Info:Trust and Safety/Cloud - Sicherheit und Zuverlässigkeit/C5 Interner Auditstatus: Unterschied zwischen den Versionen

Aktuelle Version vom 2. Mai 2024, 14:21 Uhr

Overview

Mehr Info: Kriterienkatalog Cloud Computing C5

Aktuelle Phase des internen Audits: Erstaudit

Vollständig umgesetzte C5-Richtlinien: 92 %

Teilweise umgesetzte C5-Richtlinien: 66 %

Kriterienliste

C5 Interner Auditstatus
ID	Guideline	Kommentar	Audit Status
C5-01-OIS-01	Managementsystem für Informationssicherheit (OIS-02)	ISMS ist in Kraft, aber nicht alle Anforderungen von C5 sind umgesetzt.	teilweise umgesetzt
C5-01-OIS-02	Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitungt (OIS-02)	Richtlinien für die Sicherheit sind vorhanden, aber Verbesserungen sind notwendig.	teilweise umgesetzt
C5-01-OIS-03	Zuständigkeiten und Verantwortungen im Rahmen der Informationssicherheit (OIS-03)		vollständig umgesetzt
C5-01-OIS-04	Funktionstrennung (OIS-04)		vollständig umgesetzt
C5-01-OIS-05	Kontakt zu relevanten Behörden und Interessenverbänden (OIS-05)		vollständig umgesetzt
C5-01-OIS-06	Richtlinie für die Organisation des Risikomanagements (OIS-06)		vollständig umgesetzt
C5-01-OIS-07	Identifikation, Analyse, Beurteilung und Behandlung von Risiken (OIS-07)	Der Prozess ist beschrieben und wird eingeführt.	teilweise umgesetzt
C5-03-SP-01	Dokumentation, Kommunikation und Bereitstellung von Richtlinien und Anweisungen (SP-01)		vollständig umgesetzt
C5-03-SP-02	Überprüfung und Freigabe von von Richtlinien und Anweisungen (SP-02)		vollständig umgesetzt
C5-03-SP-03	Abweichungen von bestehenden Richtlinien und Anweisungen (SP-03)		vollständig umgesetzt
C5-04-HR-01	Sicherheitsüberprüfung der Hintergrundinformationen (HR-01)	Vertrauen wird auf persönlicher Basis aufgebaut, da das Unternehmen klein ist.	nicht aktiv
C5-04-HR-02	Beschäftigungsvereinbarungen (HR-02)	Mitarbeiter werden vertraglich auf Datenschutz und Privatsphäre verpflichtet. Sicherheit ist implizit angesprochen.	teilweise umgesetzt
C5-04-HR-03	Programm zur Sicherheitsausbildung und Sensibilisierung (HR-03)		vollständig umgesetzt
C5-04-HR-04	Disziplinarmaßnahmen (HR-04)	Sicherheitsfragen werden noch nicht ausdrücklich ausgeführt. Es gelten jedoch die üblichen Disziplinarmaßnahmen.	teilweise umgesetzt
C5-04-HR-05	Beendigung des Beschäftigungsverhältnisses oder Änderungen der Verantwortlichkeiten (HR-05)		vollständig umgesetzt
C5-05-AM-01	Asset Inventar (AM-01)		vollständig umgesetzt
C5-05-AM-02	Zuweisung von Asset Verantwortlichen (AM-02)		vollständig umgesetzt
C5-05-AM-03	Nutzungsanweisungen für Assets (AM-03)	In der internen Knowledge Base wird der Umgang mit bestimmten Vermögenswerten dokumentiert. Dieses ist im nächsten Schritt zu systematisieren.	teilweise umgesetzt
C5-05-AM-04	Ab- und Rückgabe von Assets (AM-04)		vollständig umgesetzt
C5-05-AM-05	Klassifikation von Informationen (AM-05)	Dienste werden klassifiziert, es gibt jedoch kein Klassifizierungsschema für Daten. Alle Kundendaten werden vertraulich behandelt.	teilweise umgesetzt
C5-05-AM-06	Kennzeichnung von Informationen und Handhabung von Assets (AM-06)	Informationen werden derzeit nicht gekennzeichnet. Standardmäßig werden alle Kundendaten vertraulich behandelt.	nicht aktiv
C5-05-AM-07	Verwaltung von Datenträgern (AM-07)		vollständig umgesetzt
C5-05-AM-08	Überführung und Entfernung von Assets (AM-08)		vollständig umgesetzt
C5-06-PS-01	Perimeterschutz (PS-01)	Die Rechenzentrumsstandorte, an denen sich Cloud-Daten des Unternehmens befinden, erfüllen alle den Standard ISO 27001 und verfügen über einen entsprechenden Perimeterschutz.	teilweise umgesetzt
C5-06-PS-02	Physische Zutrittskontrolle (PS-02)		vollständig umgesetzt
C5-06-PS-03	Schutz vor Bedrohungen von außen und aus der Umgebung (PS-03)		vollständig umgesetzt
C5-06-PS-04	Schutz vor Unterbrechungen durch Stromausfälle und andere derartige Risiken (PS-04)		vollständig umgesetzt
C5-06-PS-05	Wartung von Infrastruktur und Geräten (PS-05)		vollständig umgesetzt
C5-07-OPS-01	Kapazitätsmanagement – Planung (OPS-01)		vollständig umgesetzt
C5-07-OPS-02	Kapazitätsmanagement – Überwachung (OPS-02)		vollständig umgesetzt
C5-07-OPS-03	Kapazitätsmanagement - Datenlokation (OPS-03)	Hier ist es erforderlich, dem Kunden Ressourcendaten für seine Planung zur Verfügung zu stellen. Dies liegt derzeit außerhalb des Geltungsbereichs.	nicht aktiv
C5-07-OPS-04	Kapazitätsmanagement - Steuerung von Ressourcen (OPS-04)		vollständig umgesetzt
C5-07-OPS-05	Schutz vor Schadprogrammen (OPS-05)		vollständig umgesetzt
C5-07-OPS-06	Datensicherung und Wiederherstellung – Konzept (OPS-06)		vollständig umgesetzt
C5-07-OPS-07	Datensicherung und Wiederherstellung – Überwachung (OPS-07)		vollständig umgesetzt
C5-07-OPS-08	Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-08)		vollständig umgesetzt
C5-07-OPS-09	Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-09)		vollständig umgesetzt
C5-07-OPS-10	Protokollierung und Überwachung – Konzept (OPS-10)		vollständig umgesetzt
C5-07-OPS-11	Protokollierung und Überwachung – Konzept (OPS-11)	Wird derzeit in OPS-10 abgedeckt	nicht aktiv
C5-07-OPS-12	Protokollierung und Überwachung – Kritische Assets (OPS-12)	Wird derzeit in OPS-10 abgedeckt	nicht aktiv
C5-07-OPS-13	Protokollierung und Überwachung – Aufbewahrung der Protokolle (OPS-13)	Wird derzeit in OPS-10 abgedeckt	nicht aktiv
C5-07-OPS-14	Protokollierung und Überwachung – Zurechenbarkeit (OPS-14)	Protokolldaten werden zentral auf einem Protokollierungsserver gespeichert.	teilweise umgesetzt
C5-07-OPS-15	Protokollierung und Überwachung – Konfiguration (OPS-15)	Anwendungsprotokolle sind verfügbar. Zugriffsprotokolle werden ohne IP-Adresse gespeichert.	teilweise umgesetzt
C5-07-OPS-16	Protokollierung und Überwachung – Verfügbarkeit der Überwachungs-Software (OPS-16)		vollständig umgesetzt
C5-07-OPS-17	Umgang mit Schwachstellen, Störungen und Fehlern – Konzept (OPS-17)		vollständig umgesetzt
C5-07-OPS-18	Umgang mit Schwachstellen, Störungen und Fehlern – Penetrationstests (OPS-18)		vollständig umgesetzt
C5-07-OPS-19	Umgang mit Schwachstellen, Störungen und Fehlern - Integration mit Änderungs- und Incident Management (OPS-19)	Im Rahmen von Kundenprojekten erfolgen zeitweise Penetrationstests. Hier wurden keine größeren Probleme festgestellt. Hallo Welt! führt selbst (noch) keine interne Penetrationstests durch.	nicht aktiv
C5-07-OPS-20	Umgang mit Schwachstellen, Störungen und Fehlern – Einbindung des Cloud-Kunden (OPS-20)	Einen regulären Prozess hierfür gibt es noch nicht.	teilweise umgesetzt
C5-07-OPS-21	Umgang mit Schwachstellen, Störungen und Fehlern - Prüfung offener Schwachstellen (OPS-21)		vollständig umgesetzt
C5-07-OPS-22	Umgang mit Schwachstellen, Störungen und Fehlern – System-Härtung (OPS-22)		vollständig umgesetzt
C5-07-OPS-23	Segregation der gespeicherten und verarbeiteten Daten der Cloud-Kunden in gemeinsam genutzten Ressourcen (OPS-23)	Hallo Welt! orientiert sich hier an Industriestandards. Derzeit gibt es keine Dokumentation pro System.	teilweise umgesetzt
C5-07-OPS-24	Separierung der Datenbestände in der Cloud-Infrastruktur (OPS-24)		vollständig umgesetzt
C5-08-IDM-01	Richtlinie für Zugangs- und Zugriffsberechtigungen (IDM-01)		vollständig umgesetzt
C5-08-IDM-02	Benutzerregistrierung (IDM-02)		vollständig umgesetzt
C5-08-IDM-03	Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen (IDM-03)	Einige Systeme implementieren dies. Der Rest wird automatisch verwaltet.	teilweise umgesetzt
C5-08-IDM-04	Berechtigungsentzug (Deprovisionierung) bei Veränderungen des Arbeitsverhältnisses (IDM-04)		vollständig umgesetzt
C5-08-IDM-05	Regelmäßige Überprüfung der Zugriffsberechtigungen (IDM-05)	Dies wird derzeit nur für die kritischsten Systeme durchgeführt.	teilweise umgesetzt
C5-08-IDM-06	Administratorenberechtigungen (IDM-06)	Größtenteils implementiert. Privilegien werden jedoch nicht für eine begrenzte Zeit entzogen.	teilweise umgesetzt
C5-08-IDM-07	Geheimhaltung von Authentifizierungsinformationen (IDM-07)		vollständig umgesetzt
C5-08-IDM-08	Sichere Anmeldeverfahren (IDM-08)		vollständig umgesetzt
C5-08-IDM-09	Umgang mit Notfallbenutzern (IDM-09)		vollständig umgesetzt
C5-09-CRY-01	Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung (CRY-01)	Es gibt einige Richtlinien, aber noch keine genehmigte Richtlinie.	teilweise umgesetzt
C5-09-CRY-02	Verschlüsselung von Daten bei der Übertragung (Transportverschlüsselung) (CRY-02)		vollständig umgesetzt
C5-09-CRY-03	Verschlüsselung von sensiblen Daten bei der Speicherung (CRY-03)	Kundendaten werden im Ruhezustand verschlüsselt. Backups sind verschlüsselt.	teilweise umgesetzt
C5-09-CRY-04	Sichere Schlüsselverwaltung (CRY-04)	Es gibt keine zentrale Schlüsselverwaltung. Richtlinien existieren.	teilweise umgesetzt
C5-10-COS-01	Technische Schutzmaßnahmen (COS-01)	Hallo Welt! betreibt kein Einbruchmeldesystem. Überwacht werden aber Netzwerkmuster und es erfolgen Benachrichtigungen bei größeren Unregelmäßigkeiten, wie z. B. DDOS-Angriffe.	nicht aktiv
C5-10-COS-02	Überwachen von Verbindungen (COS-02)		vollständig umgesetzt
C5-10-COS-03	Netzwerkübergreifende Zugriffe (COS-03)	Alle Zugriffe auf das Cloud-Netzwerk werden protokolliert.	teilweise umgesetzt
C5-10-COS-04	Netzwerke zur Administration (COS-04)		vollständig umgesetzt
C5-10-COS-05	Segregation des Datenverkehrs in gemeinsam genutzten Netzwerkumgebungen (COS-05)		vollständig umgesetzt
C5-10-COS-06	Dokumentation der Netztopologie (COS-06)	Interner Datenverkehr getrennt, aber nicht verschlüsselt.	teilweise umgesetzt
C5-10-COS-07	Richtlinien zur Datenübertragung (COS-07)		vollständig umgesetzt
C5-10-COS-08	Vertraulichkeitserklärung (COS-08)		vollständig umgesetzt
C5-11-PI-01	Nutzung öffentlicher API's und Industriestandards (PI-01)		vollständig umgesetzt
C5-11-PI-02	Export von Daten (PI-02)		vollständig umgesetzt
C5-11-PI-03	Richtlinie zur Portabilität und Interoperabilität (PI-03)		vollständig umgesetzt
C5-12-DEV-01	Richtlinien zur Entwicklung / Beschaffung von Informationssystemen (DEV-01)	Hallo Welt! wendet die Codierungsrichtlinien an, die im Wikimedia-Ökosystem gelten.	teilweise umgesetzt
C5-12-DEV-02	Auslagerung der Entwicklung (DEV-02)	Vertragliche Vereinbarungen sind vorhanden, müssen jedoch aktualisiert werden. Dritte haben jedoch keinen Zugriff auf Produktions-Cloud oder den Produktionscode.	teilweise umgesetzt
C5-12-DEV-03	Richtlinien zur Änderung von Informationssystemen (DEV-03)		vollständig umgesetzt
C5-12-DEV-04	Risikobewertung der Änderungen (DEV-04)	Die Schulung erfolgt vor Ort und jährlich in Kombination mit DSGVO-Compliance-Schulungen.	teilweise umgesetzt
C5-12-DEV-05	Kategorisierung der Änderungen (DEV-05)	Eventuelle Änderungen werden im Team beurteilt. Eine formelle Risikobewertung wird noch nicht angewendet.	teilweise umgesetzt
C5-12-DEV-06	Priorisierung der Änderungen (DEV-06)		vollständig umgesetzt
C5-12-DEV-07	Testen der Änderungen (DEV-07)		vollständig umgesetzt
C5-12-DEV-08	Zurückrollen der Änderungen (DEV-08)		vollständig umgesetzt
C5-12-DEV-09	Überprüfen von ordnungsgemäßer Testdurchführung und Genehmigung (DEV-09)		vollständig umgesetzt
C5-12-DEV-10	Notfalländerungen (DEV-10)		vollständig umgesetzt
C5-13-SSO-01	Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister und Lieferanten des Cloud-Anbieters (SSO-01)		vollständig umgesetzt
C5-13-SSO-02	Risikobeurteilung der Dienstleister und Lieferanten (SSO-02)		vollständig umgesetzt
C5-13-SSO-03	Verzeichnis der Dienstleister und Lieferanten (SSO-03)		vollständig umgesetzt
C5-13-SSO-04	Überwachung der Einhaltung der Anforderungen (SSO-04)		vollständig umgesetzt
C5-13-SSO-05	Ausstiegsstrategie für den Bezug von Leistungen (SSO-05)	Es gibt keine dokumentierte Ausstiegsstrategie.	nicht aktiv
C5-14-SIM-01	Verantwortlichkeiten und Vorgehensmodell (SIM-01)		vollständig umgesetzt
C5-14-SIM-02	Klassifizierung von Kunden Systemen (SIM-02)		vollständig umgesetzt
C5-14-SIM-03	Bearbeitung von Sicherheitsvorfällen (SIM-03)		vollständig umgesetzt
C5-14-SIM-04	Dokumentation und Berichterstattung über Sicherheitsvorfälle (SIM-04)		vollständig umgesetzt
C5-14-SIM-05	Security Incident Event Management (SIM-05)		vollständig umgesetzt
C5-15-BCM-01	Verantwortung durch die Unternehmensleitung (BCM-01)		vollständig umgesetzt
C5-15-BCM-02	Richtlinien und Verfahren zur Business Impact Analyse (BCM-02)	Eine Risikoanalyse wurde durchgeführt und ist dokumentiert. Es gibt keine formelle Richtlinie.	nicht aktiv
C5-15-BCM-03	Planung der Betriebskontinuität (BCM-03)		vollständig umgesetzt
C5-15-BCM-04	Verifizierung, Aktualisierung und Test der Betriebskontinuität (BCM-04)	Zum Zeitpunkt der Implementierung werden Disaster-Recovery-Tests durchgeführt. Einen regulären Zeitplan gibt es noch nicht.	teilweise umgesetzt
C5-16-COM-01	Identifizierung anwendbarer gesetzlicher, regulatorischer, selbstauferlegter oder vertraglicher Anforderungen (COM-01)		vollständig umgesetzt
C5-16-COM-02	Richtlinie für die Planung und Durchführung von Audits (COM-02)	Das ISMS wird jährlich auditiert. Es gibt keine formelle Richtlinie.	nicht aktiv
C5-16-COM-03	Interne Audits des Informationssicherheitsmanagementsystems (COM-03)	Es gibt noch keinen formellen Prozess der internen Revision	teilweise umgesetzt
C5-16-COM-04	Informationen über die Informationssicherheitsleistung und Managementbewertung des ISMS (COM-04)		vollständig umgesetzt
C5-17-INQ-01	Juristische Beurteilung von Ermittlungsanfragen (INQ-01)		vollständig umgesetzt
C5-17-INQ-02	Information der Cloud-Kunden über Ermittlungsanfragen (INQ-02)		vollständig umgesetzt
C5-17-INQ-03	Voraussetzungen für den Zugriff auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-03)		vollständig umgesetzt
C5-17-INQ-04	Begrenzung des Zugriffs auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-04)		vollständig umgesetzt
C5-18-PSS-01	Leitlinien und Empfehlungen für Cloud-Kunden (PSS-01)	Die Pflege dieser Informationen erfolgt im Rahmen unserer Produktdokumentation. Sie können jedoch nicht an einem zentralen Ort gefunden werden.	teilweise umgesetzt
C5-18-PSS-02	Identifikation von Schwachstellen des Cloud-Dienstes (PSS-02)		vollständig umgesetzt
C5-18-PSS-03	Online-Register bekannter Schwachstellen (PSS-03)		vollständig umgesetzt
C5-18-PSS-04	Fehlerbehandlungs- und Protokollierungsmechanismen (PSS-04)		vollständig umgesetzt
C5-18-PSS-05	Authentisierungsmechanismen (PSS-05)		vollständig umgesetzt
C5-18-PSS-06	Session Management (PSS-06)		vollständig umgesetzt
C5-18-PSS-07	Vertraulichkeit von Authentisierungsinformationen (PSS-07)		vollständig umgesetzt
C5-18-PSS-08	Rollen- und Rechtekonzept (PSS-08)		vollständig umgesetzt
C5-18-PSS-09	Autorisierungsmechanismen (PSS-09)		vollständig umgesetzt
C5-18-PSS-10	Software-defined Networking (PSS-10)	Hallo Welt! stellt dem Kunden kein SDN zur Verfügung.	nicht aktiv
C5-18-PSS-11	Images für virtuelle Maschinen und Container (PSS-11)	Hallo Welt! stellt dem Kunden keine VMs und Container in der Cloud zur Verfügung.	nicht aktiv
C5-18-PSS-12	Lokationen der Datenverarbeitung und -speicherung (PSS-12)	Hallo Welt! bietet den Cloud-Kunden keine Auswahl an Datenstandorten.	nicht aktiv

@@ Zeile 16: / Zeile 16: @@
 !ID
 !Guideline
-!Comment
+!Kommentar
-!Audit state
+!Audit Status
 |-
 |C5-01-OIS-01
@@ Zeile 26: / Zeile 26: @@
 |C5-01-OIS-02
 |Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitungt (OIS-02)
-|Sicherheitsrichtlinien sind verfügbar, müssen jedoch verbessert werden.
+|Richtlinien für die Sicherheit sind vorhanden, aber Verbesserungen sind notwendig.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 51: / Zeile 51: @@
 |C5-01-OIS-07
 |Identifikation, Analyse, Beurteilung und Behandlung von Risiken (OIS-07)
-|Der Prozess ist beschrieben, aber nicht gut etabliert.
+|Der Prozess ist beschrieben und wird eingeführt.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 71: / Zeile 71: @@
 |C5-04-HR-01
 |Sicherheitsüberprüfung der Hintergrundinformationen (HR-01)
-|Angesichts der geringen Unternehmensgröße entsteht Vertrauen auf persönlicher Basis.
+|Vertrauen wird auf persönlicher Basis aufgebaut, da das Unternehmen klein ist.
 | class="col-grey-light-bg" style="" |nicht aktiv
 |-
 |C5-04-HR-02
 |Beschäftigungsvereinbarungen (HR-02)
-|Wir verpflichten unsere Mitarbeiter vertraglich auf Datenschutz und Privatsphäre. Sicherheit wird hier nur implizit erwähnt.
+|Mitarbeiter werden vertraglich auf Datenschutz und Privatsphäre verpflichtet. Sicherheit ist implizit angesprochen.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 86: / Zeile 86: @@
 |C5-04-HR-04
 |Disziplinarmaßnahmen (HR-04)
-|Sicherheitsprobleme werden nicht ausdrücklich erwähnt. Es gelten jedoch die üblichen Disziplinarmaßnahmen.
+|Sicherheitsfragen werden noch nicht ausdrücklich ausgeführt. Es gelten jedoch die üblichen Disziplinarmaßnahmen.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 106: / Zeile 106: @@
 |C5-05-AM-03
 |Nutzungsanweisungen für Assets (AM-03)
-|In unserem internen Wiki dokumentieren wir den Umgang mit bestimmten Vermögenswerten. Es gibt jedoch keinen systematischen Ansatz.
+|In der internen Knowledge Base wird der Umgang mit bestimmten Vermögenswerten dokumentiert. Dieses ist im nächsten Schritt zu systematisieren.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 116: / Zeile 116: @@
 |C5-05-AM-05
 |Klassifikation von Informationen (AM-05)
-|Wir klassifizieren Dienste, es gibt jedoch kein Klassifizierungsschema für Daten. Alle Kundendaten werden vertraulich behandelt.
+|Dienste werden klassifiziert, es gibt jedoch kein Klassifizierungsschema für Daten.
+Alle Kundendaten werden vertraulich behandelt.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
 |C5-05-AM-06
 |Kennzeichnung von Informationen und Handhabung von Assets (AM-06)
-|Wir kennzeichnen Informationen derzeit nicht. Standardmäßig werden alle Kundendaten vertraulich behandelt.
+|Informationen werden derzeit nicht gekennzeichnet.
+Standardmäßig werden alle Kundendaten vertraulich behandelt.
 | class="col-grey-light-bg" style="" |nicht aktiv
 |-
@@ Zeile 136: / Zeile 138: @@
 |C5-06-PS-01
 |Perimeterschutz (PS-01)
-|Die Rechenzentrumsstandorte, an denen sich unsere Cloud-Daten befinden, entsprechen alle der ISO 27001 und verfügen über einen entsprechenden Perimeterschutz.
+|Die Rechenzentrumsstandorte, an denen sich Cloud-Daten des Unternehmens befinden, erfüllen alle den Standard ISO 27001 und verfügen über einen entsprechenden Perimeterschutz.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 251: / Zeile 253: @@
 |C5-07-OPS-19
 |Umgang mit Schwachstellen, Störungen und Fehlern - Integration mit Änderungs- und Incident Management (OPS-19)
-|Derzeit führen wir keine externen oder internen Penetrationstests durch. Einige unserer Kunden taten dies jedoch. Es wurden keine größeren Probleme festgestellt.
+|Im Rahmen von Kundenprojekten erfolgen zeitweise Penetrationstests. Hier wurden keine größeren Probleme festgestellt.
+Hallo Welt! führt selbst (noch) keine interne Penetrationstests durch.
 | class="col-grey-light-bg" style="" |nicht aktiv
 |-
@@ Zeile 271: / Zeile 274: @@
 |C5-07-OPS-23
 |Segregation der gespeicherten und verarbeiteten Daten der Cloud-Kunden in gemeinsam genutzten Ressourcen (OPS-23)
-|Wir halten uns an Industriestandards. Derzeit gibt es keine Dokumentation pro System.
+|Hallo Welt! orientiert sich hier an Industriestandards.
+Derzeit gibt es keine Dokumentation pro System.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 291: / Zeile 295: @@
 |C5-08-IDM-03
 |Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen (IDM-03)
-|Einige unserer Systeme implementieren dies. Der Rest wird automatisch verwaltet.
+|Einige Systeme implementieren dies. Der Rest wird automatisch verwaltet.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 306: / Zeile 310: @@
 |C5-08-IDM-06
 |Administratorenberechtigungen (IDM-06)
-|Größtenteils implementiert, wir entziehen Privilegien jedoch nicht für eine begrenzte Zeit.
+|Größtenteils implementiert. Privilegien werden jedoch nicht für eine begrenzte Zeit entzogen.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 326: / Zeile 330: @@
 |C5-09-CRY-01
 |Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung (CRY-01)
-|There are some  guidelines, but no approved policy yet.
+|Es gibt einige Richtlinien, aber noch keine genehmigte Richtlinie.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 336: / Zeile 340: @@
 |C5-09-CRY-03
 |Verschlüsselung von sensiblen Daten bei der Speicherung (CRY-03)
-|Customer data is  enKRYpted at rest. Backups are enKRYpted
+|Kundendaten werden im Ruhezustand verschlüsselt. Backups sind verschlüsselt.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
 |C5-09-CRY-04
 |Sichere Schlüsselverwaltung (CRY-04)
-|There is no  centralized key management. Guidelines exist.
+|Es gibt keine zentrale Schlüsselverwaltung. Richtlinien existieren.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
 |C5-10-COS-01
 |Technische Schutzmaßnahmen (COS-01)
-|We do not run any  intrusion detection system. However, we monitor network patterns and will be  informed on major irregularities, like DDOS attacks.
+|Hallo Welt! betreibt kein Einbruchmeldesystem. Überwacht werden aber Netzwerkmuster und es erfolgen Benachrichtigungen bei größeren Unregelmäßigkeiten, wie z. B. DDOS-Angriffe.
 | class="col-grey-light-bg" style="" |nicht aktiv
 |-
@@ Zeile 356: / Zeile 360: @@
 |C5-10-COS-03
 |Netzwerkübergreifende Zugriffe (COS-03)
-|All access to the  cloud network is logged.
+|Alle Zugriffe auf das Cloud-Netzwerk werden protokolliert.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 371: / Zeile 375: @@
 |C5-10-COS-06
 |Dokumentation der Netztopologie (COS-06)
-|Internal traffic  segregated, but not enKRYpted.
+|Interner Datenverkehr getrennt, aber nicht verschlüsselt.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 401: / Zeile 405: @@
 |C5-12-DEV-01
 |Richtlinien zur Entwicklung / Beschaffung von Informationssystemen (DEV-01)
-|We apply the coding  guidelines which are followed in the Wikimedia ecosystem
+|Hallo Welt! wendet die Codierungsrichtlinien an, die im Wikimedia-Ökosystem gelten.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
 |C5-12-DEV-02
 |Auslagerung der Entwicklung (DEV-02)
-|Contractual agreements  are in place but need updating. However, third parties do not have access to  our production cloud or to production code.
+|Vertragliche Vereinbarungen sind vorhanden, müssen jedoch aktualisiert werden. Dritte haben jedoch keinen Zugriff auf Produktions-Cloud oder den Produktionscode.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 416: / Zeile 420: @@
 |C5-12-DEV-04
 |Risikobewertung der Änderungen (DEV-04)
-|Training is done on  the job and on an annual basis in combination with GDPR compliance training
+|Die Schulung erfolgt vor Ort und jährlich in Kombination mit DSGVO-Compliance-Schulungen.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
 |C5-12-DEV-05
 |Kategorisierung der Änderungen (DEV-05)
-|Any changes are  assessed within the team. A formal risk assessment is not applied yet.
+|Eventuelle Änderungen werden im Team beurteilt. Eine formelle Risikobewertung wird noch nicht angewendet.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 471: / Zeile 475: @@
 |C5-13-SSO-05
 |Ausstiegsstrategie für den Bezug von Leistungen (SSO-05)
-|There is no documented  exit strategy.
+|Es gibt keine dokumentierte Ausstiegsstrategie.
 | class="col-grey-light-bg" style="" |nicht aktiv
 |-
@@ Zeile 506: / Zeile 510: @@
 |C5-15-BCM-02
 |Richtlinien und Verfahren zur Business Impact Analyse  (BCM-02)
-|Risk analysis was done  and is documented. There is no formal policy.
+|Eine Risikoanalyse wurde durchgeführt und ist dokumentiert. Es gibt keine formelle Richtlinie.
 | class="col-grey-light-bg" style="" |nicht aktiv
 |-
@@ Zeile 516: / Zeile 520: @@
 |C5-15-BCM-04
 |Verifizierung, Aktualisierung und Test der Betriebskontinuität (BCM-04)
-|Disaster recovery  tests are conducted at implementation time. There is no regular schedule yet.
+|Zum Zeitpunkt der Implementierung werden Disaster-Recovery-Tests durchgeführt. Einen regulären Zeitplan gibt es noch nicht.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 526: / Zeile 530: @@
 |C5-16-COM-02
 |Richtlinie für die Planung und Durchführung von Audits (COM-02)
-|We conduct annual  audits of the ISMS. There is no formal policy.
+|Das ISMS wird jährlich auditiert. Es gibt keine formelle Richtlinie.
 | class="col-grey-light-bg" style="" |nicht aktiv
 |-
 |C5-16-COM-03
 |Interne Audits des Informationssicherheitsmanagementsystems (COM-03)
-|There is no formal  process of the internal audit yet
+|Es gibt noch keinen formellen Prozess der internen Revision
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 561: / Zeile 565: @@
 |C5-18-PSS-01
 |Leitlinien und Empfehlungen für Cloud-Kunden  (PSS-01)
-|We maintain this  information in our product documentation. However it cannot be found in one  central place.
+|Die Pflege dieser Informationen erfolgt im Rahmen unserer Produktdokumentation. Sie können jedoch nicht an einem zentralen Ort gefunden werden.
 | class="col-orange-bg" style="" |teilweise umgesetzt
 |-
@@ Zeile 606: / Zeile 610: @@
 |C5-18-PSS-10
 |Software-defined Networking (PSS-10)
-|We do not provide SDN  to the customer
+|Hallo Welt! stellt dem Kunden kein SDN zur Verfügung.
 | class="col-grey-light-bg" style="" |nicht aktiv
 |-
 |C5-18-PSS-11
 |Images für virtuelle Maschinen und Container (PSS-11)
-|We do not proved VMs  and containers to the customer in the cloud
+|Hallo Welt! stellt dem Kunden keine VMs und Container in der Cloud zur Verfügung.
 | class="col-grey-light-bg" style="" |nicht aktiv
 |-
 |C5-18-PSS-12
 |Lokationen der Datenverarbeitung und -speicherung (PSS-12)
-|We do not provide a  choice of data locations to the cloud customers
+|Hallo Welt! bietet den Cloud-Kunden keine Auswahl an Datenstandorten.
 | class="col-grey-light-bg" style="" |nicht aktiv
 |}

Info:Trust and Safety/Cloud - Sicherheit und Zuverlässigkeit/C5 Interner Auditstatus: Unterschied zwischen den Versionen

Aktuelle Version vom 2. Mai 2024, 14:21 Uhr

Overview

Kriterienliste

Diskussionen