Version vom 30. April 2024, 10:35 Uhr von Margit Link-Rodrigue (Diskussion | Beiträge)
Overview
Mehr Info: Kriterienkatalog Cloud Computing C5
Aktuelle Phase des internen Audits: Erstaudit
Vollständig umgesetzte C5-Richtlinien: 92 %
Teilweise umgesetzte C5-Richtlinien: 66 %
Kriterienliste
| ID | Guideline | Comment | Audit state |
|---|---|---|---|
| C5-01-OIS-01 | Managementsystem für Informationssicherheit (OIS-02) | ISMS is in effect, but not all requirements of C5 are implemented | teilweise umgesetzt |
| C5-01-OIS-02 | Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitungt (OIS-02) | Security policy is available, but needs improvement | teilweise umgesetzt |
| C5-01-OIS-03 | Zuständigkeiten und Verantwortungen im Rahmen der Informationssicherheit (OIS-03) | vollständig umgesetzt | |
| C5-01-OIS-04 | Funktionstrennung (OIS-04) | vollständig umgesetzt | |
| C5-01-OIS-05 | Kontakt zu relevanten Behörden und Interessenverbänden (OIS-05) | vollständig umgesetzt | |
| C5-01-OIS-06 | Richtlinie für die Organisation des Risikomanagements (OIS-06) | vollständig umgesetzt | |
| C5-01-OIS-07 | Identifikation, Analyse, Beurteilung und Behandlung von Risiken (OIS-07) | The process is described, but not well established | teilweise umgesetzt |
| C5-03-SP-01 | Dokumentation, Kommunikation und Bereitstellung von Richtlinien und Anweisungen (SP-01) | vollständig umgesetzt | |
| C5-03-SP-02 | Überprüfung und Freigabe von von Richtlinien und Anweisungen (SP-02) | vollständig umgesetzt | |
| C5-03-SP-03 | Abweichungen von bestehenden Richtlinien und Anweisungen (SP-03) | vollständig umgesetzt | |
| C5-04-HR-01 | Sicherheitsüberprüfung der Hintergrundinformationen (HR-01) | Given the small size of the company, trust is established on a personal basis | nicht aktiv |
| C5-04-HR-02 | Beschäftigungsvereinbarungen (HR-02) | We do bind our employees contractually to data protection and privacy. Security is only mentioned implicitly here. | teilweise umgesetzt |
| C5-04-HR-03 | Programm zur Sicherheitsausbildung und Sensibilisierung (HR-03) | vollständig umgesetzt | |
| C5-04-HR-04 | Disziplinarmaßnahmen (HR-04) | There is no specific mention of security issues. However, standard disciplinary measures apply. | teilweise umgesetzt |
| C5-04-HR-05 | Beendigung des Beschäftigungsverhältnisses oder Änderungen der Verantwortlichkeiten (HR-05) | vollständig umgesetzt | |
| C5-05-AM-01 | Asset Inventar (AM-01) | vollständig umgesetzt | |
| C5-05-AM-02 | Zuweisung von Asset Verantwortlichen (AM-02) | vollständig umgesetzt | |
| C5-05-AM-03 | Nutzungsanweisungen für Assets (AM-03) | In our internal wiki, we document the handling of specific assets. However, there is no systematic approach | teilweise umgesetzt |
| C5-05-AM-04 | Ab- und Rückgabe von Assets (AM-04) | vollständig umgesetzt | |
| C5-05-AM-05 | Klassifikation von Informationen (AM-05) | We classify services, but there is no classification scheme for data. All customer data is treated as sensitive. | teilweise umgesetzt |
| C5-05-AM-06 | Kennzeichnung von Informationen und Handhabung von Assets (AM-06) | We currently do not label information. As a standard, all customer data is treated as sensitive. | nicht aktiv |
| C5-05-AM-07 | Verwaltung von Datenträgern (AM-07) | vollständig umgesetzt | |
| C5-05-AM-08 | Überführung und Entfernung von Assets (AM-08) | vollständig umgesetzt | |
| C5-06-PS-01 | Perimeterschutz (PS-01) | Data center locations, where our cloud data is located, do all comply with ISO 27001 and do have according perimeter protection. | teilweise umgesetzt |
| C5-06-PS-02 | Physische Zutrittskontrolle (PS-02) | vollständig umgesetzt | |
| C5-06-PS-03 | Schutz vor Bedrohungen von außen und aus der Umgebung (PS-03) | vollständig umgesetzt | |
| C5-06-PS-04 | Schutz vor Unterbrechungen durch Stromausfälle und andere derartige Risiken (PS-04) | vollständig umgesetzt | |
| C5-06-PS-05 | Wartung von Infrastruktur und Geräten (PS-05) | vollständig umgesetzt | |
| C5-07-RB-01 | Kapazitätsmanagement – Planung (RB-01) | vollständig umgesetzt | |
| C5-07-RB-02 | Kapazitätsmanagement – Überwachung (RB-02) | vollständig umgesetzt | |
| C5-07-RB-03 | Kapazitätsmanagement - Datenlokation (RB-03) | Here, it is required to make resource data available to the customer for their planning. This is currently out of scope. | nicht aktiv |
| C5-07-RB-04 | Kapazitätsmanagement - Steuerung von Ressourcen (RB-04) | vollständig umgesetzt | |
| C5-07-RB-05 | Schutz vor Schadprogrammen (RB-05) | vollständig umgesetzt | |
| C5-07-RB-06 | Datensicherung und Wiederherstellung – Konzept (RB-06) | vollständig umgesetzt | |
| C5-07-RB-07 | Datensicherung und Wiederherstellung – Überwachung (RB-07) | vollständig umgesetzt | |
| C5-07-RB-08 | Datensicherung und Wiederherstellung - Regelmäßige Tests (RB-08) | vollständig umgesetzt | |
| C5-07-RB-09 | Datensicherung und Wiederherstellung - Regelmäßige Tests (RB-09) | vollständig umgesetzt | |
| C5-07-RB-10 | Protokollierung und Überwachung – Konzept (RB-10) | vollständig umgesetzt | |
| C5-07-RB-11 | Protokollierung und Überwachung – Konzept (RB-11) | Is currently covered in RB-10 | nicht aktiv |
| C5-07-RB-12 | Protokollierung und Überwachung – Kritische Assets (RB-12) | Is currently covered by RB-10 | nicht aktiv |
| C5-07-RB-13 | Protokollierung und Überwachung – Aufbewahrung der Protokolle (RB-13) | Is currently covered by RB-10 | nicht aktiv |
| C5-07-RB-14 | Protokollierung und Überwachung – Zurechenbarkeit (RB-14) | Log data is stored centrally on a logging server. | teilweise umgesetzt |
| C5-07-RB-15 | Protokollierung und Überwachung – Konfiguration (RB-15) | Application logs are available. Access logs are stored without IP address | teilweise umgesetzt |
| C5-07-RB-16 | Protokollierung und Überwachung – Verfügbarkeit der Überwachungs-Software (RB-16) | vollständig umgesetzt | |
| C5-07-RB-17 | Umgang mit Schwachstellen, Störungen und Fehlern – Konzept (RB-17) | vollständig umgesetzt | |
| C5-07-RB-18 | Umgang mit Schwachstellen, Störungen und Fehlern – Penetrationstests (RB-18) | vollständig umgesetzt | |
| C5-07-RB-19 | Umgang mit Schwachstellen, Störungen und Fehlern - Integration mit Änderungs- und Incident Management (RB-19) | We currently do not perform any external or internal penetration tests. However, some of our customers did. No major issues were found. | nicht aktiv |
| C5-07-RB-20 | Umgang mit Schwachstellen, Störungen und Fehlern – Einbindung des Cloud-Kunden (RB-20) | There is no regular process for this yet. | teilweise umgesetzt |
| C5-07-RB-21 | Umgang mit Schwachstellen, Störungen und Fehlern - Prüfung offener Schwachstellen (RB-21) | vollständig umgesetzt | |
| C5-07-RB-22 | Umgang mit Schwachstellen, Störungen und Fehlern – System-Härtung (RB-22) | vollständig umgesetzt | |
| C5-07-RB-23 | Segregation der gespeicherten und verarbeiteten Daten der Cloud-Kunden in gemeinsam genutzten Ressourcen (RB-23) | We adhere to industry standards. There is currently no documentation per system. | teilweise umgesetzt |
| C5-07-RB-24 | ISM:Separation of Datasets in the Cloud Infrastructure (RB-24) | vollständig umgesetzt | |
| C5-08-IDM-01 | Richtlinie für Zugangs- und Zugriffsberechtigungen (IDM-01) | vollständig umgesetzt | |
| C5-08-IDM-02 | Benutzerregistrierung (IDM-02) | vollständig umgesetzt | |
| C5-08-IDM-03 | Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen (IDM-03) | Some of our systems implement this. The rest is managed automatically. | teilweise umgesetzt |
| C5-08-IDM-04 | Berechtigungsentzug (Deprovisionierung) bei Veränderungen des Arbeitsverhältnisses (IDM-04) | vollständig umgesetzt | |
| C5-08-IDM-05 | Regelmäßige Überprüfung der Zugriffsberechtigungen (IDM-05) | This is currently only done for the most critical systems | teilweise umgesetzt |
| C5-08-IDM-06 | Administratorenberechtigungen (IDM-06) | Mostly implemented, but we do not revoke privileges on a limited time basis | teilweise umgesetzt |
| C5-08-IDM-07 | Geheimhaltung von Authentifizierungsinformationen (IDM-07) | vollständig umgesetzt | |
| C5-08-IDM-08 | Sichere Anmeldeverfahren (IDM-08) | vollständig umgesetzt | |
| C5-08-IDM-09 | Umgang mit Notfallbenutzern (IDM-09) | vollständig umgesetzt | |
| C5-09-KRY-01 | Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung (KRY-01) | There are some guidelines, but no approved policy yet. | teilweise umgesetzt |
| C5-09-KRY-02 | Verschlüsselung von Daten bei der Übertragung (Transportverschlüsselung) (KRY-02) | vollständig umgesetzt | |
| C5-09-KRY-03 | Verschlüsselung von sensiblen Daten bei der Speicherung (KRY-03) | Customer data is enKRYpted at rest. Backups are enKRYpted | teilweise umgesetzt |
| C5-09-KRY-04 | Sichere Schlüsselverwaltung (KRY-04) | There is no centralized key management. Guidelines exist. | teilweise umgesetzt |
| C5-10-KOS-01 | Technische Schutzmaßnahmen (KOS-01) | We do not run any intrusion detection system. However, we monitor network patterns and will be informed on major irregularities, like DDOS attacks. | nicht aktiv |
| C5-10-KOS-02 | Überwachen von Verbindungen (KOS-02) | vollständig umgesetzt | |
| C5-10-KOS-03 | Netzwerkübergreifende Zugriffe (KOS-03) | All access to the cloud network is logged. | teilweise umgesetzt |
| C5-10-KOS-04 | Netzwerke zur Administration (KOS-04) | vollständig umgesetzt | |
| C5-10-KOS-05 | Segregation des Datenverkehrs in gemeinsam genutzten Netzwerkumgebungen (KOS-05) | vollständig umgesetzt | |
| C5-10-KOS-06 | Dokumentation der Netztopologie (KOS-06) | Internal traffic segregated, but not enKRYpted. | teilweise umgesetzt |
| C5-10-KOS-07 | Richtlinien zur Datenübertragung (KOS-07) | vollständig umgesetzt | |
| C5-10-KOS-08 | Vertraulichkeitserklärung (KOS-08) | vollständig umgesetzt | |
| C5-11-PI-01 | Nutzung öffentlicher API's und Industriestandards (PI-01) | vollständig umgesetzt | |
| C5-11-PI-02 | Export von Daten (PI-02) | vollständig umgesetzt | |
| C5-11-PI-03 | Richtlinie zur Portabilität und Interoperabilität (PI-03) | vollständig umgesetzt | |
| C5-12-BEI-01 | Richtlinien zur Entwicklung / Beschaffung von Informationssystemen (BEI-01) | We apply the coding guidelines which are followed in the Wikimedia ecosystem | teilweise umgesetzt |
| C5-12-BEI-02 | Auslagerung der Entwicklung (BEI-02) | Contractual agreements are in place but need updating. However, third parties do not have access to our production cloud or to production code. | teilweise umgesetzt |
| C5-12-BEI-03 | Richtlinien zur Änderung von Informationssystemen (BEI-03) | vollständig umgesetzt | |
| C5-12-BEI-04 | Risikobewertung der Änderungen (BEI-04) | Training is done on the job and on an annual basis in combination with GDPR compliance training | teilweise umgesetzt |
| C5-12-BEI-05 | Kategorisierung der Änderungen (BEI-05) | Any changes are assessed within the team. A formal risk assessment is not applied yet. | teilweise umgesetzt |
| C5-12-BEI-06 | Priorisierung der Änderungen (BEI-06) | vollständig umgesetzt | |
| C5-12-BEI-07 | Testen der Änderungen (BEI-07) | vollständig umgesetzt | |
| C5-12-BEI-08 | Zurückrollen der Änderungen (BEI-08) | vollständig umgesetzt | |
| C5-12-BEI-09 | Überprüfen von ordnungsgemäßer Testdurchführung und Genehmigung (BEI-09) | vollständig umgesetzt | |
| C5-12-BEI-10 | Notfalländerungen (BEI-10) | vollständig umgesetzt | |
| C5-13-DLL-01 | Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister und Lieferanten des Cloud-Anbieters (DLL-01) | vollständig umgesetzt | |
| C5-13-DLL-02 | Überwachung der Leistungserbringung und Sicherheitsanforderungen an Dienstleister und Lieferanten des Cloud-Anbieters (DLL-02) | vollständig umgesetzt | |
| C5-13-DLL-03 | ISM:Directory of service providers and suppliers (DLL-03) | vollständig umgesetzt | |
| C5-13-DLL-04 | ISM:Monitoring of compliance with requirements (DLL-04) | vollständig umgesetzt | |
| C5-13-DLL-05 | ISM:Exit strategy for the receipt of benefit (DLL-05) | There is no documented exit strategy. | nicht aktiv |
| C5-14-SIM-01 | Verantwortlichkeiten und Vorgehensmodell (SIM-01) | vollständig umgesetzt | |
| C5-14-SIM-02 | Klassifizierung von Kunden Systemen (SIM-02) | vollständig umgesetzt | |
| C5-14-SIM-03 | Bearbeitung von Sicherheitsvorfällen (SIM-03) | vollständig umgesetzt | |
| C5-14-SIM-04 | Dokumentation und Berichterstattung über Sicherheitsvorfälle (SIM-04) | vollständig umgesetzt | |
| C5-14-SIM-05 | Security Incident Event Management (SIM-05) | vollständig umgesetzt | |
| C5-15-BCM-01 | Verantwortung durch die Unternehmensleitung (BCM-01) | vollständig umgesetzt | |
| C5-15-BCM-02 | Richtlinien und Verfahren zur Business Impact Analyse (BCM-02) | Risk analysis was done and is documented. There is no formal policy. | nicht aktiv |
| C5-15-BCM-03 | Planung der Betriebskontinuität (BCM-03) | vollständig umgesetzt | |
| C5-15-BCM-04 | Verifizierung, Aktualisierung und Test der Betriebskontinuität (BCM-04) | Disaster recovery tests are conducted at implementation time. There is no regular schedule yet. | teilweise umgesetzt |
| C5-16-COM-01 | Identifizierung anwendbarer gesetzlicher, regulatorischer, selbstauferlegter oder vertraglicher Anforderungen (COM-01) | vollständig umgesetzt | |
| C5-16-COM-02 | Richtlinie für die Planung und Durchführung von Audits (COM-02) | We conduct annual audits of the ISMS. There is no formal policy. | nicht aktiv |
| C5-16-COM-03 | Interne Audits des Informationssicherheitsmanagementsystems (COM-03) | There is no formal process of the internal audit yet | teilweise umgesetzt |
| C5-16-COM-04 | Informationen über die Informationssicherheitsleistung und Managementbewertung des ISMS (COM-04) | vollständig umgesetzt | |
| C5-17-INQ-01 | Juristische Beurteilung von Ermittlungsanfragen (INQ-01) | vollständig umgesetzt | |
| C5-17-INQ-02 | Information der Cloud-Kunden über Ermittlungsanfragen (INQ-02) | vollständig umgesetzt | |
| C5-17-INQ-03 | Voraussetzungen für den Zugriff auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-03) | vollständig umgesetzt | |
| C5-17-INQ-04 | Begrenzung des Zugriffs auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-04) | vollständig umgesetzt | |
| C5-18-PSS-01 | Leitlinien und Empfehlungen für Cloud-Kunden (PSS-01) | We maintain this information in our product documentation. However it cannot be found in one central place. | teilweise umgesetzt |
| C5-18-PSS-02 | Identifikation von Schwachstellen des Cloud-Dienstes (PSS-02) | vollständig umgesetzt | |
| C5-18-PSS-03 | Online-Register bekannter Schwachstellen (PSS-03) | vollständig umgesetzt | |
| C5-18-PSS-04 | Fehlerbehandlungs- und Protokollierungsmechanismen (PSS-04) | vollständig umgesetzt | |
| C5-18-PSS-05 | Authentisierungsmechanismen (PSS-05) | vollständig umgesetzt | |
| C5-18-PSS-06 | Session Management (PSS-06) | vollständig umgesetzt | |
| C5-18-PSS-07 | Vertraulichkeit von Authentisierungsinformationen (PSS-07) | vollständig umgesetzt | |
| C5-18-PSS-08 | Rollen- und Rechtekonzept (PSS-08) | vollständig umgesetzt | |
| C5-18-PSS-09 | Autorisierungsmechanismen (PSS-09) | vollständig umgesetzt | |
| C5-18-PSS-10 | Software-defined Networking (PSS-10) | We do not provide SDN to the customer | nicht aktiv |
| C5-18-PSS-11 | Images für virtuelle Maschinen und Container (PSS-11) | We do not proved VMs and containers to the customer in the cloud | nicht aktiv |
| C5-18-PSS-12 | Lokationen der Datenverarbeitung und -speicherung (PSS-12) | We do not provide a choice of data locations to the cloud customers | nicht aktiv |
Diskussionen