C5 Interner Auditstatus

Overview

Mehr Info: Kriterienkatalog Cloud Computing C5


Aktuelle Phase des internen Audits: Erstaudit

Vollständig umgesetzte C5-Richtlinien: 92 %

Teilweise umgesetzte C5-Richtlinien: 66 %

Kriterienliste

C5 Interner Auditstatus
ID Guideline Kommentar Audit Status
C5-01-OIS-01 Managementsystem für Informationssicherheit (OIS-02) ISMS ist in Kraft, aber nicht alle Anforderungen von C5 sind umgesetzt. teilweise umgesetzt
C5-01-OIS-02 Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitungt (OIS-02) Richtlinien für die Sicherheit sind vorhanden, aber Verbesserungen sind notwendig. teilweise umgesetzt
C5-01-OIS-03 Zuständigkeiten und Verantwortungen im Rahmen der Informationssicherheit (OIS-03) vollständig umgesetzt
C5-01-OIS-04 Funktionstrennung (OIS-04) vollständig umgesetzt
C5-01-OIS-05 Kontakt zu relevanten Behörden und Interessenverbänden (OIS-05) vollständig umgesetzt
C5-01-OIS-06 Richtlinie für die Organisation des Risikomanagements (OIS-06) vollständig umgesetzt
C5-01-OIS-07 Identifikation, Analyse, Beurteilung und Behandlung von Risiken (OIS-07) Der Prozess ist beschrieben und wird eingeführt. teilweise umgesetzt
C5-03-SP-01 Dokumentation, Kommunikation und Bereitstellung von Richtlinien und Anweisungen (SP-01) vollständig umgesetzt
C5-03-SP-02 Überprüfung und Freigabe von von Richtlinien und Anweisungen (SP-02) vollständig umgesetzt
C5-03-SP-03 Abweichungen von bestehenden Richtlinien und Anweisungen (SP-03) vollständig umgesetzt
C5-04-HR-01 Sicherheitsüberprüfung der Hintergrundinformationen (HR-01) Vertrauen wird auf persönlicher Basis aufgebaut, da das Unternehmen klein ist. nicht aktiv
C5-04-HR-02 Beschäftigungsvereinbarungen (HR-02) Mitarbeiter werden vertraglich auf Datenschutz und Privatsphäre verpflichtet. Sicherheit ist implizit angesprochen. teilweise umgesetzt
C5-04-HR-03 Programm zur Sicherheitsausbildung und Sensibilisierung (HR-03) vollständig umgesetzt
C5-04-HR-04 Disziplinarmaßnahmen (HR-04) Sicherheitsfragen werden noch nicht ausdrücklich ausgeführt. Es gelten jedoch die üblichen Disziplinarmaßnahmen. teilweise umgesetzt
C5-04-HR-05 Beendigung des Beschäftigungsverhältnisses oder Änderungen der Verantwortlichkeiten (HR-05) vollständig umgesetzt
C5-05-AM-01 Asset Inventar (AM-01) vollständig umgesetzt
C5-05-AM-02 Zuweisung von Asset Verantwortlichen (AM-02) vollständig umgesetzt
C5-05-AM-03 Nutzungsanweisungen für Assets (AM-03) In der internen Knowledge Base wird der Umgang mit bestimmten Vermögenswerten dokumentiert. Dieses ist im nächsten Schritt zu systematisieren. teilweise umgesetzt
C5-05-AM-04 Ab- und Rückgabe von Assets (AM-04) vollständig umgesetzt
C5-05-AM-05 Klassifikation von Informationen (AM-05) Dienste werden klassifiziert, es gibt jedoch kein Klassifizierungsschema für Daten.

Alle Kundendaten werden vertraulich behandelt.

teilweise umgesetzt
C5-05-AM-06 Kennzeichnung von Informationen und Handhabung von Assets (AM-06) Informationen werden derzeit nicht gekennzeichnet.

Standardmäßig werden alle Kundendaten vertraulich behandelt.

nicht aktiv
C5-05-AM-07 Verwaltung von Datenträgern (AM-07) vollständig umgesetzt
C5-05-AM-08 Überführung und Entfernung von Assets (AM-08) vollständig umgesetzt
C5-06-PS-01 Perimeterschutz (PS-01) Die Rechenzentrumsstandorte, an denen sich Cloud-Daten des Unternehmens befinden, erfüllen alle den Standard ISO 27001 und verfügen über einen entsprechenden Perimeterschutz. teilweise umgesetzt
C5-06-PS-02 Physische Zutrittskontrolle (PS-02) vollständig umgesetzt
C5-06-PS-03 Schutz vor Bedrohungen von außen und aus der Umgebung (PS-03) vollständig umgesetzt
C5-06-PS-04 Schutz vor Unterbrechungen durch Stromausfälle und andere derartige Risiken (PS-04) vollständig umgesetzt
C5-06-PS-05 Wartung von Infrastruktur und Geräten (PS-05) vollständig umgesetzt
C5-07-OPS-01 Kapazitätsmanagement – Planung (OPS-01) vollständig umgesetzt
C5-07-OPS-02 Kapazitätsmanagement – Überwachung (OPS-02) vollständig umgesetzt
C5-07-OPS-03 Kapazitätsmanagement - Datenlokation (OPS-03) Hier ist es erforderlich, dem Kunden Ressourcendaten für seine Planung zur Verfügung zu stellen. Dies liegt derzeit außerhalb des Geltungsbereichs. nicht aktiv
C5-07-OPS-04 Kapazitätsmanagement - Steuerung von Ressourcen (OPS-04) vollständig umgesetzt
C5-07-OPS-05 Schutz vor Schadprogrammen (OPS-05) vollständig umgesetzt
C5-07-OPS-06 Datensicherung und Wiederherstellung – Konzept (OPS-06) vollständig umgesetzt
C5-07-OPS-07 Datensicherung und Wiederherstellung – Überwachung (OPS-07) vollständig umgesetzt
C5-07-OPS-08 Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-08) vollständig umgesetzt
C5-07-OPS-09 Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-09) vollständig umgesetzt
C5-07-OPS-10 Protokollierung und Überwachung – Konzept (OPS-10) vollständig umgesetzt
C5-07-OPS-11 Protokollierung und Überwachung – Konzept (OPS-11) Wird derzeit in OPS-10 abgedeckt nicht aktiv
C5-07-OPS-12 Protokollierung und Überwachung – Kritische Assets (OPS-12) Wird derzeit in OPS-10 abgedeckt nicht aktiv
C5-07-OPS-13 Protokollierung und Überwachung – Aufbewahrung der Protokolle (OPS-13) Wird derzeit in OPS-10 abgedeckt nicht aktiv
C5-07-OPS-14 Protokollierung und Überwachung – Zurechenbarkeit (OPS-14) Protokolldaten werden zentral auf einem Protokollierungsserver gespeichert. teilweise umgesetzt
C5-07-OPS-15 Protokollierung und Überwachung – Konfiguration (OPS-15) Anwendungsprotokolle sind verfügbar. Zugriffsprotokolle werden ohne IP-Adresse gespeichert. teilweise umgesetzt
C5-07-OPS-16 Protokollierung und Überwachung – Verfügbarkeit der Überwachungs-Software (OPS-16) vollständig umgesetzt
C5-07-OPS-17 Umgang mit Schwachstellen, Störungen und Fehlern – Konzept (OPS-17) vollständig umgesetzt
C5-07-OPS-18 Umgang mit Schwachstellen, Störungen und Fehlern – Penetrationstests (OPS-18) vollständig umgesetzt
C5-07-OPS-19 Umgang mit Schwachstellen, Störungen und Fehlern - Integration mit Änderungs- und Incident Management (OPS-19) Im Rahmen von Kundenprojekten erfolgen zeitweise Penetrationstests. Hier wurden keine größeren Probleme festgestellt.

Hallo Welt! führt selbst (noch) keine interne Penetrationstests durch.

nicht aktiv
C5-07-OPS-20 Umgang mit Schwachstellen, Störungen und Fehlern – Einbindung des Cloud-Kunden (OPS-20) Einen regulären Prozess hierfür gibt es noch nicht. teilweise umgesetzt
C5-07-OPS-21 Umgang mit Schwachstellen, Störungen und Fehlern - Prüfung offener Schwachstellen (OPS-21) vollständig umgesetzt
C5-07-OPS-22 Umgang mit Schwachstellen, Störungen und Fehlern – System-Härtung (OPS-22) vollständig umgesetzt
C5-07-OPS-23 Segregation der gespeicherten und verarbeiteten Daten der Cloud-Kunden in gemeinsam genutzten Ressourcen (OPS-23) Hallo Welt! orientiert sich hier an Industriestandards.

Derzeit gibt es keine Dokumentation pro System.

teilweise umgesetzt
C5-07-OPS-24 Separierung der Datenbestände in der Cloud-Infrastruktur (OPS-24) vollständig umgesetzt
C5-08-IDM-01 Richtlinie für Zugangs- und Zugriffsberechtigungen (IDM-01) vollständig umgesetzt
C5-08-IDM-02 Benutzerregistrierung (IDM-02) vollständig umgesetzt
C5-08-IDM-03 Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen (IDM-03) Einige Systeme implementieren dies. Der Rest wird automatisch verwaltet. teilweise umgesetzt
C5-08-IDM-04 Berechtigungsentzug (Deprovisionierung) bei Veränderungen des Arbeitsverhältnisses (IDM-04) vollständig umgesetzt
C5-08-IDM-05 Regelmäßige Überprüfung der Zugriffsberechtigungen (IDM-05) Dies wird derzeit nur für die kritischsten Systeme durchgeführt. teilweise umgesetzt
C5-08-IDM-06 Administratorenberechtigungen (IDM-06) Größtenteils implementiert. Privilegien werden jedoch nicht für eine begrenzte Zeit entzogen. teilweise umgesetzt
C5-08-IDM-07 Geheimhaltung von Authentifizierungsinformationen (IDM-07) vollständig umgesetzt
C5-08-IDM-08 Sichere Anmeldeverfahren (IDM-08) vollständig umgesetzt
C5-08-IDM-09 Umgang mit Notfallbenutzern (IDM-09) vollständig umgesetzt
C5-09-CRY-01 Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung (CRY-01) Es gibt einige Richtlinien, aber noch keine genehmigte Richtlinie. teilweise umgesetzt
C5-09-CRY-02 Verschlüsselung von Daten bei der Übertragung (Transportverschlüsselung) (CRY-02) vollständig umgesetzt
C5-09-CRY-03 Verschlüsselung von sensiblen Daten bei der Speicherung (CRY-03) Kundendaten werden im Ruhezustand verschlüsselt. Backups sind verschlüsselt. teilweise umgesetzt
C5-09-CRY-04 Sichere Schlüsselverwaltung (CRY-04) Es gibt keine zentrale Schlüsselverwaltung. Richtlinien existieren. teilweise umgesetzt
C5-10-COS-01 Technische Schutzmaßnahmen (COS-01) Hallo Welt! betreibt kein Einbruchmeldesystem. Überwacht werden aber Netzwerkmuster und es erfolgen Benachrichtigungen bei größeren Unregelmäßigkeiten, wie z. B. DDOS-Angriffe. nicht aktiv
C5-10-COS-02 Überwachen von Verbindungen (COS-02) vollständig umgesetzt
C5-10-COS-03 Netzwerkübergreifende Zugriffe (COS-03) Alle Zugriffe auf das Cloud-Netzwerk werden protokolliert. teilweise umgesetzt
C5-10-COS-04 Netzwerke zur Administration (COS-04) vollständig umgesetzt
C5-10-COS-05 Segregation des Datenverkehrs in gemeinsam genutzten Netzwerkumgebungen (COS-05) vollständig umgesetzt
C5-10-COS-06 Dokumentation der Netztopologie (COS-06) Interner Datenverkehr getrennt, aber nicht verschlüsselt. teilweise umgesetzt
C5-10-COS-07 Richtlinien zur Datenübertragung (COS-07) vollständig umgesetzt
C5-10-COS-08 Vertraulichkeitserklärung (COS-08) vollständig umgesetzt
C5-11-PI-01 Nutzung öffentlicher API's und Industriestandards (PI-01) vollständig umgesetzt
C5-11-PI-02 Export von Daten (PI-02) vollständig umgesetzt
C5-11-PI-03 Richtlinie zur Portabilität und Interoperabilität (PI-03) vollständig umgesetzt
C5-12-DEV-01 Richtlinien zur Entwicklung / Beschaffung von Informationssystemen (DEV-01) Hallo Welt! wendet die Codierungsrichtlinien an, die im Wikimedia-Ökosystem gelten. teilweise umgesetzt
C5-12-DEV-02 Auslagerung der Entwicklung (DEV-02) Vertragliche Vereinbarungen sind vorhanden, müssen jedoch aktualisiert werden. Dritte haben jedoch keinen Zugriff auf Produktions-Cloud oder den Produktionscode. teilweise umgesetzt
C5-12-DEV-03 Richtlinien zur Änderung von Informationssystemen (DEV-03) vollständig umgesetzt
C5-12-DEV-04 Risikobewertung der Änderungen (DEV-04) Die Schulung erfolgt vor Ort und jährlich in Kombination mit DSGVO-Compliance-Schulungen. teilweise umgesetzt
C5-12-DEV-05 Kategorisierung der Änderungen (DEV-05) Eventuelle Änderungen werden im Team beurteilt. Eine formelle Risikobewertung wird noch nicht angewendet. teilweise umgesetzt
C5-12-DEV-06 Priorisierung der Änderungen (DEV-06) vollständig umgesetzt
C5-12-DEV-07 Testen der Änderungen (DEV-07) vollständig umgesetzt
C5-12-DEV-08 Zurückrollen der Änderungen (DEV-08) vollständig umgesetzt
C5-12-DEV-09 Überprüfen von ordnungsgemäßer Testdurchführung und Genehmigung (DEV-09) vollständig umgesetzt
C5-12-DEV-10 Notfalländerungen (DEV-10) vollständig umgesetzt
C5-13-SSO-01 Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister und Lieferanten des Cloud-Anbieters (SSO-01) vollständig umgesetzt
C5-13-SSO-02 Risikobeurteilung der Dienstleister und Lieferanten (SSO-02) vollständig umgesetzt
C5-13-SSO-03 Verzeichnis der Dienstleister und Lieferanten (SSO-03) vollständig umgesetzt
C5-13-SSO-04 Überwachung der Einhaltung der Anforderungen (SSO-04) vollständig umgesetzt
C5-13-SSO-05 Ausstiegsstrategie für den Bezug von Leistungen (SSO-05) Es gibt keine dokumentierte Ausstiegsstrategie. nicht aktiv
C5-14-SIM-01 Verantwortlichkeiten und Vorgehensmodell (SIM-01) vollständig umgesetzt
C5-14-SIM-02 Klassifizierung von Kunden Systemen (SIM-02) vollständig umgesetzt
C5-14-SIM-03 Bearbeitung von Sicherheitsvorfällen (SIM-03) vollständig umgesetzt
C5-14-SIM-04 Dokumentation und Berichterstattung über Sicherheitsvorfälle (SIM-04) vollständig umgesetzt
C5-14-SIM-05 Security Incident Event Management (SIM-05) vollständig umgesetzt
C5-15-BCM-01 Verantwortung durch die Unternehmensleitung (BCM-01) vollständig umgesetzt
C5-15-BCM-02 Richtlinien und Verfahren zur Business Impact Analyse (BCM-02) Eine Risikoanalyse wurde durchgeführt und ist dokumentiert. Es gibt keine formelle Richtlinie. nicht aktiv
C5-15-BCM-03 Planung der Betriebskontinuität (BCM-03) vollständig umgesetzt
C5-15-BCM-04 Verifizierung, Aktualisierung und Test der Betriebskontinuität (BCM-04) Zum Zeitpunkt der Implementierung werden Disaster-Recovery-Tests durchgeführt. Einen regulären Zeitplan gibt es noch nicht. teilweise umgesetzt
C5-16-COM-01 Identifizierung anwendbarer gesetzlicher, regulatorischer, selbstauferlegter oder vertraglicher Anforderungen (COM-01) vollständig umgesetzt
C5-16-COM-02 Richtlinie für die Planung und Durchführung von Audits (COM-02) Das ISMS wird jährlich auditiert. Es gibt keine formelle Richtlinie. nicht aktiv
C5-16-COM-03 Interne Audits des Informationssicherheitsmanagementsystems (COM-03) Es gibt noch keinen formellen Prozess der internen Revision teilweise umgesetzt
C5-16-COM-04 Informationen über die Informationssicherheitsleistung und Managementbewertung des ISMS (COM-04) vollständig umgesetzt
C5-17-INQ-01 Juristische Beurteilung von Ermittlungsanfragen (INQ-01) vollständig umgesetzt
C5-17-INQ-02 Information der Cloud-Kunden über Ermittlungsanfragen (INQ-02) vollständig umgesetzt
C5-17-INQ-03 Voraussetzungen für den Zugriff auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-03) vollständig umgesetzt
C5-17-INQ-04 Begrenzung des Zugriffs auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-04) vollständig umgesetzt
C5-18-PSS-01 Leitlinien und Empfehlungen für Cloud-Kunden (PSS-01) Die Pflege dieser Informationen erfolgt im Rahmen unserer Produktdokumentation. Sie können jedoch nicht an einem zentralen Ort gefunden werden. teilweise umgesetzt
C5-18-PSS-02 Identifikation von Schwachstellen des Cloud-Dienstes (PSS-02) vollständig umgesetzt
C5-18-PSS-03 Online-Register bekannter Schwachstellen (PSS-03) vollständig umgesetzt
C5-18-PSS-04 Fehlerbehandlungs- und Protokollierungsmechanismen (PSS-04) vollständig umgesetzt
C5-18-PSS-05 Authentisierungsmechanismen (PSS-05) vollständig umgesetzt
C5-18-PSS-06 Session Management (PSS-06) vollständig umgesetzt
C5-18-PSS-07 Vertraulichkeit von Authentisierungsinformationen (PSS-07) vollständig umgesetzt
C5-18-PSS-08 Rollen- und Rechtekonzept (PSS-08) vollständig umgesetzt
C5-18-PSS-09 Autorisierungsmechanismen (PSS-09) vollständig umgesetzt
C5-18-PSS-10 Software-defined Networking (PSS-10) Hallo Welt! stellt dem Kunden kein SDN zur Verfügung. nicht aktiv
C5-18-PSS-11 Images für virtuelle Maschinen und Container (PSS-11) Hallo Welt! stellt dem Kunden keine VMs und Container in der Cloud zur Verfügung. nicht aktiv
C5-18-PSS-12 Lokationen der Datenverarbeitung und -speicherung (PSS-12) Hallo Welt! bietet den Cloud-Kunden keine Auswahl an Datenstandorten. nicht aktiv