Version vom 2. Mai 2024, 14:21 Uhr von Richard Heigl (Diskussion | Beiträge)
Overview
Mehr Info: Kriterienkatalog Cloud Computing C5
Aktuelle Phase des internen Audits: Erstaudit
Vollständig umgesetzte C5-Richtlinien: 92 %
Teilweise umgesetzte C5-Richtlinien: 66 %
Kriterienliste
| ID | Guideline | Kommentar | Audit Status |
|---|---|---|---|
| C5-01-OIS-01 | Managementsystem für Informationssicherheit (OIS-02) | ISMS ist in Kraft, aber nicht alle Anforderungen von C5 sind umgesetzt. | teilweise umgesetzt |
| C5-01-OIS-02 | Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitungt (OIS-02) | Richtlinien für die Sicherheit sind vorhanden, aber Verbesserungen sind notwendig. | teilweise umgesetzt |
| C5-01-OIS-03 | Zuständigkeiten und Verantwortungen im Rahmen der Informationssicherheit (OIS-03) | vollständig umgesetzt | |
| C5-01-OIS-04 | Funktionstrennung (OIS-04) | vollständig umgesetzt | |
| C5-01-OIS-05 | Kontakt zu relevanten Behörden und Interessenverbänden (OIS-05) | vollständig umgesetzt | |
| C5-01-OIS-06 | Richtlinie für die Organisation des Risikomanagements (OIS-06) | vollständig umgesetzt | |
| C5-01-OIS-07 | Identifikation, Analyse, Beurteilung und Behandlung von Risiken (OIS-07) | Der Prozess ist beschrieben und wird eingeführt. | teilweise umgesetzt |
| C5-03-SP-01 | Dokumentation, Kommunikation und Bereitstellung von Richtlinien und Anweisungen (SP-01) | vollständig umgesetzt | |
| C5-03-SP-02 | Überprüfung und Freigabe von von Richtlinien und Anweisungen (SP-02) | vollständig umgesetzt | |
| C5-03-SP-03 | Abweichungen von bestehenden Richtlinien und Anweisungen (SP-03) | vollständig umgesetzt | |
| C5-04-HR-01 | Sicherheitsüberprüfung der Hintergrundinformationen (HR-01) | Vertrauen wird auf persönlicher Basis aufgebaut, da das Unternehmen klein ist. | nicht aktiv |
| C5-04-HR-02 | Beschäftigungsvereinbarungen (HR-02) | Mitarbeiter werden vertraglich auf Datenschutz und Privatsphäre verpflichtet. Sicherheit ist implizit angesprochen. | teilweise umgesetzt |
| C5-04-HR-03 | Programm zur Sicherheitsausbildung und Sensibilisierung (HR-03) | vollständig umgesetzt | |
| C5-04-HR-04 | Disziplinarmaßnahmen (HR-04) | Sicherheitsfragen werden noch nicht ausdrücklich ausgeführt. Es gelten jedoch die üblichen Disziplinarmaßnahmen. | teilweise umgesetzt |
| C5-04-HR-05 | Beendigung des Beschäftigungsverhältnisses oder Änderungen der Verantwortlichkeiten (HR-05) | vollständig umgesetzt | |
| C5-05-AM-01 | Asset Inventar (AM-01) | vollständig umgesetzt | |
| C5-05-AM-02 | Zuweisung von Asset Verantwortlichen (AM-02) | vollständig umgesetzt | |
| C5-05-AM-03 | Nutzungsanweisungen für Assets (AM-03) | In der internen Knowledge Base wird der Umgang mit bestimmten Vermögenswerten dokumentiert. Dieses ist im nächsten Schritt zu systematisieren. | teilweise umgesetzt |
| C5-05-AM-04 | Ab- und Rückgabe von Assets (AM-04) | vollständig umgesetzt | |
| C5-05-AM-05 | Klassifikation von Informationen (AM-05) | Dienste werden klassifiziert, es gibt jedoch kein Klassifizierungsschema für Daten.
Alle Kundendaten werden vertraulich behandelt. |
teilweise umgesetzt |
| C5-05-AM-06 | Kennzeichnung von Informationen und Handhabung von Assets (AM-06) | Informationen werden derzeit nicht gekennzeichnet.
Standardmäßig werden alle Kundendaten vertraulich behandelt. |
nicht aktiv |
| C5-05-AM-07 | Verwaltung von Datenträgern (AM-07) | vollständig umgesetzt | |
| C5-05-AM-08 | Überführung und Entfernung von Assets (AM-08) | vollständig umgesetzt | |
| C5-06-PS-01 | Perimeterschutz (PS-01) | Die Rechenzentrumsstandorte, an denen sich Cloud-Daten des Unternehmens befinden, erfüllen alle den Standard ISO 27001 und verfügen über einen entsprechenden Perimeterschutz. | teilweise umgesetzt |
| C5-06-PS-02 | Physische Zutrittskontrolle (PS-02) | vollständig umgesetzt | |
| C5-06-PS-03 | Schutz vor Bedrohungen von außen und aus der Umgebung (PS-03) | vollständig umgesetzt | |
| C5-06-PS-04 | Schutz vor Unterbrechungen durch Stromausfälle und andere derartige Risiken (PS-04) | vollständig umgesetzt | |
| C5-06-PS-05 | Wartung von Infrastruktur und Geräten (PS-05) | vollständig umgesetzt | |
| C5-07-OPS-01 | Kapazitätsmanagement – Planung (OPS-01) | vollständig umgesetzt | |
| C5-07-OPS-02 | Kapazitätsmanagement – Überwachung (OPS-02) | vollständig umgesetzt | |
| C5-07-OPS-03 | Kapazitätsmanagement - Datenlokation (OPS-03) | Hier ist es erforderlich, dem Kunden Ressourcendaten für seine Planung zur Verfügung zu stellen. Dies liegt derzeit außerhalb des Geltungsbereichs. | nicht aktiv |
| C5-07-OPS-04 | Kapazitätsmanagement - Steuerung von Ressourcen (OPS-04) | vollständig umgesetzt | |
| C5-07-OPS-05 | Schutz vor Schadprogrammen (OPS-05) | vollständig umgesetzt | |
| C5-07-OPS-06 | Datensicherung und Wiederherstellung – Konzept (OPS-06) | vollständig umgesetzt | |
| C5-07-OPS-07 | Datensicherung und Wiederherstellung – Überwachung (OPS-07) | vollständig umgesetzt | |
| C5-07-OPS-08 | Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-08) | vollständig umgesetzt | |
| C5-07-OPS-09 | Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-09) | vollständig umgesetzt | |
| C5-07-OPS-10 | Protokollierung und Überwachung – Konzept (OPS-10) | vollständig umgesetzt | |
| C5-07-OPS-11 | Protokollierung und Überwachung – Konzept (OPS-11) | Wird derzeit in OPS-10 abgedeckt | nicht aktiv |
| C5-07-OPS-12 | Protokollierung und Überwachung – Kritische Assets (OPS-12) | Wird derzeit in OPS-10 abgedeckt | nicht aktiv |
| C5-07-OPS-13 | Protokollierung und Überwachung – Aufbewahrung der Protokolle (OPS-13) | Wird derzeit in OPS-10 abgedeckt | nicht aktiv |
| C5-07-OPS-14 | Protokollierung und Überwachung – Zurechenbarkeit (OPS-14) | Protokolldaten werden zentral auf einem Protokollierungsserver gespeichert. | teilweise umgesetzt |
| C5-07-OPS-15 | Protokollierung und Überwachung – Konfiguration (OPS-15) | Anwendungsprotokolle sind verfügbar. Zugriffsprotokolle werden ohne IP-Adresse gespeichert. | teilweise umgesetzt |
| C5-07-OPS-16 | Protokollierung und Überwachung – Verfügbarkeit der Überwachungs-Software (OPS-16) | vollständig umgesetzt | |
| C5-07-OPS-17 | Umgang mit Schwachstellen, Störungen und Fehlern – Konzept (OPS-17) | vollständig umgesetzt | |
| C5-07-OPS-18 | Umgang mit Schwachstellen, Störungen und Fehlern – Penetrationstests (OPS-18) | vollständig umgesetzt | |
| C5-07-OPS-19 | Umgang mit Schwachstellen, Störungen und Fehlern - Integration mit Änderungs- und Incident Management (OPS-19) | Im Rahmen von Kundenprojekten erfolgen zeitweise Penetrationstests. Hier wurden keine größeren Probleme festgestellt.
Hallo Welt! führt selbst (noch) keine interne Penetrationstests durch. |
nicht aktiv |
| C5-07-OPS-20 | Umgang mit Schwachstellen, Störungen und Fehlern – Einbindung des Cloud-Kunden (OPS-20) | Einen regulären Prozess hierfür gibt es noch nicht. | teilweise umgesetzt |
| C5-07-OPS-21 | Umgang mit Schwachstellen, Störungen und Fehlern - Prüfung offener Schwachstellen (OPS-21) | vollständig umgesetzt | |
| C5-07-OPS-22 | Umgang mit Schwachstellen, Störungen und Fehlern – System-Härtung (OPS-22) | vollständig umgesetzt | |
| C5-07-OPS-23 | Segregation der gespeicherten und verarbeiteten Daten der Cloud-Kunden in gemeinsam genutzten Ressourcen (OPS-23) | Hallo Welt! orientiert sich hier an Industriestandards.
Derzeit gibt es keine Dokumentation pro System. |
teilweise umgesetzt |
| C5-07-OPS-24 | Separierung der Datenbestände in der Cloud-Infrastruktur (OPS-24) | vollständig umgesetzt | |
| C5-08-IDM-01 | Richtlinie für Zugangs- und Zugriffsberechtigungen (IDM-01) | vollständig umgesetzt | |
| C5-08-IDM-02 | Benutzerregistrierung (IDM-02) | vollständig umgesetzt | |
| C5-08-IDM-03 | Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen (IDM-03) | Einige Systeme implementieren dies. Der Rest wird automatisch verwaltet. | teilweise umgesetzt |
| C5-08-IDM-04 | Berechtigungsentzug (Deprovisionierung) bei Veränderungen des Arbeitsverhältnisses (IDM-04) | vollständig umgesetzt | |
| C5-08-IDM-05 | Regelmäßige Überprüfung der Zugriffsberechtigungen (IDM-05) | Dies wird derzeit nur für die kritischsten Systeme durchgeführt. | teilweise umgesetzt |
| C5-08-IDM-06 | Administratorenberechtigungen (IDM-06) | Größtenteils implementiert. Privilegien werden jedoch nicht für eine begrenzte Zeit entzogen. | teilweise umgesetzt |
| C5-08-IDM-07 | Geheimhaltung von Authentifizierungsinformationen (IDM-07) | vollständig umgesetzt | |
| C5-08-IDM-08 | Sichere Anmeldeverfahren (IDM-08) | vollständig umgesetzt | |
| C5-08-IDM-09 | Umgang mit Notfallbenutzern (IDM-09) | vollständig umgesetzt | |
| C5-09-CRY-01 | Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung (CRY-01) | Es gibt einige Richtlinien, aber noch keine genehmigte Richtlinie. | teilweise umgesetzt |
| C5-09-CRY-02 | Verschlüsselung von Daten bei der Übertragung (Transportverschlüsselung) (CRY-02) | vollständig umgesetzt | |
| C5-09-CRY-03 | Verschlüsselung von sensiblen Daten bei der Speicherung (CRY-03) | Kundendaten werden im Ruhezustand verschlüsselt. Backups sind verschlüsselt. | teilweise umgesetzt |
| C5-09-CRY-04 | Sichere Schlüsselverwaltung (CRY-04) | Es gibt keine zentrale Schlüsselverwaltung. Richtlinien existieren. | teilweise umgesetzt |
| C5-10-COS-01 | Technische Schutzmaßnahmen (COS-01) | Hallo Welt! betreibt kein Einbruchmeldesystem. Überwacht werden aber Netzwerkmuster und es erfolgen Benachrichtigungen bei größeren Unregelmäßigkeiten, wie z. B. DDOS-Angriffe. | nicht aktiv |
| C5-10-COS-02 | Überwachen von Verbindungen (COS-02) | vollständig umgesetzt | |
| C5-10-COS-03 | Netzwerkübergreifende Zugriffe (COS-03) | Alle Zugriffe auf das Cloud-Netzwerk werden protokolliert. | teilweise umgesetzt |
| C5-10-COS-04 | Netzwerke zur Administration (COS-04) | vollständig umgesetzt | |
| C5-10-COS-05 | Segregation des Datenverkehrs in gemeinsam genutzten Netzwerkumgebungen (COS-05) | vollständig umgesetzt | |
| C5-10-COS-06 | Dokumentation der Netztopologie (COS-06) | Interner Datenverkehr getrennt, aber nicht verschlüsselt. | teilweise umgesetzt |
| C5-10-COS-07 | Richtlinien zur Datenübertragung (COS-07) | vollständig umgesetzt | |
| C5-10-COS-08 | Vertraulichkeitserklärung (COS-08) | vollständig umgesetzt | |
| C5-11-PI-01 | Nutzung öffentlicher API's und Industriestandards (PI-01) | vollständig umgesetzt | |
| C5-11-PI-02 | Export von Daten (PI-02) | vollständig umgesetzt | |
| C5-11-PI-03 | Richtlinie zur Portabilität und Interoperabilität (PI-03) | vollständig umgesetzt | |
| C5-12-DEV-01 | Richtlinien zur Entwicklung / Beschaffung von Informationssystemen (DEV-01) | Hallo Welt! wendet die Codierungsrichtlinien an, die im Wikimedia-Ökosystem gelten. | teilweise umgesetzt |
| C5-12-DEV-02 | Auslagerung der Entwicklung (DEV-02) | Vertragliche Vereinbarungen sind vorhanden, müssen jedoch aktualisiert werden. Dritte haben jedoch keinen Zugriff auf Produktions-Cloud oder den Produktionscode. | teilweise umgesetzt |
| C5-12-DEV-03 | Richtlinien zur Änderung von Informationssystemen (DEV-03) | vollständig umgesetzt | |
| C5-12-DEV-04 | Risikobewertung der Änderungen (DEV-04) | Die Schulung erfolgt vor Ort und jährlich in Kombination mit DSGVO-Compliance-Schulungen. | teilweise umgesetzt |
| C5-12-DEV-05 | Kategorisierung der Änderungen (DEV-05) | Eventuelle Änderungen werden im Team beurteilt. Eine formelle Risikobewertung wird noch nicht angewendet. | teilweise umgesetzt |
| C5-12-DEV-06 | Priorisierung der Änderungen (DEV-06) | vollständig umgesetzt | |
| C5-12-DEV-07 | Testen der Änderungen (DEV-07) | vollständig umgesetzt | |
| C5-12-DEV-08 | Zurückrollen der Änderungen (DEV-08) | vollständig umgesetzt | |
| C5-12-DEV-09 | Überprüfen von ordnungsgemäßer Testdurchführung und Genehmigung (DEV-09) | vollständig umgesetzt | |
| C5-12-DEV-10 | Notfalländerungen (DEV-10) | vollständig umgesetzt | |
| C5-13-SSO-01 | Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister und Lieferanten des Cloud-Anbieters (SSO-01) | vollständig umgesetzt | |
| C5-13-SSO-02 | Risikobeurteilung der Dienstleister und Lieferanten (SSO-02) | vollständig umgesetzt | |
| C5-13-SSO-03 | Verzeichnis der Dienstleister und Lieferanten (SSO-03) | vollständig umgesetzt | |
| C5-13-SSO-04 | Überwachung der Einhaltung der Anforderungen (SSO-04) | vollständig umgesetzt | |
| C5-13-SSO-05 | Ausstiegsstrategie für den Bezug von Leistungen (SSO-05) | Es gibt keine dokumentierte Ausstiegsstrategie. | nicht aktiv |
| C5-14-SIM-01 | Verantwortlichkeiten und Vorgehensmodell (SIM-01) | vollständig umgesetzt | |
| C5-14-SIM-02 | Klassifizierung von Kunden Systemen (SIM-02) | vollständig umgesetzt | |
| C5-14-SIM-03 | Bearbeitung von Sicherheitsvorfällen (SIM-03) | vollständig umgesetzt | |
| C5-14-SIM-04 | Dokumentation und Berichterstattung über Sicherheitsvorfälle (SIM-04) | vollständig umgesetzt | |
| C5-14-SIM-05 | Security Incident Event Management (SIM-05) | vollständig umgesetzt | |
| C5-15-BCM-01 | Verantwortung durch die Unternehmensleitung (BCM-01) | vollständig umgesetzt | |
| C5-15-BCM-02 | Richtlinien und Verfahren zur Business Impact Analyse (BCM-02) | Eine Risikoanalyse wurde durchgeführt und ist dokumentiert. Es gibt keine formelle Richtlinie. | nicht aktiv |
| C5-15-BCM-03 | Planung der Betriebskontinuität (BCM-03) | vollständig umgesetzt | |
| C5-15-BCM-04 | Verifizierung, Aktualisierung und Test der Betriebskontinuität (BCM-04) | Zum Zeitpunkt der Implementierung werden Disaster-Recovery-Tests durchgeführt. Einen regulären Zeitplan gibt es noch nicht. | teilweise umgesetzt |
| C5-16-COM-01 | Identifizierung anwendbarer gesetzlicher, regulatorischer, selbstauferlegter oder vertraglicher Anforderungen (COM-01) | vollständig umgesetzt | |
| C5-16-COM-02 | Richtlinie für die Planung und Durchführung von Audits (COM-02) | Das ISMS wird jährlich auditiert. Es gibt keine formelle Richtlinie. | nicht aktiv |
| C5-16-COM-03 | Interne Audits des Informationssicherheitsmanagementsystems (COM-03) | Es gibt noch keinen formellen Prozess der internen Revision | teilweise umgesetzt |
| C5-16-COM-04 | Informationen über die Informationssicherheitsleistung und Managementbewertung des ISMS (COM-04) | vollständig umgesetzt | |
| C5-17-INQ-01 | Juristische Beurteilung von Ermittlungsanfragen (INQ-01) | vollständig umgesetzt | |
| C5-17-INQ-02 | Information der Cloud-Kunden über Ermittlungsanfragen (INQ-02) | vollständig umgesetzt | |
| C5-17-INQ-03 | Voraussetzungen für den Zugriff auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-03) | vollständig umgesetzt | |
| C5-17-INQ-04 | Begrenzung des Zugriffs auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-04) | vollständig umgesetzt | |
| C5-18-PSS-01 | Leitlinien und Empfehlungen für Cloud-Kunden (PSS-01) | Die Pflege dieser Informationen erfolgt im Rahmen unserer Produktdokumentation. Sie können jedoch nicht an einem zentralen Ort gefunden werden. | teilweise umgesetzt |
| C5-18-PSS-02 | Identifikation von Schwachstellen des Cloud-Dienstes (PSS-02) | vollständig umgesetzt | |
| C5-18-PSS-03 | Online-Register bekannter Schwachstellen (PSS-03) | vollständig umgesetzt | |
| C5-18-PSS-04 | Fehlerbehandlungs- und Protokollierungsmechanismen (PSS-04) | vollständig umgesetzt | |
| C5-18-PSS-05 | Authentisierungsmechanismen (PSS-05) | vollständig umgesetzt | |
| C5-18-PSS-06 | Session Management (PSS-06) | vollständig umgesetzt | |
| C5-18-PSS-07 | Vertraulichkeit von Authentisierungsinformationen (PSS-07) | vollständig umgesetzt | |
| C5-18-PSS-08 | Rollen- und Rechtekonzept (PSS-08) | vollständig umgesetzt | |
| C5-18-PSS-09 | Autorisierungsmechanismen (PSS-09) | vollständig umgesetzt | |
| C5-18-PSS-10 | Software-defined Networking (PSS-10) | Hallo Welt! stellt dem Kunden kein SDN zur Verfügung. | nicht aktiv |
| C5-18-PSS-11 | Images für virtuelle Maschinen und Container (PSS-11) | Hallo Welt! stellt dem Kunden keine VMs und Container in der Cloud zur Verfügung. | nicht aktiv |
| C5-18-PSS-12 | Lokationen der Datenverarbeitung und -speicherung (PSS-12) | Hallo Welt! bietet den Cloud-Kunden keine Auswahl an Datenstandorten. | nicht aktiv |
Diskussionen