundinformationen (HR-01)
-|Given the small size  of the company, trust is established on a personal basis
+|Angesichts der geringen Unternehmensgröße entsteht Vertrauen auf persönlicher Basis.
 | class="col-grey-light-bg" style="" |nicht aktiv
 |-
 |C5-04-HR-02
 |Beschäftigungsvereinbarungen (HR-02)
-|We do bind our  employees contractually to data protection and privacy. Security is only  mentioned implicitly here.
+|Wir verpflichten unsere Mitarbeiter vertraglich auf Datenschutz und Privatsphäre. Sicherheit wird hier nur implizit erwähnt.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 86: / Zeile 86: @@
 |C5-04-HR-04
 |Disziplinarmaßnahmen (HR-04)
-|There is no specific  mention of security issues. However, standard disciplinary measures apply.
+|Sicherheitsprobleme werden nicht ausdrücklich erwähnt. Es gelten jedoch die üblichen Disziplinarmaßnahmen.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 106: / Zeile 106: @@
 |C5-05-AM-03
 |Nutzungsanweisungen für Assets (AM-03)
-|In our internal wiki,  we document the handling of specific assets. However, there is no systematic  approach
+|In unserem internen Wiki dokumentieren wir den Umgang mit bestimmten Vermögenswerten. Es gibt jedoch keinen systematischen Ansatz.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 116: / Zeile 116: @@
 |C5-05-AM-05
 |Klassifikation von Informationen (AM-05)
-|We classify services,  but there is no classification scheme for data. All customer data is treated  as sensitive.
+|Wir klassifizieren Dienste, es gibt jedoch kein Klassifizierungsschema für Daten. Alle Kundendaten werden vertraulich behandelt.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
 |C5-05-AM-06
 |Kennzeichnung von Informationen und Handhabung von Assets (AM-06)
-|We currently do not  label information. As a standard, all customer data is treated as sensitive.
+|Wir kennzeichnen Informationen derzeit nicht. Standardmäßig werden alle Kundendaten vertraulich behandelt.
 | class="col-grey-light-bg" style="" |nicht aktiv
 |-
@@ Zeile 136: / Zeile 136: @@
 |C5-06-PS-01
 |Perimeterschutz (PS-01)
-|Data center locations,  where our cloud data is located, do all comply with ISO 27001 and do have  according perimeter protection.
+|Die Rechenzentrumsstandorte, an denen sich unsere Cloud-Daten befinden, entsprechen alle der ISO 27001 und verfügen über einen entsprechenden Perimeterschutz.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 171: / Zeile 171: @@
 |C5-07-OPS-03
 |Kapazitätsmanagement - Datenlokation (OPS-03)
-|Here, it is required  to make resource data available to the customer for their planning. This is  currently out of scope.
+|Hier ist es erforderlich, dem Kunden Ressourcendaten für seine Planung zur Verfügung zu stellen. Dies liegt derzeit außerhalb des Geltungsbereichs.
 | class="col-grey-light-bg" style="" |nicht aktiv
 |-
@@ Zeile 211: / Zeile 211: @@
 |C5-07-OPS-11
 |Protokollierung und Überwachung – Konzept (OPS-11)
-|Is currently covered  in OPS-10
+|Wird derzeit in OPS-10 abgedeckt
 | class="col-grey-light-bg" style="" |nicht aktiv
 |-
 |C5-07-OPS-12
 |Protokollierung und Überwachung – Kritische Assets (OPS-12)
-|Is currently covered  by OPS-10
+|Wird derzeit in OPS-10 abgedeckt
 | class="col-grey-light-bg" style="" |nicht aktiv
 |-
 |C5-07-OPS-13
 |Protokollierung und Überwachung – Aufbewahrung der Protokolle (OPS-13)
-|Is currently covered  by OPS-10
+|Wird derzeit in OPS-10 abgedeckt
 | class="col-grey-light-bg" style="" |nicht aktiv
 |-
 |C5-07-OPS-14
 |Protokollierung und Überwachung – Zurechenbarkeit (OPS-14)
-|Log data is stored  centrally on a logging server.
+|Protokolldaten werden zentral auf einem Protokollierungsserver gespeichert.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
 |C5-07-OPS-15
 |Protokollierung und Überwachung – Konfiguration (OPS-15)
-|Application logs are  available. Access logs are stored without IP address
+|Anwendungsprotokolle sind verfügbar. Zugriffsprotokolle werden ohne IP-Adresse gespeichert.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 251: / Zeile 251: @@
 |C5-07-OPS-19
 |Umgang mit Schwachstellen, Störungen und Fehlern - Integration mit Änderungs- und Incident Management (OPS-19)
-|We currently do not  perform any external or internal penetration tests. However, some of our  customers did. No major issues were found.
+|Derzeit führen wir keine externen oder internen Penetrationstests durch. Einige unserer Kunden taten dies jedoch. Es wurden keine größeren Probleme festgestellt.
 | class="col-grey-light-bg" style="" |nicht aktiv
 |-
 |C5-07-OPS-20
 |Umgang mit Schwachstellen, Störungen und Fehlern – Einbindung des Cloud-Kunden (OPS-20)
-|There is no regular  process for this yet.
+|Einen regulären Prozess hierfür gibt es noch nicht.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 271: / Zeile 271: @@
 |C5-07-OPS-23
 |Segregation der gespeicherten und verarbeiteten Daten der Cloud-Kunden in gemeinsam genutzten Ressourcen (OPS-23)
-|We adhere to industry  standards. There is currently no documentation per system.
+|Wir halten uns an Industriestandards. Derzeit gibt es keine Dokumentation pro System.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
 |C5-07-OPS-24
-|<span class="col-red">ISM:Separation of Datasets in the Cloud  Infrastructure (OPS-24)</span>
+|Separierung der Datenbestände in der Cloud-Infrastruktur (OPS-24)
 |
 | class="col-green-bg" style="" |vollständig umgesetzt
@@ Zeile 291: / Zeile 291: @@
 |C5-08-IDM-03
 |Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen (IDM-03)
-|Some of our systems  implement this. The rest is managed automatically.
+|Einige unserer Systeme implementieren dies. Der Rest wird automatisch verwaltet.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 301: / Zeile 301: @@
 |C5-08-IDM-05
 |Regelmäßige Überprüfung der Zugriffsberechtigungen (IDM-05)
-|This is currently only  done for the most critical systems
+|Dies wird derzeit nur für die kritischsten Systeme durchgeführt.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
 |C5-08-IDM-06
 |Administratorenberechtigungen (IDM-06)
-|Mostly implemented,  but we do not revoke privileges on a limited time basis
+|Größtenteils implementiert, wir entziehen Privilegien jedoch nicht für eine begrenzte Zeit.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-

Info:Trust and Safety/Cloud - Sicherheit und Zuverlässigkeit/C5 Interner Auditstatus: Unterschied zwischen den Versionen

Version vom 30. April 2024, 12:50 Uhr

Overview

Kriterienliste

Diskussionen