Version vom 30. April 2024, 10:56 Uhr von Margit Link-Rodrigue (Diskussion | Beiträge)
Overview
Mehr Info: Kriterienkatalog Cloud Computing C5
Aktuelle Phase des internen Audits: Erstaudit
Vollständig umgesetzte C5-Richtlinien: 92 %
Teilweise umgesetzte C5-Richtlinien: 66 %
Kriterienliste
| ID | Guideline | Comment | Audit state |
|---|---|---|---|
| C5-01-OIS-01 | Managementsystem für Informationssicherheit (OIS-02) | ISMS is in effect, but not all requirements of C5 are implemented | teilweise umgesetzt |
| C5-01-OIS-02 | Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitungt (OIS-02) | Security policy is available, but needs improvement | teilweise umgesetzt |
| C5-01-OIS-03 | Zuständigkeiten und Verantwortungen im Rahmen der Informationssicherheit (OIS-03) | vollständig umgesetzt | |
| C5-01-OIS-04 | Funktionstrennung (OIS-04) | vollständig umgesetzt | |
| C5-01-OIS-05 | Kontakt zu relevanten Behörden und Interessenverbänden (OIS-05) | vollständig umgesetzt | |
| C5-01-OIS-06 | Richtlinie für die Organisation des Risikomanagements (OIS-06) | vollständig umgesetzt | |
| C5-01-OIS-07 | Identifikation, Analyse, Beurteilung und Behandlung von Risiken (OIS-07) | The process is described, but not well established | teilweise umgesetzt |
| C5-03-SP-01 | Dokumentation, Kommunikation und Bereitstellung von Richtlinien und Anweisungen (SP-01) | vollständig umgesetzt | |
| C5-03-SP-02 | Überprüfung und Freigabe von von Richtlinien und Anweisungen (SP-02) | vollständig umgesetzt | |
| C5-03-SP-03 | Abweichungen von bestehenden Richtlinien und Anweisungen (SP-03) | vollständig umgesetzt | |
| C5-04-HR-01 | Sicherheitsüberprüfung der Hintergrundinformationen (HR-01) | Given the small size of the company, trust is established on a personal basis | nicht aktiv |
| C5-04-HR-02 | Beschäftigungsvereinbarungen (HR-02) | We do bind our employees contractually to data protection and privacy. Security is only mentioned implicitly here. | teilweise umgesetzt |
| C5-04-HR-03 | Programm zur Sicherheitsausbildung und Sensibilisierung (HR-03) | vollständig umgesetzt | |
| C5-04-HR-04 | Disziplinarmaßnahmen (HR-04) | There is no specific mention of security issues. However, standard disciplinary measures apply. | teilweise umgesetzt |
| C5-04-HR-05 | Beendigung des Beschäftigungsverhältnisses oder Änderungen der Verantwortlichkeiten (HR-05) | vollständig umgesetzt | |
| C5-05-AM-01 | Asset Inventar (AM-01) | vollständig umgesetzt | |
| C5-05-AM-02 | Zuweisung von Asset Verantwortlichen (AM-02) | vollständig umgesetzt | |
| C5-05-AM-03 | Nutzungsanweisungen für Assets (AM-03) | In our internal wiki, we document the handling of specific assets. However, there is no systematic approach | teilweise umgesetzt |
| C5-05-AM-04 | Ab- und Rückgabe von Assets (AM-04) | vollständig umgesetzt | |
| C5-05-AM-05 | Klassifikation von Informationen (AM-05) | We classify services, but there is no classification scheme for data. All customer data is treated as sensitive. | teilweise umgesetzt |
| C5-05-AM-06 | Kennzeichnung von Informationen und Handhabung von Assets (AM-06) | We currently do not label information. As a standard, all customer data is treated as sensitive. | nicht aktiv |
| C5-05-AM-07 | Verwaltung von Datenträgern (AM-07) | vollständig umgesetzt | |
| C5-05-AM-08 | Überführung und Entfernung von Assets (AM-08) | vollständig umgesetzt | |
| C5-06-PS-01 | Perimeterschutz (PS-01) | Data center locations, where our cloud data is located, do all comply with ISO 27001 and do have according perimeter protection. | teilweise umgesetzt |
| C5-06-PS-02 | Physische Zutrittskontrolle (PS-02) | vollständig umgesetzt | |
| C5-06-PS-03 | Schutz vor Bedrohungen von außen und aus der Umgebung (PS-03) | vollständig umgesetzt | |
| C5-06-PS-04 | Schutz vor Unterbrechungen durch Stromausfälle und andere derartige Risiken (PS-04) | vollständig umgesetzt | |
| C5-06-PS-05 | Wartung von Infrastruktur und Geräten (PS-05) | vollständig umgesetzt | |
| C5-07-OPS-01 | Kapazitätsmanagement – Planung (OPS-01) | vollständig umgesetzt | |
| C5-07-OPS-02 | Kapazitätsmanagement – Überwachung (OPS-02) | vollständig umgesetzt | |
| C5-07-OPS-03 | Kapazitätsmanagement - Datenlokation (OPS-03) | Here, it is required to make resource data available to the customer for their planning. This is currently out of scope. | nicht aktiv |
| C5-07-OPS-04 | Kapazitätsmanagement - Steuerung von Ressourcen (OPS-04) | vollständig umgesetzt | |
| C5-07-OPS-05 | Schutz vor Schadprogrammen (OPS-05) | vollständig umgesetzt | |
| C5-07-OPS-06 | Datensicherung und Wiederherstellung – Konzept (OPS-06) | vollständig umgesetzt | |
| C5-07-OPS-07 | Datensicherung und Wiederherstellung – Überwachung (OPS-07) | vollständig umgesetzt | |
| C5-07-OPS-08 | Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-08) | vollständig umgesetzt | |
| C5-07-OPS-09 | Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-09) | vollständig umgesetzt | |
| C5-07-OPS-10 | Protokollierung und Überwachung – Konzept (OPS-10) | vollständig umgesetzt | |
| C5-07-OPS-11 | Protokollierung und Überwachung – Konzept (OPS-11) | Is currently covered in OPS-10 | nicht aktiv |
| C5-07-OPS-12 | Protokollierung und Überwachung – Kritische Assets (OPS-12) | Is currently covered by OPS-10 | nicht aktiv |
| C5-07-OPS-13 | Protokollierung und Überwachung – Aufbewahrung der Protokolle (OPS-13) | Is currently covered by OPS-10 | nicht aktiv |
| C5-07-OPS-14 | Protokollierung und Überwachung – Zurechenbarkeit (OPS-14) | Log data is stored centrally on a logging server. | teilweise umgesetzt |
| C5-07-OPS-15 | Protokollierung und Überwachung – Konfiguration (OPS-15) | Application logs are available. Access logs are stored without IP address | teilweise umgesetzt |
| C5-07-OPS-16 | Protokollierung und Überwachung – Verfügbarkeit der Überwachungs-Software (OPS-16) | vollständig umgesetzt | |
| C5-07-OPS-17 | Umgang mit Schwachstellen, Störungen und Fehlern – Konzept (OPS-17) | vollständig umgesetzt | |
| C5-07-OPS-18 | Umgang mit Schwachstellen, Störungen und Fehlern – Penetrationstests (OPS-18) | vollständig umgesetzt | |
| C5-07-OPS-19 | Umgang mit Schwachstellen, Störungen und Fehlern - Integration mit Änderungs- und Incident Management (OPS-19) | We currently do not perform any external or internal penetration tests. However, some of our customers did. No major issues were found. | nicht aktiv |
| C5-07-OPS-20 | Umgang mit Schwachstellen, Störungen und Fehlern – Einbindung des Cloud-Kunden (OPS-20) | There is no regular process for this yet. | teilweise umgesetzt |
| C5-07-OPS-21 | Umgang mit Schwachstellen, Störungen und Fehlern - Prüfung offener Schwachstellen (OPS-21) | vollständig umgesetzt | |
| C5-07-OPS-22 | Umgang mit Schwachstellen, Störungen und Fehlern – System-Härtung (OPS-22) | vollständig umgesetzt | |
| C5-07-OPS-23 | Segregation der gespeicherten und verarbeiteten Daten der Cloud-Kunden in gemeinsam genutzten Ressourcen (OPS-23) | We adhere to industry standards. There is currently no documentation per system. | teilweise umgesetzt |
| C5-07-OPS-24 | ISM:Separation of Datasets in the Cloud Infrastructure (OPS-24) | vollständig umgesetzt | |
| C5-08-IDM-01 | Richtlinie für Zugangs- und Zugriffsberechtigungen (IDM-01) | vollständig umgesetzt | |
| C5-08-IDM-02 | Benutzerregistrierung (IDM-02) | vollständig umgesetzt | |
| C5-08-IDM-03 | Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen (IDM-03) | Some of our systems implement this. The rest is managed automatically. | teilweise umgesetzt |
| C5-08-IDM-04 | Berechtigungsentzug (Deprovisionierung) bei Veränderungen des Arbeitsverhältnisses (IDM-04) | vollständig umgesetzt | |
| C5-08-IDM-05 | Regelmäßige Überprüfung der Zugriffsberechtigungen (IDM-05) | This is currently only done for the most critical systems | teilweise umgesetzt |
| C5-08-IDM-06 | Administratorenberechtigungen (IDM-06) | Mostly implemented, but we do not revoke privileges on a limited time basis | teilweise umgesetzt |
| C5-08-IDM-07 | Geheimhaltung von Authentifizierungsinformationen (IDM-07) | vollständig umgesetzt | |
| C5-08-IDM-08 | Sichere Anmeldeverfahren (IDM-08) | vollständig umgesetzt | |
| C5-08-IDM-09 | Umgang mit Notfallbenutzern (IDM-09) | vollständig umgesetzt | |
| C5-09-CRY-01 | Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung (CRY-01) | There are some guidelines, but no approved policy yet. | teilweise umgesetzt |
| C5-09-CRY-02 | Verschlüsselung von Daten bei der Übertragung (Transportverschlüsselung) (CRY-02) | vollständig umgesetzt | |
| C5-09-CRY-03 | Verschlüsselung von sensiblen Daten bei der Speicherung (CRY-03) | Customer data is enKRYpted at rest. Backups are enKRYpted | teilweise umgesetzt |
| C5-09-CRY-04 | Sichere Schlüsselverwaltung (CRY-04) | There is no centralized key management. Guidelines exist. | teilweise umgesetzt |
| C5-10-COS-01 | Technische Schutzmaßnahmen (COS-01) | We do not run any intrusion detection system. However, we monitor network patterns and will be informed on major irregularities, like DDOS attacks. | nicht aktiv |
| C5-10-COS-02 | Überwachen von Verbindungen (COS-02) | vollständig umgesetzt | |
| C5-10-COS-03 | Netzwerkübergreifende Zugriffe (COS-03) | All access to the cloud network is logged. | teilweise umgesetzt |
| C5-10-COS-04 | Netzwerke zur Administration (COS-04) | vollständig umgesetzt | |
| C5-10-COS-05 | Segregation des Datenverkehrs in gemeinsam genutzten Netzwerkumgebungen (COS-05) | vollständig umgesetzt | |
| C5-10-COS-06 | Dokumentation der Netztopologie (COS-06) | Internal traffic segregated, but not enKRYpted. | teilweise umgesetzt |
| C5-10-COS-07 | Richtlinien zur Datenübertragung (COS-07) | vollständig umgesetzt | |
| C5-10-COS-08 | Vertraulichkeitserklärung (COS-08) | vollständig umgesetzt | |
| C5-11-PI-01 | Nutzung öffentlicher API's und Industriestandards (PI-01) | vollständig umgesetzt | |
| C5-11-PI-02 | Export von Daten (PI-02) | vollständig umgesetzt | |
| C5-11-PI-03 | Richtlinie zur Portabilität und Interoperabilität (PI-03) | vollständig umgesetzt | |
| C5-12-DEV-01 | Richtlinien zur Entwicklung / Beschaffung von Informationssystemen (DEV-01) | We apply the coding guidelines which are followed in the Wikimedia ecosystem | teilweise umgesetzt |
| C5-12-DEV-02 | Auslagerung der Entwicklung (DEV-02) | Contractual agreements are in place but need updating. However, third parties do not have access to our production cloud or to production code. | teilweise umgesetzt |
| C5-12-DEV-03 | Richtlinien zur Änderung von Informationssystemen (DEV-03) | vollständig umgesetzt | |
| C5-12-DEV-04 | Risikobewertung der Änderungen (DEV-04) | Training is done on the job and on an annual basis in combination with GDPR compliance training | teilweise umgesetzt |
| C5-12-DEV-05 | Kategorisierung der Änderungen (DEV-05) | Any changes are assessed within the team. A formal risk assessment is not applied yet. | teilweise umgesetzt |
| C5-12-DEV-06 | Priorisierung der Änderungen (DEV-06) | vollständig umgesetzt | |
| C5-12-DEV-07 | Testen der Änderungen (DEV-07) | vollständig umgesetzt | |
| C5-12-DEV-08 | Zurückrollen der Änderungen (DEV-08) | vollständig umgesetzt | |
| C5-12-DEV-09 | Überprüfen von ordnungsgemäßer Testdurchführung und Genehmigung (DEV-09) | vollständig umgesetzt | |
| C5-12-DEV-10 | Notfalländerungen (DEV-10) | vollständig umgesetzt | |
| C5-13-SSO-01 | Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister und Lieferanten des Cloud-Anbieters (SSO-01) | vollständig umgesetzt | |
| C5-13-SSO-02 | Risikobeurteilung der Dienstleister und Lieferanten (SSO-02) | vollständig umgesetzt | |
| C5-13-SSO-03 | Verzeichnis der Dienstleister und Lieferanten (SSO-03) | vollständig umgesetzt | |
| C5-13-SSO-04 | Überwachung der Einhaltung der Anforderungen (SSO-04) | vollständig umgesetzt | |
| C5-13-SSO-05 | Ausstiegsstrategie für den Bezug von Leistungen (SSO-05) | There is no documented exit strategy. | nicht aktiv |
| C5-14-SIM-01 | Verantwortlichkeiten und Vorgehensmodell (SIM-01) | vollständig umgesetzt | |
| C5-14-SIM-02 | Klassifizierung von Kunden Systemen (SIM-02) | vollständig umgesetzt | |
| C5-14-SIM-03 | Bearbeitung von Sicherheitsvorfällen (SIM-03) | vollständig umgesetzt | |
| C5-14-SIM-04 | Dokumentation und Berichterstattung über Sicherheitsvorfälle (SIM-04) | vollständig umgesetzt | |
| C5-14-SIM-05 | Security Incident Event Management (SIM-05) | vollständig umgesetzt | |
| C5-15-BCM-01 | Verantwortung durch die Unternehmensleitung (BCM-01) | vollständig umgesetzt | |
| C5-15-BCM-02 | Richtlinien und Verfahren zur Business Impact Analyse (BCM-02) | Risk analysis was done and is documented. There is no formal policy. | nicht aktiv |
| C5-15-BCM-03 | Planung der Betriebskontinuität (BCM-03) | vollständig umgesetzt | |
| C5-15-BCM-04 | Verifizierung, Aktualisierung und Test der Betriebskontinuität (BCM-04) | Disaster recovery tests are conducted at implementation time. There is no regular schedule yet. | teilweise umgesetzt |
| C5-16-COM-01 | Identifizierung anwendbarer gesetzlicher, regulatorischer, selbstauferlegter oder vertraglicher Anforderungen (COM-01) | vollständig umgesetzt | |
| C5-16-COM-02 | Richtlinie für die Planung und Durchführung von Audits (COM-02) | We conduct annual audits of the ISMS. There is no formal policy. | nicht aktiv |
| C5-16-COM-03 | Interne Audits des Informationssicherheitsmanagementsystems (COM-03) | There is no formal process of the internal audit yet | teilweise umgesetzt |
| C5-16-COM-04 | Informationen über die Informationssicherheitsleistung und Managementbewertung des ISMS (COM-04) | vollständig umgesetzt | |
| C5-17-INQ-01 | Juristische Beurteilung von Ermittlungsanfragen (INQ-01) | vollständig umgesetzt | |
| C5-17-INQ-02 | Information der Cloud-Kunden über Ermittlungsanfragen (INQ-02) | vollständig umgesetzt | |
| C5-17-INQ-03 | Voraussetzungen für den Zugriff auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-03) | vollständig umgesetzt | |
| C5-17-INQ-04 | Begrenzung des Zugriffs auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-04) | vollständig umgesetzt | |
| C5-18-PSS-01 | Leitlinien und Empfehlungen für Cloud-Kunden (PSS-01) | We maintain this information in our product documentation. However it cannot be found in one central place. | teilweise umgesetzt |
| C5-18-PSS-02 | Identifikation von Schwachstellen des Cloud-Dienstes (PSS-02) | vollständig umgesetzt | |
| C5-18-PSS-03 | Online-Register bekannter Schwachstellen (PSS-03) | vollständig umgesetzt | |
| C5-18-PSS-04 | Fehlerbehandlungs- und Protokollierungsmechanismen (PSS-04) | vollständig umgesetzt | |
| C5-18-PSS-05 | Authentisierungsmechanismen (PSS-05) | vollständig umgesetzt | |
| C5-18-PSS-06 | Session Management (PSS-06) | vollständig umgesetzt | |
| C5-18-PSS-07 | Vertraulichkeit von Authentisierungsinformationen (PSS-07) | vollständig umgesetzt | |
| C5-18-PSS-08 | Rollen- und Rechtekonzept (PSS-08) | vollständig umgesetzt | |
| C5-18-PSS-09 | Autorisierungsmechanismen (PSS-09) | vollständig umgesetzt | |
| C5-18-PSS-10 | Software-defined Networking (PSS-10) | We do not provide SDN to the customer | nicht aktiv |
| C5-18-PSS-11 | Images für virtuelle Maschinen und Container (PSS-11) | We do not proved VMs and containers to the customer in the cloud | nicht aktiv |
| C5-18-PSS-12 | Lokationen der Datenverarbeitung und -speicherung (PSS-12) | We do not provide a choice of data locations to the cloud customers | nicht aktiv |
Diskussionen