Info:Trust and Safety/Cloud - Sicherheit und Zuverlässigkeit/C5 Interner Auditstatus: Unterschied zwischen den Versionen

Version vom 30. April 2024, 10:35 Uhr

Overview

Mehr Info: Kriterienkatalog Cloud Computing C5

Aktuelle Phase des internen Audits: Erstaudit

Vollständig umgesetzte C5-Richtlinien: 92 %

Teilweise umgesetzte C5-Richtlinien: 66 %

Kriterienliste

C5 Interner Auditstatus
ID	Guideline	Comment	Audit state
C5-01-OIS-01	Managementsystem für Informationssicherheit (OIS-02)	ISMS is in effect, but not all requirements of C5 are implemented	teilweise umgesetzt
C5-01-OIS-02	Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitungt (OIS-02)	Security policy is available, but needs improvement	teilweise umgesetzt
C5-01-OIS-03	Zuständigkeiten und Verantwortungen im Rahmen der Informationssicherheit (OIS-03)		vollständig umgesetzt
C5-01-OIS-04	Funktionstrennung (OIS-04)		vollständig umgesetzt
C5-01-OIS-05	Kontakt zu relevanten Behörden und Interessenverbänden (OIS-05)		vollständig umgesetzt
C5-01-OIS-06	Richtlinie für die Organisation des Risikomanagements (OIS-06)		vollständig umgesetzt
C5-01-OIS-07	Identifikation, Analyse, Beurteilung und Behandlung von Risiken (OIS-07)	The process is described, but not well established	teilweise umgesetzt
C5-03-SP-01	Dokumentation, Kommunikation und Bereitstellung von Richtlinien und Anweisungen (SP-01)		vollständig umgesetzt
C5-03-SP-02	Überprüfung und Freigabe von von Richtlinien und Anweisungen (SP-02)		vollständig umgesetzt
C5-03-SP-03	Abweichungen von bestehenden Richtlinien und Anweisungen (SP-03)		vollständig umgesetzt
C5-04-HR-01	Sicherheitsüberprüfung der Hintergrundinformationen (HR-01)	Given the small size of the company, trust is established on a personal basis	nicht aktiv
C5-04-HR-02	Beschäftigungsvereinbarungen (HR-02)	We do bind our employees contractually to data protection and privacy. Security is only mentioned implicitly here.	teilweise umgesetzt
C5-04-HR-03	Programm zur Sicherheitsausbildung und Sensibilisierung (HR-03)		vollständig umgesetzt
C5-04-HR-04	Disziplinarmaßnahmen (HR-04)	There is no specific mention of security issues. However, standard disciplinary measures apply.	teilweise umgesetzt
C5-04-HR-05	Beendigung des Beschäftigungsverhältnisses oder Änderungen der Verantwortlichkeiten (HR-05)		vollständig umgesetzt
C5-05-AM-01	Asset Inventar (AM-01)		vollständig umgesetzt
C5-05-AM-02	Zuweisung von Asset Verantwortlichen (AM-02)		vollständig umgesetzt
C5-05-AM-03	Nutzungsanweisungen für Assets (AM-03)	In our internal wiki, we document the handling of specific assets. However, there is no systematic approach	teilweise umgesetzt
C5-05-AM-04	Ab- und Rückgabe von Assets (AM-04)		vollständig umgesetzt
C5-05-AM-05	Klassifikation von Informationen (AM-05)	We classify services, but there is no classification scheme for data. All customer data is treated as sensitive.	teilweise umgesetzt
C5-05-AM-06	Kennzeichnung von Informationen und Handhabung von Assets (AM-06)	We currently do not label information. As a standard, all customer data is treated as sensitive.	nicht aktiv
C5-05-AM-07	Verwaltung von Datenträgern (AM-07)		vollständig umgesetzt
C5-05-AM-08	Überführung und Entfernung von Assets (AM-08)		vollständig umgesetzt
C5-06-PS-01	Perimeterschutz (PS-01)	Data center locations, where our cloud data is located, do all comply with ISO 27001 and do have according perimeter protection.	teilweise umgesetzt
C5-06-PS-02	Physische Zutrittskontrolle (PS-02)		vollständig umgesetzt
C5-06-PS-03	Schutz vor Bedrohungen von außen und aus der Umgebung (PS-03)		vollständig umgesetzt
C5-06-PS-04	Schutz vor Unterbrechungen durch Stromausfälle und andere derartige Risiken (PS-04)		vollständig umgesetzt
C5-06-PS-05	Wartung von Infrastruktur und Geräten (PS-05)		vollständig umgesetzt
C5-07-RB-01	Kapazitätsmanagement – Planung (RB-01)		vollständig umgesetzt
C5-07-RB-02	Kapazitätsmanagement – Überwachung (RB-02)		vollständig umgesetzt
C5-07-RB-03	Kapazitätsmanagement - Datenlokation (RB-03)	Here, it is required to make resource data available to the customer for their planning. This is currently out of scope.	nicht aktiv
C5-07-RB-04	Kapazitätsmanagement - Steuerung von Ressourcen (RB-04)		vollständig umgesetzt
C5-07-RB-05	Schutz vor Schadprogrammen (RB-05)		vollständig umgesetzt
C5-07-RB-06	Datensicherung und Wiederherstellung – Konzept (RB-06)		vollständig umgesetzt
C5-07-RB-07	Datensicherung und Wiederherstellung – Überwachung (RB-07)		vollständig umgesetzt
C5-07-RB-08	Datensicherung und Wiederherstellung - Regelmäßige Tests (RB-08)		vollständig umgesetzt
C5-07-RB-09	Datensicherung und Wiederherstellung - Regelmäßige Tests (RB-09)		vollständig umgesetzt
C5-07-RB-10	Protokollierung und Überwachung – Konzept (RB-10)		vollständig umgesetzt
C5-07-RB-11	Protokollierung und Überwachung – Konzept (RB-11)	Is currently covered in RB-10	nicht aktiv
C5-07-RB-12	Protokollierung und Überwachung – Kritische Assets (RB-12)	Is currently covered by RB-10	nicht aktiv
C5-07-RB-13	Protokollierung und Überwachung – Aufbewahrung der Protokolle (RB-13)	Is currently covered by RB-10	nicht aktiv
C5-07-RB-14	Protokollierung und Überwachung – Zurechenbarkeit (RB-14)	Log data is stored centrally on a logging server.	teilweise umgesetzt
C5-07-RB-15	Protokollierung und Überwachung – Konfiguration (RB-15)	Application logs are available. Access logs are stored without IP address	teilweise umgesetzt
C5-07-RB-16	Protokollierung und Überwachung – Verfügbarkeit der Überwachungs-Software (RB-16)		vollständig umgesetzt
C5-07-RB-17	Umgang mit Schwachstellen, Störungen und Fehlern – Konzept (RB-17)		vollständig umgesetzt
C5-07-RB-18	Umgang mit Schwachstellen, Störungen und Fehlern – Penetrationstests (RB-18)		vollständig umgesetzt
C5-07-RB-19	Umgang mit Schwachstellen, Störungen und Fehlern - Integration mit Änderungs- und Incident Management (RB-19)	We currently do not perform any external or internal penetration tests. However, some of our customers did. No major issues were found.	nicht aktiv
C5-07-RB-20	Umgang mit Schwachstellen, Störungen und Fehlern – Einbindung des Cloud-Kunden (RB-20)	There is no regular process for this yet.	teilweise umgesetzt
C5-07-RB-21	Umgang mit Schwachstellen, Störungen und Fehlern - Prüfung offener Schwachstellen (RB-21)		vollständig umgesetzt
C5-07-RB-22	Umgang mit Schwachstellen, Störungen und Fehlern – System-Härtung (RB-22)		vollständig umgesetzt
C5-07-RB-23	Segregation der gespeicherten und verarbeiteten Daten der Cloud-Kunden in gemeinsam genutzten Ressourcen (RB-23)	We adhere to industry standards. There is currently no documentation per system.	teilweise umgesetzt
C5-07-RB-24	ISM:Separation of Datasets in the Cloud Infrastructure (RB-24)		vollständig umgesetzt
C5-08-IDM-01	Richtlinie für Zugangs- und Zugriffsberechtigungen (IDM-01)		vollständig umgesetzt
C5-08-IDM-02	Benutzerregistrierung (IDM-02)		vollständig umgesetzt
C5-08-IDM-03	Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen (IDM-03)	Some of our systems implement this. The rest is managed automatically.	teilweise umgesetzt
C5-08-IDM-04	Berechtigungsentzug (Deprovisionierung) bei Veränderungen des Arbeitsverhältnisses (IDM-04)		vollständig umgesetzt
C5-08-IDM-05	Regelmäßige Überprüfung der Zugriffsberechtigungen (IDM-05)	This is currently only done for the most critical systems	teilweise umgesetzt
C5-08-IDM-06	Administratorenberechtigungen (IDM-06)	Mostly implemented, but we do not revoke privileges on a limited time basis	teilweise umgesetzt
C5-08-IDM-07	Geheimhaltung von Authentifizierungsinformationen (IDM-07)		vollständig umgesetzt
C5-08-IDM-08	Sichere Anmeldeverfahren (IDM-08)		vollständig umgesetzt
C5-08-IDM-09	Umgang mit Notfallbenutzern (IDM-09)		vollständig umgesetzt
C5-09-KRY-01	Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung (KRY-01)	There are some guidelines, but no approved policy yet.	teilweise umgesetzt
C5-09-KRY-02	Verschlüsselung von Daten bei der Übertragung (Transportverschlüsselung) (KRY-02)		vollständig umgesetzt
C5-09-KRY-03	Verschlüsselung von sensiblen Daten bei der Speicherung (KRY-03)	Customer data is enKRYpted at rest. Backups are enKRYpted	teilweise umgesetzt
C5-09-KRY-04	Sichere Schlüsselverwaltung (KRY-04)	There is no centralized key management. Guidelines exist.	teilweise umgesetzt
C5-10-KOS-01	Technische Schutzmaßnahmen (KOS-01)	We do not run any intrusion detection system. However, we monitor network patterns and will be informed on major irregularities, like DDOS attacks.	nicht aktiv
C5-10-KOS-02	Überwachen von Verbindungen (KOS-02)		vollständig umgesetzt
C5-10-KOS-03	Netzwerkübergreifende Zugriffe (KOS-03)	All access to the cloud network is logged.	teilweise umgesetzt
C5-10-KOS-04	Netzwerke zur Administration (KOS-04)		vollständig umgesetzt
C5-10-KOS-05	Segregation des Datenverkehrs in gemeinsam genutzten Netzwerkumgebungen (KOS-05)		vollständig umgesetzt
C5-10-KOS-06	Dokumentation der Netztopologie (KOS-06)	Internal traffic segregated, but not enKRYpted.	teilweise umgesetzt
C5-10-KOS-07	Richtlinien zur Datenübertragung (KOS-07)		vollständig umgesetzt
C5-10-KOS-08	Vertraulichkeitserklärung (KOS-08)		vollständig umgesetzt
C5-11-PI-01	Nutzung öffentlicher API's und Industriestandards (PI-01)		vollständig umgesetzt
C5-11-PI-02	Export von Daten (PI-02)		vollständig umgesetzt
C5-11-PI-03	Richtlinie zur Portabilität und Interoperabilität (PI-03)		vollständig umgesetzt
C5-12-BEI-01	Richtlinien zur Entwicklung / Beschaffung von Informationssystemen (BEI-01)	We apply the coding guidelines which are followed in the Wikimedia ecosystem	teilweise umgesetzt
C5-12-BEI-02	Auslagerung der Entwicklung (BEI-02)	Contractual agreements are in place but need updating. However, third parties do not have access to our production cloud or to production code.	teilweise umgesetzt
C5-12-BEI-03	Richtlinien zur Änderung von Informationssystemen (BEI-03)		vollständig umgesetzt
C5-12-BEI-04	Risikobewertung der Änderungen (BEI-04)	Training is done on the job and on an annual basis in combination with GDPR compliance training	teilweise umgesetzt
C5-12-BEI-05	Kategorisierung der Änderungen (BEI-05)	Any changes are assessed within the team. A formal risk assessment is not applied yet.	teilweise umgesetzt
C5-12-BEI-06	Priorisierung der Änderungen (BEI-06)		vollständig umgesetzt
C5-12-BEI-07	Testen der Änderungen (BEI-07)		vollständig umgesetzt
C5-12-BEI-08	Zurückrollen der Änderungen (BEI-08)		vollständig umgesetzt
C5-12-BEI-09	Überprüfen von ordnungsgemäßer Testdurchführung und Genehmigung (BEI-09)		vollständig umgesetzt
C5-12-BEI-10	Notfalländerungen (BEI-10)		vollständig umgesetzt
C5-13-DLL-01	Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister und Lieferanten des Cloud-Anbieters (DLL-01)		vollständig umgesetzt
C5-13-DLL-02	Überwachung der Leistungserbringung und Sicherheitsanforderungen an Dienstleister und Lieferanten des Cloud-Anbieters (DLL-02)		vollständig umgesetzt
C5-13-DLL-03	ISM:Directory of service providers and suppliers (DLL-03)		vollständig umgesetzt
C5-13-DLL-04	ISM:Monitoring of compliance with requirements (DLL-04)		vollständig umgesetzt
C5-13-DLL-05	ISM:Exit strategy for the receipt of benefit (DLL-05)	There is no documented exit strategy.	nicht aktiv
C5-14-SIM-01	Verantwortlichkeiten und Vorgehensmodell (SIM-01)		vollständig umgesetzt
C5-14-SIM-02	Klassifizierung von Kunden Systemen (SIM-02)		vollständig umgesetzt
C5-14-SIM-03	Bearbeitung von Sicherheitsvorfällen (SIM-03)		vollständig umgesetzt
C5-14-SIM-04	Dokumentation und Berichterstattung über Sicherheitsvorfälle (SIM-04)		vollständig umgesetzt
C5-14-SIM-05	Security Incident Event Management (SIM-05)		vollständig umgesetzt
C5-15-BCM-01	Verantwortung durch die Unternehmensleitung (BCM-01)		vollständig umgesetzt
C5-15-BCM-02	Richtlinien und Verfahren zur Business Impact Analyse (BCM-02)	Risk analysis was done and is documented. There is no formal policy.	nicht aktiv
C5-15-BCM-03	Planung der Betriebskontinuität (BCM-03)		vollständig umgesetzt
C5-15-BCM-04	Verifizierung, Aktualisierung und Test der Betriebskontinuität (BCM-04)	Disaster recovery tests are conducted at implementation time. There is no regular schedule yet.	teilweise umgesetzt
C5-16-COM-01	Identifizierung anwendbarer gesetzlicher, regulatorischer, selbstauferlegter oder vertraglicher Anforderungen (COM-01)		vollständig umgesetzt
C5-16-COM-02	Richtlinie für die Planung und Durchführung von Audits (COM-02)	We conduct annual audits of the ISMS. There is no formal policy.	nicht aktiv
C5-16-COM-03	Interne Audits des Informationssicherheitsmanagementsystems (COM-03)	There is no formal process of the internal audit yet	teilweise umgesetzt
C5-16-COM-04	Informationen über die Informationssicherheitsleistung und Managementbewertung des ISMS (COM-04)		vollständig umgesetzt
C5-17-INQ-01	Juristische Beurteilung von Ermittlungsanfragen (INQ-01)		vollständig umgesetzt
C5-17-INQ-02	Information der Cloud-Kunden über Ermittlungsanfragen (INQ-02)		vollständig umgesetzt
C5-17-INQ-03	Voraussetzungen für den Zugriff auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-03)		vollständig umgesetzt
C5-17-INQ-04	Begrenzung des Zugriffs auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-04)		vollständig umgesetzt
C5-18-PSS-01	Leitlinien und Empfehlungen für Cloud-Kunden (PSS-01)	We maintain this information in our product documentation. However it cannot be found in one central place.	teilweise umgesetzt
C5-18-PSS-02	Identifikation von Schwachstellen des Cloud-Dienstes (PSS-02)		vollständig umgesetzt
C5-18-PSS-03	Online-Register bekannter Schwachstellen (PSS-03)		vollständig umgesetzt
C5-18-PSS-04	Fehlerbehandlungs- und Protokollierungsmechanismen (PSS-04)		vollständig umgesetzt
C5-18-PSS-05	Authentisierungsmechanismen (PSS-05)		vollständig umgesetzt
C5-18-PSS-06	Session Management (PSS-06)		vollständig umgesetzt
C5-18-PSS-07	Vertraulichkeit von Authentisierungsinformationen (PSS-07)		vollständig umgesetzt
C5-18-PSS-08	Rollen- und Rechtekonzept (PSS-08)		vollständig umgesetzt
C5-18-PSS-09	Autorisierungsmechanismen (PSS-09)		vollständig umgesetzt
C5-18-PSS-10	Software-defined Networking (PSS-10)	We do not provide SDN to the customer	nicht aktiv
C5-18-PSS-11	Images für virtuelle Maschinen und Container (PSS-11)	We do not proved VMs and containers to the customer in the cloud	nicht aktiv
C5-18-PSS-12	Lokationen der Datenverarbeitung und -speicherung (PSS-12)	We do not provide a choice of data locations to the cloud customers	nicht aktiv

Info:Trust and Safety/Cloud - Sicherheit und Zuverlässigkeit/C5 Interner Auditstatus: Unterschied zwischen den Versionen

Version vom 30. April 2024, 10:35 Uhr

Overview

Kriterienliste

Diskussionen