Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
(5 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
Zeile 16: | Zeile 16: | ||
!ID | !ID | ||
!Guideline | !Guideline | ||
! | !Kommentar | ||
!Audit | !Audit Status | ||
|- | |- | ||
|C5-01-OIS-01 | |C5-01-OIS-01 | ||
|Managementsystem für Informationssicherheit (OIS-02) | |Managementsystem für Informationssicherheit (OIS-02) | ||
|ISMS | |ISMS ist in Kraft, aber nicht alle Anforderungen von C5 sind umgesetzt. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-01-OIS-02 | |C5-01-OIS-02 | ||
|Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitungt (OIS-02) | |Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitungt (OIS-02) | ||
| | |Richtlinien für die Sicherheit sind vorhanden, aber Verbesserungen sind notwendig. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 51: | Zeile 51: | ||
|C5-01-OIS-07 | |C5-01-OIS-07 | ||
|Identifikation, Analyse, Beurteilung und Behandlung von Risiken (OIS-07) | |Identifikation, Analyse, Beurteilung und Behandlung von Risiken (OIS-07) | ||
| | |Der Prozess ist beschrieben und wird eingeführt. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 71: | Zeile 71: | ||
|C5-04-HR-01 | |C5-04-HR-01 | ||
|Sicherheitsüberprüfung der Hintergrundinformationen (HR-01) | |Sicherheitsüberprüfung der Hintergrundinformationen (HR-01) | ||
| | |Vertrauen wird auf persönlicher Basis aufgebaut, da das Unternehmen klein ist. | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
|C5-04-HR-02 | |C5-04-HR-02 | ||
|Beschäftigungsvereinbarungen (HR-02) | |Beschäftigungsvereinbarungen (HR-02) | ||
| | |Mitarbeiter werden vertraglich auf Datenschutz und Privatsphäre verpflichtet. Sicherheit ist implizit angesprochen. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 86: | Zeile 86: | ||
|C5-04-HR-04 | |C5-04-HR-04 | ||
|Disziplinarmaßnahmen (HR-04) | |Disziplinarmaßnahmen (HR-04) | ||
| | |Sicherheitsfragen werden noch nicht ausdrücklich ausgeführt. Es gelten jedoch die üblichen Disziplinarmaßnahmen. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 106: | Zeile 106: | ||
|C5-05-AM-03 | |C5-05-AM-03 | ||
|Nutzungsanweisungen für Assets (AM-03) | |Nutzungsanweisungen für Assets (AM-03) | ||
|In | |In der internen Knowledge Base wird der Umgang mit bestimmten Vermögenswerten dokumentiert. Dieses ist im nächsten Schritt zu systematisieren. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 116: | Zeile 116: | ||
|C5-05-AM-05 | |C5-05-AM-05 | ||
|Klassifikation von Informationen (AM-05) | |Klassifikation von Informationen (AM-05) | ||
| | |Dienste werden klassifiziert, es gibt jedoch kein Klassifizierungsschema für Daten. | ||
Alle Kundendaten werden vertraulich behandelt. | |||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-05-AM-06 | |C5-05-AM-06 | ||
|Kennzeichnung von Informationen und Handhabung von Assets (AM-06) | |Kennzeichnung von Informationen und Handhabung von Assets (AM-06) | ||
| | |Informationen werden derzeit nicht gekennzeichnet. | ||
Standardmäßig werden alle Kundendaten vertraulich behandelt. | |||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
Zeile 136: | Zeile 138: | ||
|C5-06-PS-01 | |C5-06-PS-01 | ||
|Perimeterschutz (PS-01) | |Perimeterschutz (PS-01) | ||
| | |Die Rechenzentrumsstandorte, an denen sich Cloud-Daten des Unternehmens befinden, erfüllen alle den Standard ISO 27001 und verfügen über einen entsprechenden Perimeterschutz. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 159: | Zeile 161: | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-01 | ||
|Kapazitätsmanagement – Planung ( | |Kapazitätsmanagement – Planung (OPS-01) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-02 | ||
|Kapazitätsmanagement – Überwachung ( | |Kapazitätsmanagement – Überwachung (OPS-02) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-03 | ||
|Kapazitätsmanagement - Datenlokation ( | |Kapazitätsmanagement - Datenlokation (OPS-03) | ||
| | |Hier ist es erforderlich, dem Kunden Ressourcendaten für seine Planung zur Verfügung zu stellen. Dies liegt derzeit außerhalb des Geltungsbereichs. | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-04 | ||
|Kapazitätsmanagement - Steuerung von Ressourcen ( | |Kapazitätsmanagement - Steuerung von Ressourcen (OPS-04) | ||
| | | | ||
| class="col-orange-bg" style="" |vollständig umgesetzt | | class="col-orange-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-05 | ||
|Schutz vor Schadprogrammen ( | |Schutz vor Schadprogrammen (OPS-05) | ||
| | | | ||
| class="col-orange-bg" style="" |vollständig umgesetzt | | class="col-orange-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-06 | ||
|Datensicherung und Wiederherstellung – Konzept ( | |Datensicherung und Wiederherstellung – Konzept (OPS-06) | ||
| | | | ||
| class="col-orange-bg" style="" |vollständig umgesetzt | | class="col-orange-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-07 | ||
|Datensicherung und Wiederherstellung – Überwachung ( | |Datensicherung und Wiederherstellung – Überwachung (OPS-07) | ||
| | | | ||
| class="col-orange-bg" style="" |vollständig umgesetzt | | class="col-orange-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-08 | ||
|Datensicherung und Wiederherstellung - Regelmäßige Tests ( | |Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-08) | ||
| | | | ||
| class="col-orange-bg" style="" |vollständig umgesetzt | | class="col-orange-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-09 | ||
|Datensicherung und Wiederherstellung - Regelmäßige Tests ( | |Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-09) | ||
| | | | ||
| class="col-orange-bg" style="" |vollständig umgesetzt | | class="col-orange-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-10 | ||
|Protokollierung und Überwachung – Konzept ( | |Protokollierung und Überwachung – Konzept (OPS-10) | ||
| | | | ||
| class="col-orange-bg" style="" |vollständig umgesetzt | | class="col-orange-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-11 | ||
|Protokollierung und Überwachung – Konzept ( | |Protokollierung und Überwachung – Konzept (OPS-11) | ||
| | |Wird derzeit in OPS-10 abgedeckt | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-12 | ||
|Protokollierung und Überwachung – Kritische Assets ( | |Protokollierung und Überwachung – Kritische Assets (OPS-12) | ||
| | |Wird derzeit in OPS-10 abgedeckt | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-13 | ||
|Protokollierung und Überwachung – Aufbewahrung der Protokolle ( | |Protokollierung und Überwachung – Aufbewahrung der Protokolle (OPS-13) | ||
| | |Wird derzeit in OPS-10 abgedeckt | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-14 | ||
|Protokollierung und Überwachung – Zurechenbarkeit ( | |Protokollierung und Überwachung – Zurechenbarkeit (OPS-14) | ||
| | |Protokolldaten werden zentral auf einem Protokollierungsserver gespeichert. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-15 | ||
|Protokollierung und Überwachung – Konfiguration ( | |Protokollierung und Überwachung – Konfiguration (OPS-15) | ||
| | |Anwendungsprotokolle sind verfügbar. Zugriffsprotokolle werden ohne IP-Adresse gespeichert. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-16 | ||
|Protokollierung und Überwachung – Verfügbarkeit der Überwachungs-Software ( | |Protokollierung und Überwachung – Verfügbarkeit der Überwachungs-Software (OPS-16) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-17 | ||
|Umgang mit Schwachstellen, Störungen und Fehlern – Konzept ( | |Umgang mit Schwachstellen, Störungen und Fehlern – Konzept (OPS-17) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-18 | ||
|Umgang mit Schwachstellen, Störungen und Fehlern – Penetrationstests ( | |Umgang mit Schwachstellen, Störungen und Fehlern – Penetrationstests (OPS-18) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-19 | ||
|Umgang mit Schwachstellen, Störungen und Fehlern - Integration mit Änderungs- und Incident Management ( | |Umgang mit Schwachstellen, Störungen und Fehlern - Integration mit Änderungs- und Incident Management (OPS-19) | ||
| | |Im Rahmen von Kundenprojekten erfolgen zeitweise Penetrationstests. Hier wurden keine größeren Probleme festgestellt. | ||
Hallo Welt! führt selbst (noch) keine interne Penetrationstests durch. | |||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-20 | ||
|Umgang mit Schwachstellen, Störungen und Fehlern – Einbindung des Cloud-Kunden ( | |Umgang mit Schwachstellen, Störungen und Fehlern – Einbindung des Cloud-Kunden (OPS-20) | ||
| | |Einen regulären Prozess hierfür gibt es noch nicht. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-21 | ||
|Umgang mit Schwachstellen, Störungen und Fehlern - Prüfung offener Schwachstellen ( | |Umgang mit Schwachstellen, Störungen und Fehlern - Prüfung offener Schwachstellen (OPS-21) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-22 | ||
|Umgang mit Schwachstellen, Störungen und Fehlern – System-Härtung ( | |Umgang mit Schwachstellen, Störungen und Fehlern – System-Härtung (OPS-22) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-23 | ||
|Segregation der gespeicherten und verarbeiteten Daten der Cloud-Kunden in gemeinsam genutzten Ressourcen ( | |Segregation der gespeicherten und verarbeiteten Daten der Cloud-Kunden in gemeinsam genutzten Ressourcen (OPS-23) | ||
| | |Hallo Welt! orientiert sich hier an Industriestandards. | ||
Derzeit gibt es keine Dokumentation pro System. | |||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-07- | |C5-07-OPS-24 | ||
| | |Separierung der Datenbestände in der Cloud-Infrastruktur (OPS-24) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
Zeile 291: | Zeile 295: | ||
|C5-08-IDM-03 | |C5-08-IDM-03 | ||
|Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen (IDM-03) | |Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen (IDM-03) | ||
| | |Einige Systeme implementieren dies. Der Rest wird automatisch verwaltet. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 301: | Zeile 305: | ||
|C5-08-IDM-05 | |C5-08-IDM-05 | ||
|Regelmäßige Überprüfung der Zugriffsberechtigungen (IDM-05) | |Regelmäßige Überprüfung der Zugriffsberechtigungen (IDM-05) | ||
| | |Dies wird derzeit nur für die kritischsten Systeme durchgeführt. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-08-IDM-06 | |C5-08-IDM-06 | ||
|Administratorenberechtigungen (IDM-06) | |Administratorenberechtigungen (IDM-06) | ||
| | |Größtenteils implementiert. Privilegien werden jedoch nicht für eine begrenzte Zeit entzogen. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 324: | Zeile 328: | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-09- | |C5-09-CRY-01 | ||
|Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung ( | |Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung (CRY-01) | ||
| | |Es gibt einige Richtlinien, aber noch keine genehmigte Richtlinie. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-09- | |C5-09-CRY-02 | ||
|Verschlüsselung von Daten bei der Übertragung (Transportverschlüsselung) ( | |Verschlüsselung von Daten bei der Übertragung (Transportverschlüsselung) (CRY-02) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-09- | |C5-09-CRY-03 | ||
|Verschlüsselung von sensiblen Daten bei der Speicherung ( | |Verschlüsselung von sensiblen Daten bei der Speicherung (CRY-03) | ||
| | |Kundendaten werden im Ruhezustand verschlüsselt. Backups sind verschlüsselt. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-09- | |C5-09-CRY-04 | ||
|Sichere Schlüsselverwaltung ( | |Sichere Schlüsselverwaltung (CRY-04) | ||
| | |Es gibt keine zentrale Schlüsselverwaltung. Richtlinien existieren. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-10- | |C5-10-COS-01 | ||
|Technische Schutzmaßnahmen ( | |Technische Schutzmaßnahmen (COS-01) | ||
| | |Hallo Welt! betreibt kein Einbruchmeldesystem. Überwacht werden aber Netzwerkmuster und es erfolgen Benachrichtigungen bei größeren Unregelmäßigkeiten, wie z. B. DDOS-Angriffe. | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
|C5-10- | |C5-10-COS-02 | ||
|Überwachen von Verbindungen ( | |Überwachen von Verbindungen (COS-02) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-10- | |C5-10-COS-03 | ||
|Netzwerkübergreifende Zugriffe ( | |Netzwerkübergreifende Zugriffe (COS-03) | ||
| | |Alle Zugriffe auf das Cloud-Netzwerk werden protokolliert. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-10- | |C5-10-COS-04 | ||
|Netzwerke zur Administration ( | |Netzwerke zur Administration (COS-04) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-10- | |C5-10-COS-05 | ||
|Segregation des Datenverkehrs in gemeinsam genutzten Netzwerkumgebungen ( | |Segregation des Datenverkehrs in gemeinsam genutzten Netzwerkumgebungen (COS-05) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-10- | |C5-10-COS-06 | ||
|Dokumentation der Netztopologie ( | |Dokumentation der Netztopologie (COS-06) | ||
| | |Interner Datenverkehr getrennt, aber nicht verschlüsselt. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-10- | |C5-10-COS-07 | ||
|Richtlinien zur Datenübertragung ( | |Richtlinien zur Datenübertragung (COS-07) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-10- | |C5-10-COS-08 | ||
|Vertraulichkeitserklärung ( | |Vertraulichkeitserklärung (COS-08) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
Zeile 399: | Zeile 403: | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-12- | |C5-12-DEV-01 | ||
|Richtlinien zur Entwicklung / Beschaffung von Informationssystemen ( | |Richtlinien zur Entwicklung / Beschaffung von Informationssystemen (DEV-01) | ||
| | |Hallo Welt! wendet die Codierungsrichtlinien an, die im Wikimedia-Ökosystem gelten. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-12- | |C5-12-DEV-02 | ||
|Auslagerung der Entwicklung ( | |Auslagerung der Entwicklung (DEV-02) | ||
| | |Vertragliche Vereinbarungen sind vorhanden, müssen jedoch aktualisiert werden. Dritte haben jedoch keinen Zugriff auf Produktions-Cloud oder den Produktionscode. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-12- | |C5-12-DEV-03 | ||
|Richtlinien zur Änderung von Informationssystemen ( | |Richtlinien zur Änderung von Informationssystemen (DEV-03) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-12- | |C5-12-DEV-04 | ||
|Risikobewertung der Änderungen ( | |Risikobewertung der Änderungen (DEV-04) | ||
| | |Die Schulung erfolgt vor Ort und jährlich in Kombination mit DSGVO-Compliance-Schulungen. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-12- | |C5-12-DEV-05 | ||
|Kategorisierung der Änderungen ( | |Kategorisierung der Änderungen (DEV-05) | ||
| | |Eventuelle Änderungen werden im Team beurteilt. Eine formelle Risikobewertung wird noch nicht angewendet. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-12- | |C5-12-DEV-06 | ||
|Priorisierung der Änderungen ( | |Priorisierung der Änderungen (DEV-06) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-12- | |C5-12-DEV-07 | ||
|Testen der Änderungen ( | |Testen der Änderungen (DEV-07) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-12- | |C5-12-DEV-08 | ||
|Zurückrollen der Änderungen ( | |Zurückrollen der Änderungen (DEV-08) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-12- | |C5-12-DEV-09 | ||
|Überprüfen von ordnungsgemäßer Testdurchführung und Genehmigung ( | |Überprüfen von ordnungsgemäßer Testdurchführung und Genehmigung (DEV-09) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-12- | |C5-12-DEV-10 | ||
|Notfalländerungen ( | |Notfalländerungen (DEV-10) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-13- | |C5-13-SSO-01 | ||
|Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister und Lieferanten des Cloud-Anbieters ( | |Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister und Lieferanten des Cloud-Anbieters (SSO-01) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-13- | |C5-13-SSO-02 | ||
| | |Risikobeurteilung der Dienstleister und Lieferanten (SSO-02) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-13- | |C5-13-SSO-03 | ||
| | |Verzeichnis der Dienstleister und Lieferanten (SSO-03) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-13- | |C5-13-SSO-04 | ||
| | |Überwachung der Einhaltung der Anforderungen (SSO-04) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
|- | |- | ||
|C5-13- | |C5-13-SSO-05 | ||
| | |Ausstiegsstrategie für den Bezug von Leistungen (SSO-05) | ||
| | |Es gibt keine dokumentierte Ausstiegsstrategie. | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
Zeile 506: | Zeile 510: | ||
|C5-15-BCM-02 | |C5-15-BCM-02 | ||
|Richtlinien und Verfahren zur Business Impact Analyse (BCM-02) | |Richtlinien und Verfahren zur Business Impact Analyse (BCM-02) | ||
| | |Eine Risikoanalyse wurde durchgeführt und ist dokumentiert. Es gibt keine formelle Richtlinie. | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
Zeile 516: | Zeile 520: | ||
|C5-15-BCM-04 | |C5-15-BCM-04 | ||
|Verifizierung, Aktualisierung und Test der Betriebskontinuität (BCM-04) | |Verifizierung, Aktualisierung und Test der Betriebskontinuität (BCM-04) | ||
|Disaster | |Zum Zeitpunkt der Implementierung werden Disaster-Recovery-Tests durchgeführt. Einen regulären Zeitplan gibt es noch nicht. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 526: | Zeile 530: | ||
|C5-16-COM-02 | |C5-16-COM-02 | ||
|Richtlinie für die Planung und Durchführung von Audits (COM-02) | |Richtlinie für die Planung und Durchführung von Audits (COM-02) | ||
| | |Das ISMS wird jährlich auditiert. Es gibt keine formelle Richtlinie. | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
|C5-16-COM-03 | |C5-16-COM-03 | ||
|Interne Audits des Informationssicherheitsmanagementsystems (COM-03) | |Interne Audits des Informationssicherheitsmanagementsystems (COM-03) | ||
| | |Es gibt noch keinen formellen Prozess der internen Revision | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 561: | Zeile 565: | ||
|C5-18-PSS-01 | |C5-18-PSS-01 | ||
|Leitlinien und Empfehlungen für Cloud-Kunden (PSS-01) | |Leitlinien und Empfehlungen für Cloud-Kunden (PSS-01) | ||
| | |Die Pflege dieser Informationen erfolgt im Rahmen unserer Produktdokumentation. Sie können jedoch nicht an einem zentralen Ort gefunden werden. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 606: | Zeile 610: | ||
|C5-18-PSS-10 | |C5-18-PSS-10 | ||
|Software-defined Networking (PSS-10) | |Software-defined Networking (PSS-10) | ||
| | |Hallo Welt! stellt dem Kunden kein SDN zur Verfügung. | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
|C5-18-PSS-11 | |C5-18-PSS-11 | ||
|Images für virtuelle Maschinen und Container (PSS-11) | |Images für virtuelle Maschinen und Container (PSS-11) | ||
| | |Hallo Welt! stellt dem Kunden keine VMs und Container in der Cloud zur Verfügung. | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
|C5-18-PSS-12 | |C5-18-PSS-12 | ||
|Lokationen der Datenverarbeitung und -speicherung (PSS-12) | |Lokationen der Datenverarbeitung und -speicherung (PSS-12) | ||
| | |Hallo Welt! bietet den Cloud-Kunden keine Auswahl an Datenstandorten. | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|} | |} |
Aktuelle Version vom 2. Mai 2024, 14:21 Uhr
Overview
Mehr Info: Kriterienkatalog Cloud Computing C5
Aktuelle Phase des internen Audits: Erstaudit
Vollständig umgesetzte C5-Richtlinien: 92 %
Teilweise umgesetzte C5-Richtlinien: 66 %
Kriterienliste
ID | Guideline | Kommentar | Audit Status |
---|---|---|---|
C5-01-OIS-01 | Managementsystem für Informationssicherheit (OIS-02) | ISMS ist in Kraft, aber nicht alle Anforderungen von C5 sind umgesetzt. | teilweise umgesetzt |
C5-01-OIS-02 | Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitungt (OIS-02) | Richtlinien für die Sicherheit sind vorhanden, aber Verbesserungen sind notwendig. | teilweise umgesetzt |
C5-01-OIS-03 | Zuständigkeiten und Verantwortungen im Rahmen der Informationssicherheit (OIS-03) | vollständig umgesetzt | |
C5-01-OIS-04 | Funktionstrennung (OIS-04) | vollständig umgesetzt | |
C5-01-OIS-05 | Kontakt zu relevanten Behörden und Interessenverbänden (OIS-05) | vollständig umgesetzt | |
C5-01-OIS-06 | Richtlinie für die Organisation des Risikomanagements (OIS-06) | vollständig umgesetzt | |
C5-01-OIS-07 | Identifikation, Analyse, Beurteilung und Behandlung von Risiken (OIS-07) | Der Prozess ist beschrieben und wird eingeführt. | teilweise umgesetzt |
C5-03-SP-01 | Dokumentation, Kommunikation und Bereitstellung von Richtlinien und Anweisungen (SP-01) | vollständig umgesetzt | |
C5-03-SP-02 | Überprüfung und Freigabe von von Richtlinien und Anweisungen (SP-02) | vollständig umgesetzt | |
C5-03-SP-03 | Abweichungen von bestehenden Richtlinien und Anweisungen (SP-03) | vollständig umgesetzt | |
C5-04-HR-01 | Sicherheitsüberprüfung der Hintergrundinformationen (HR-01) | Vertrauen wird auf persönlicher Basis aufgebaut, da das Unternehmen klein ist. | nicht aktiv |
C5-04-HR-02 | Beschäftigungsvereinbarungen (HR-02) | Mitarbeiter werden vertraglich auf Datenschutz und Privatsphäre verpflichtet. Sicherheit ist implizit angesprochen. | teilweise umgesetzt |
C5-04-HR-03 | Programm zur Sicherheitsausbildung und Sensibilisierung (HR-03) | vollständig umgesetzt | |
C5-04-HR-04 | Disziplinarmaßnahmen (HR-04) | Sicherheitsfragen werden noch nicht ausdrücklich ausgeführt. Es gelten jedoch die üblichen Disziplinarmaßnahmen. | teilweise umgesetzt |
C5-04-HR-05 | Beendigung des Beschäftigungsverhältnisses oder Änderungen der Verantwortlichkeiten (HR-05) | vollständig umgesetzt | |
C5-05-AM-01 | Asset Inventar (AM-01) | vollständig umgesetzt | |
C5-05-AM-02 | Zuweisung von Asset Verantwortlichen (AM-02) | vollständig umgesetzt | |
C5-05-AM-03 | Nutzungsanweisungen für Assets (AM-03) | In der internen Knowledge Base wird der Umgang mit bestimmten Vermögenswerten dokumentiert. Dieses ist im nächsten Schritt zu systematisieren. | teilweise umgesetzt |
C5-05-AM-04 | Ab- und Rückgabe von Assets (AM-04) | vollständig umgesetzt | |
C5-05-AM-05 | Klassifikation von Informationen (AM-05) | Dienste werden klassifiziert, es gibt jedoch kein Klassifizierungsschema für Daten.
Alle Kundendaten werden vertraulich behandelt. |
teilweise umgesetzt |
C5-05-AM-06 | Kennzeichnung von Informationen und Handhabung von Assets (AM-06) | Informationen werden derzeit nicht gekennzeichnet.
Standardmäßig werden alle Kundendaten vertraulich behandelt. |
nicht aktiv |
C5-05-AM-07 | Verwaltung von Datenträgern (AM-07) | vollständig umgesetzt | |
C5-05-AM-08 | Überführung und Entfernung von Assets (AM-08) | vollständig umgesetzt | |
C5-06-PS-01 | Perimeterschutz (PS-01) | Die Rechenzentrumsstandorte, an denen sich Cloud-Daten des Unternehmens befinden, erfüllen alle den Standard ISO 27001 und verfügen über einen entsprechenden Perimeterschutz. | teilweise umgesetzt |
C5-06-PS-02 | Physische Zutrittskontrolle (PS-02) | vollständig umgesetzt | |
C5-06-PS-03 | Schutz vor Bedrohungen von außen und aus der Umgebung (PS-03) | vollständig umgesetzt | |
C5-06-PS-04 | Schutz vor Unterbrechungen durch Stromausfälle und andere derartige Risiken (PS-04) | vollständig umgesetzt | |
C5-06-PS-05 | Wartung von Infrastruktur und Geräten (PS-05) | vollständig umgesetzt | |
C5-07-OPS-01 | Kapazitätsmanagement – Planung (OPS-01) | vollständig umgesetzt | |
C5-07-OPS-02 | Kapazitätsmanagement – Überwachung (OPS-02) | vollständig umgesetzt | |
C5-07-OPS-03 | Kapazitätsmanagement - Datenlokation (OPS-03) | Hier ist es erforderlich, dem Kunden Ressourcendaten für seine Planung zur Verfügung zu stellen. Dies liegt derzeit außerhalb des Geltungsbereichs. | nicht aktiv |
C5-07-OPS-04 | Kapazitätsmanagement - Steuerung von Ressourcen (OPS-04) | vollständig umgesetzt | |
C5-07-OPS-05 | Schutz vor Schadprogrammen (OPS-05) | vollständig umgesetzt | |
C5-07-OPS-06 | Datensicherung und Wiederherstellung – Konzept (OPS-06) | vollständig umgesetzt | |
C5-07-OPS-07 | Datensicherung und Wiederherstellung – Überwachung (OPS-07) | vollständig umgesetzt | |
C5-07-OPS-08 | Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-08) | vollständig umgesetzt | |
C5-07-OPS-09 | Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-09) | vollständig umgesetzt | |
C5-07-OPS-10 | Protokollierung und Überwachung – Konzept (OPS-10) | vollständig umgesetzt | |
C5-07-OPS-11 | Protokollierung und Überwachung – Konzept (OPS-11) | Wird derzeit in OPS-10 abgedeckt | nicht aktiv |
C5-07-OPS-12 | Protokollierung und Überwachung – Kritische Assets (OPS-12) | Wird derzeit in OPS-10 abgedeckt | nicht aktiv |
C5-07-OPS-13 | Protokollierung und Überwachung – Aufbewahrung der Protokolle (OPS-13) | Wird derzeit in OPS-10 abgedeckt | nicht aktiv |
C5-07-OPS-14 | Protokollierung und Überwachung – Zurechenbarkeit (OPS-14) | Protokolldaten werden zentral auf einem Protokollierungsserver gespeichert. | teilweise umgesetzt |
C5-07-OPS-15 | Protokollierung und Überwachung – Konfiguration (OPS-15) | Anwendungsprotokolle sind verfügbar. Zugriffsprotokolle werden ohne IP-Adresse gespeichert. | teilweise umgesetzt |
C5-07-OPS-16 | Protokollierung und Überwachung – Verfügbarkeit der Überwachungs-Software (OPS-16) | vollständig umgesetzt | |
C5-07-OPS-17 | Umgang mit Schwachstellen, Störungen und Fehlern – Konzept (OPS-17) | vollständig umgesetzt | |
C5-07-OPS-18 | Umgang mit Schwachstellen, Störungen und Fehlern – Penetrationstests (OPS-18) | vollständig umgesetzt | |
C5-07-OPS-19 | Umgang mit Schwachstellen, Störungen und Fehlern - Integration mit Änderungs- und Incident Management (OPS-19) | Im Rahmen von Kundenprojekten erfolgen zeitweise Penetrationstests. Hier wurden keine größeren Probleme festgestellt.
Hallo Welt! führt selbst (noch) keine interne Penetrationstests durch. |
nicht aktiv |
C5-07-OPS-20 | Umgang mit Schwachstellen, Störungen und Fehlern – Einbindung des Cloud-Kunden (OPS-20) | Einen regulären Prozess hierfür gibt es noch nicht. | teilweise umgesetzt |
C5-07-OPS-21 | Umgang mit Schwachstellen, Störungen und Fehlern - Prüfung offener Schwachstellen (OPS-21) | vollständig umgesetzt | |
C5-07-OPS-22 | Umgang mit Schwachstellen, Störungen und Fehlern – System-Härtung (OPS-22) | vollständig umgesetzt | |
C5-07-OPS-23 | Segregation der gespeicherten und verarbeiteten Daten der Cloud-Kunden in gemeinsam genutzten Ressourcen (OPS-23) | Hallo Welt! orientiert sich hier an Industriestandards.
Derzeit gibt es keine Dokumentation pro System. |
teilweise umgesetzt |
C5-07-OPS-24 | Separierung der Datenbestände in der Cloud-Infrastruktur (OPS-24) | vollständig umgesetzt | |
C5-08-IDM-01 | Richtlinie für Zugangs- und Zugriffsberechtigungen (IDM-01) | vollständig umgesetzt | |
C5-08-IDM-02 | Benutzerregistrierung (IDM-02) | vollständig umgesetzt | |
C5-08-IDM-03 | Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen (IDM-03) | Einige Systeme implementieren dies. Der Rest wird automatisch verwaltet. | teilweise umgesetzt |
C5-08-IDM-04 | Berechtigungsentzug (Deprovisionierung) bei Veränderungen des Arbeitsverhältnisses (IDM-04) | vollständig umgesetzt | |
C5-08-IDM-05 | Regelmäßige Überprüfung der Zugriffsberechtigungen (IDM-05) | Dies wird derzeit nur für die kritischsten Systeme durchgeführt. | teilweise umgesetzt |
C5-08-IDM-06 | Administratorenberechtigungen (IDM-06) | Größtenteils implementiert. Privilegien werden jedoch nicht für eine begrenzte Zeit entzogen. | teilweise umgesetzt |
C5-08-IDM-07 | Geheimhaltung von Authentifizierungsinformationen (IDM-07) | vollständig umgesetzt | |
C5-08-IDM-08 | Sichere Anmeldeverfahren (IDM-08) | vollständig umgesetzt | |
C5-08-IDM-09 | Umgang mit Notfallbenutzern (IDM-09) | vollständig umgesetzt | |
C5-09-CRY-01 | Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung (CRY-01) | Es gibt einige Richtlinien, aber noch keine genehmigte Richtlinie. | teilweise umgesetzt |
C5-09-CRY-02 | Verschlüsselung von Daten bei der Übertragung (Transportverschlüsselung) (CRY-02) | vollständig umgesetzt | |
C5-09-CRY-03 | Verschlüsselung von sensiblen Daten bei der Speicherung (CRY-03) | Kundendaten werden im Ruhezustand verschlüsselt. Backups sind verschlüsselt. | teilweise umgesetzt |
C5-09-CRY-04 | Sichere Schlüsselverwaltung (CRY-04) | Es gibt keine zentrale Schlüsselverwaltung. Richtlinien existieren. | teilweise umgesetzt |
C5-10-COS-01 | Technische Schutzmaßnahmen (COS-01) | Hallo Welt! betreibt kein Einbruchmeldesystem. Überwacht werden aber Netzwerkmuster und es erfolgen Benachrichtigungen bei größeren Unregelmäßigkeiten, wie z. B. DDOS-Angriffe. | nicht aktiv |
C5-10-COS-02 | Überwachen von Verbindungen (COS-02) | vollständig umgesetzt | |
C5-10-COS-03 | Netzwerkübergreifende Zugriffe (COS-03) | Alle Zugriffe auf das Cloud-Netzwerk werden protokolliert. | teilweise umgesetzt |
C5-10-COS-04 | Netzwerke zur Administration (COS-04) | vollständig umgesetzt | |
C5-10-COS-05 | Segregation des Datenverkehrs in gemeinsam genutzten Netzwerkumgebungen (COS-05) | vollständig umgesetzt | |
C5-10-COS-06 | Dokumentation der Netztopologie (COS-06) | Interner Datenverkehr getrennt, aber nicht verschlüsselt. | teilweise umgesetzt |
C5-10-COS-07 | Richtlinien zur Datenübertragung (COS-07) | vollständig umgesetzt | |
C5-10-COS-08 | Vertraulichkeitserklärung (COS-08) | vollständig umgesetzt | |
C5-11-PI-01 | Nutzung öffentlicher API's und Industriestandards (PI-01) | vollständig umgesetzt | |
C5-11-PI-02 | Export von Daten (PI-02) | vollständig umgesetzt | |
C5-11-PI-03 | Richtlinie zur Portabilität und Interoperabilität (PI-03) | vollständig umgesetzt | |
C5-12-DEV-01 | Richtlinien zur Entwicklung / Beschaffung von Informationssystemen (DEV-01) | Hallo Welt! wendet die Codierungsrichtlinien an, die im Wikimedia-Ökosystem gelten. | teilweise umgesetzt |
C5-12-DEV-02 | Auslagerung der Entwicklung (DEV-02) | Vertragliche Vereinbarungen sind vorhanden, müssen jedoch aktualisiert werden. Dritte haben jedoch keinen Zugriff auf Produktions-Cloud oder den Produktionscode. | teilweise umgesetzt |
C5-12-DEV-03 | Richtlinien zur Änderung von Informationssystemen (DEV-03) | vollständig umgesetzt | |
C5-12-DEV-04 | Risikobewertung der Änderungen (DEV-04) | Die Schulung erfolgt vor Ort und jährlich in Kombination mit DSGVO-Compliance-Schulungen. | teilweise umgesetzt |
C5-12-DEV-05 | Kategorisierung der Änderungen (DEV-05) | Eventuelle Änderungen werden im Team beurteilt. Eine formelle Risikobewertung wird noch nicht angewendet. | teilweise umgesetzt |
C5-12-DEV-06 | Priorisierung der Änderungen (DEV-06) | vollständig umgesetzt | |
C5-12-DEV-07 | Testen der Änderungen (DEV-07) | vollständig umgesetzt | |
C5-12-DEV-08 | Zurückrollen der Änderungen (DEV-08) | vollständig umgesetzt | |
C5-12-DEV-09 | Überprüfen von ordnungsgemäßer Testdurchführung und Genehmigung (DEV-09) | vollständig umgesetzt | |
C5-12-DEV-10 | Notfalländerungen (DEV-10) | vollständig umgesetzt | |
C5-13-SSO-01 | Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister und Lieferanten des Cloud-Anbieters (SSO-01) | vollständig umgesetzt | |
C5-13-SSO-02 | Risikobeurteilung der Dienstleister und Lieferanten (SSO-02) | vollständig umgesetzt | |
C5-13-SSO-03 | Verzeichnis der Dienstleister und Lieferanten (SSO-03) | vollständig umgesetzt | |
C5-13-SSO-04 | Überwachung der Einhaltung der Anforderungen (SSO-04) | vollständig umgesetzt | |
C5-13-SSO-05 | Ausstiegsstrategie für den Bezug von Leistungen (SSO-05) | Es gibt keine dokumentierte Ausstiegsstrategie. | nicht aktiv |
C5-14-SIM-01 | Verantwortlichkeiten und Vorgehensmodell (SIM-01) | vollständig umgesetzt | |
C5-14-SIM-02 | Klassifizierung von Kunden Systemen (SIM-02) | vollständig umgesetzt | |
C5-14-SIM-03 | Bearbeitung von Sicherheitsvorfällen (SIM-03) | vollständig umgesetzt | |
C5-14-SIM-04 | Dokumentation und Berichterstattung über Sicherheitsvorfälle (SIM-04) | vollständig umgesetzt | |
C5-14-SIM-05 | Security Incident Event Management (SIM-05) | vollständig umgesetzt | |
C5-15-BCM-01 | Verantwortung durch die Unternehmensleitung (BCM-01) | vollständig umgesetzt | |
C5-15-BCM-02 | Richtlinien und Verfahren zur Business Impact Analyse (BCM-02) | Eine Risikoanalyse wurde durchgeführt und ist dokumentiert. Es gibt keine formelle Richtlinie. | nicht aktiv |
C5-15-BCM-03 | Planung der Betriebskontinuität (BCM-03) | vollständig umgesetzt | |
C5-15-BCM-04 | Verifizierung, Aktualisierung und Test der Betriebskontinuität (BCM-04) | Zum Zeitpunkt der Implementierung werden Disaster-Recovery-Tests durchgeführt. Einen regulären Zeitplan gibt es noch nicht. | teilweise umgesetzt |
C5-16-COM-01 | Identifizierung anwendbarer gesetzlicher, regulatorischer, selbstauferlegter oder vertraglicher Anforderungen (COM-01) | vollständig umgesetzt | |
C5-16-COM-02 | Richtlinie für die Planung und Durchführung von Audits (COM-02) | Das ISMS wird jährlich auditiert. Es gibt keine formelle Richtlinie. | nicht aktiv |
C5-16-COM-03 | Interne Audits des Informationssicherheitsmanagementsystems (COM-03) | Es gibt noch keinen formellen Prozess der internen Revision | teilweise umgesetzt |
C5-16-COM-04 | Informationen über die Informationssicherheitsleistung und Managementbewertung des ISMS (COM-04) | vollständig umgesetzt | |
C5-17-INQ-01 | Juristische Beurteilung von Ermittlungsanfragen (INQ-01) | vollständig umgesetzt | |
C5-17-INQ-02 | Information der Cloud-Kunden über Ermittlungsanfragen (INQ-02) | vollständig umgesetzt | |
C5-17-INQ-03 | Voraussetzungen für den Zugriff auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-03) | vollständig umgesetzt | |
C5-17-INQ-04 | Begrenzung des Zugriffs auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-04) | vollständig umgesetzt | |
C5-18-PSS-01 | Leitlinien und Empfehlungen für Cloud-Kunden (PSS-01) | Die Pflege dieser Informationen erfolgt im Rahmen unserer Produktdokumentation. Sie können jedoch nicht an einem zentralen Ort gefunden werden. | teilweise umgesetzt |
C5-18-PSS-02 | Identifikation von Schwachstellen des Cloud-Dienstes (PSS-02) | vollständig umgesetzt | |
C5-18-PSS-03 | Online-Register bekannter Schwachstellen (PSS-03) | vollständig umgesetzt | |
C5-18-PSS-04 | Fehlerbehandlungs- und Protokollierungsmechanismen (PSS-04) | vollständig umgesetzt | |
C5-18-PSS-05 | Authentisierungsmechanismen (PSS-05) | vollständig umgesetzt | |
C5-18-PSS-06 | Session Management (PSS-06) | vollständig umgesetzt | |
C5-18-PSS-07 | Vertraulichkeit von Authentisierungsinformationen (PSS-07) | vollständig umgesetzt | |
C5-18-PSS-08 | Rollen- und Rechtekonzept (PSS-08) | vollständig umgesetzt | |
C5-18-PSS-09 | Autorisierungsmechanismen (PSS-09) | vollständig umgesetzt | |
C5-18-PSS-10 | Software-defined Networking (PSS-10) | Hallo Welt! stellt dem Kunden kein SDN zur Verfügung. | nicht aktiv |
C5-18-PSS-11 | Images für virtuelle Maschinen und Container (PSS-11) | Hallo Welt! stellt dem Kunden keine VMs und Container in der Cloud zur Verfügung. | nicht aktiv |
C5-18-PSS-12 | Lokationen der Datenverarbeitung und -speicherung (PSS-12) | Hallo Welt! bietet den Cloud-Kunden keine Auswahl an Datenstandorten. | nicht aktiv |