Wir verstehen euer Problem:Ihr würdet unsere Lösung gerne nutzen, aber Ihr wisst, dass durch die Prüfung der Datensicherheit sich alles verzögern könnte. Aber auch hier versuchen wir euch so gut es geht zu entlasten.
In der Zwischenzeit könnt ihr euch gerne ansehen, was unser Standart ist, um sicherzustellen, dass eure Daten sicher sind und Ihr uns vertrauen könnt.
Die Informationsleitlinie des Cloud Anbieters muss berücksichten, dass Themen wie Segregation/ Segmentierung, Mandantentrennung, Virtualisierung und Zugriffskontrollprozeduren als ein wichtiger Bestandteil behandelt werden.
Die Benutzerdaten werden logisch auf einer Ebene des API-Zugriffs getrennt.
Der Cloud Anbieter muss eine interne Anlaufstelle für Belange der Informationssicherheit und/oder des Datenschutzes vertraglich zusichern.
Wir bieten einen umfassenden Kundenservice.
Entsprechende Kontakte mit den zuständigen Behörden sind zu definieren.
Datenspeicherung, Verarbeitung und Hosting is in Deutschland/EU.
Die Lokation der Daten ist offen zu legen und ggf. einzuschränken. Die Administratoren des Cloud-Dienst Anbieters haben Zugriff aus einem bestimmten Land.NOGO z.B.:
- sensible personenbezogene Daten außerhalb der EU
- streng vertrauliche und geheime Daten außerhalb der EUNot ok z.B.:
- personenbezogene Daten außerhalb der EUOk z.B.:- personenbezogene Daten innerhalb der EUNot relevant z.B.:- öffentlich zugängliche Daten (bspw. Speiseplan)
Datenspeicherung, Verarbeitung und Hosting is in Deutschland/EU.
Alle Personen, die sich um eine Beschäftigung bewerben, werden einer Sicherheitsüberprüfung unterzogen, die im Einklang mit den relevanten Gesetzen, Vorschriften und ethischen Grundsätzen sowie in einem angemessenen Verhältnis zu den geschäftlichen Anforderungen, der Einstufung der einzuholenden Information und den wahrgenommenen Risiken ist.- sensible personenbezogene Daten außerhalb der EU
- streng vertrauliche und geheime Daten außerhalb der EUNot ok z.B.:
- personenbezogene Daten außerhalb der EUOk z.B.:- personenbezogene Daten innerhalb der EUNot relevant z.B.:- öffentlich zugängliche Daten (bspw. Speiseplan)
Wir führen keine spezielle Datenschutz- oder Sicherheitsüberprüfung durch, die über die reguläre Personalarbeit hinausgeht.
In den vertraglichen Vereinbarungen mit Beschäftigten und Auftragnehmern sind deren Verantwortlichkeiten und diejenigen des Anbieters festzulegen.
Ja.
Die Leitung verlangt von allen Beschäftigten und Auftragnehmern, dass sie die Informationssicherheit im Einklang mit den eingeführten Richtlinien und Verfahren des Anbieters umsetzen.
Ja.
Alle Auftragnehmer und deren Beschäftigte des Anbieters haben ein angemessenes Bewusstsein durch Ausbildung und Schulung sowie regelmäßige Aktualisierungen zu den Richtlinien und Verfahren des Unternehmens, die für ihr berufliches Arbeitsgebiet relevant sind.
Ja, diese Ausbildung ist Teil des Arbeitsvertrags, des Onboardings und der Schulung.
Der Cloud Anbieter muss IT-Sicherheitsawarenessmaßnahmen für die Mitarbeiter bezüglich des Umgangs mit den Daten der Cloud Nutzern etc. anbieten. Mitarbeiter des Anbieters müssen verstehen, welche Konsequenzen und Auswirkungen ihr Handeln hat.
Ja.
Ein formal festgelegter und bekanntgegebener Maßregelungsprozess ist einzurichten, um Maßnahmen gegen Beschäftigte zu ergreifen, die einen Informationssicherheitsverstoß begangen haben.
Ja, aber bisher mussten wir sie noch nicht anwenden.
Verantwortlichkeiten und Pflichten im Bereich der Informationssicherheit, die auch nach Beendigung oder Änderung der Beschäftigung bestehen bleiben, sind festzulegen, dem Beschäftigten oder Auftragnehmer mitzuteilen und durchzusetzen.
Dies ist Teil der vertraglichen Arbeit eines jeden Mitarbeiters.
Das Inventar der Assets ist mindestens nach dem Informationsklassifikationsschema des Anbieters zu klassifizieren.
Ja.
Service Level Agreements und Verträge für alle indirekten, von einem externen Anbieter verwalteten Assets enthalten die Vereinbarung, dass relevante Asset-Registerinformationen (einschließlich Attributen) bereitgestellt werden müssen.
Ja.
Für jedes Asset ist ein Asset Owner zu definieren.
Ja.
"Regeln für den zulässigen Gebrauch von Information und Werten, die mit Information und informationsverarbeitenden Einrichtungen in Zusammenhang stehen, sind aufzustellen, zu dokumentieren und anzuwenden.
Der Anbieter bestätigt, dass eine eigene ""Acceptable Use Policy (Benutzungsrichtlinie"" angewendet wird und die Anforderungen der LH Group erfüllt werden."
In unseren AGBs definieren wir die zulässige Nutzung.
Alle Beschäftigten und sonstige Benutzer, die zu externen Parteien gehören, geben bei Beendigung des Beschäftigungsverhältnisses, des Vertrages oder der Vereinbarung sämtliche in ihrem Besitz befindlichen Werte, die der Organisation gehören, zurück. Der Anbieter bestätigt den Rückgrabeprozess von Assets an Verantwortlichen bei der LH Group.
Ja.
Informationen sind anhand der gesetzlichen Anforderungen, ihres Wertes, ihrer Kritikalität und ihrer Empfindlichkeit gegenüber unbefugter Offenlegung oder Veränderung zu klassifizieren. Der Anbieter bestätigt, dass Regeln und Klassifizierungen bezüglich der Verwendung von Assets innerhalb der Organisation definiert und angewenden werden (laut ISO 27001 Standard).
Ja.
In Übereinstimmung mit den Anbieter festgelegten Informationssklassifizierungsschema müssen vom Anbieter ein angemessener Satz von Verfahren zur Kennzeichnung von Informationen entwickelt und implementiert werden.
Ja.
Verfahren für die Handhabung von Werten sind entsprechend dem von des Anbieters eingesetzten Informationsklassifizierungsschema vom Anbieter zu entwickeln und umzusetzen.
nicht zutreffend
Verfahren für die Handhabung von Wechseldatenträgern sind entsprechend von der Anbieter eingesetzten Informationsklassifizierungsschema vom Anbieter zu entwickeln und umzusetzen.
Wir haben sie komplett verboten.
Nicht mehr benötigte Datenträger sind sicher und unter Anwendung formaler Verfahren zu entsorgen.
Ja.
Sofern das Vertragsverhältnis mit dem Cloud Anbieter beendet wird, Speichermedien gewechselt oder auch auf Verlangen des Cloud Nutzers, müssen die Daten nach Datenübergabe vollständig und sicher gelöscht werden. (vergl. DRL Aufbewahrung von Daten und sicheres Löschen von Datenträgern)
Hierbei darf nicht vergessen werden, dass Backups auch zu löschen sind.
(z.B. durch mehrfaches Überschreiben der Daten oder löschen des Verschlüsselungsschlüssels)
Backups von Anwendungsdaten werden nach 6 Monaten gelöscht.
Datenträger, die Information enthalten, sind während des Transports vor unbefugtem Zugriff, Missbrauch oder Verfälschung zu schützen.
nicht zutreffend
Die Art und Weise des Zugangs zu Netzwerken ist in einer Zugangssteuerungsrichtlinie festgelegt und stimmt mit anderen in diesem Dokument festgelegten Aspekten überein. Folgende Aspekte werden abgedeckt: Autorisierungsverfahren und Autorisierungsanforderungen zur Bestimmung der zulässigen Benutzer, Managementkontrollen und -maßnahmen zum Schutz des Netzwerks und seiner Dienste, Mittel für den Netzwerkzugang und deren Überwachung. Siehe auch A.13.1 bezüglich der Einhaltung dieser Maßnahme.
Ja.
Das Informationssystem implementiert eine Multifaktor-Authentisierung für den Netzwerkzugriff auf privilegierte Konten.
Teilweise erfüllt. Die Einführung dieser Funktion ist für Q1 22 vorgesehen.
Der Cloud Anbieter muss Vorgaben/Prozesse implementiert haben, wie bei einer Kompromittierung der Zugangsverwaltung vorzugehen ist, bspw. bei der unberechtigten Kenntnisnahme von Zugangsdaten durch Dritte.
Ja.
Um die Einhaltung der Access Control Vorgaben sicherzustellen, ist ein formales Verfahren zur Erstellung und Löschung digitaler Benutzer-Ids zu implementieren.
Ja.
Benutzer sind durch eine zentrale Identitätsverwaltungssystem innerhalb des Anbieters eindeutig repräsentiert und identifiziert. Die Benutzer-ID hat einen eindeutigen Bezug zur Akte des Mitarbeiters im HR-System.
Angenommen, die E-Mail gilt als 'eindeutiger Bezug'.
Gruppenkonten sind nicht erlaubt, es sei denn, der zugreifende Benutzer kann eindeutig identifiziert werden.
Sie sind verboten.
Benutzer-IDs von Benutzern, die aus dem Unternehmen des Anbieters ausgeschieden sind, werden umgehend deaktiviert oder entfernt.
Die Daten alter Nutzer werden nach 28 Tagen automatisch gelöscht.
Es ist ein Zuteilungsprozess zu implementieren, der sicherstellt, dass Benutzerzugang, Einschränkung und Entzug kontrolliert und gepflegt werden können.
Ja.
Alle Änderungen der Zugriffsrechte der Mitarbeiter müssen gehemigt werden. Dieser Prozess muss mit der Access Control Richtlinie übereinstimmen.
Sie sind verboten.
Der Cloud Anbieter muss sicherstellen, dass privilegierte Zugriffe nur über eine Zwei-Faktor-Authentifizierung erfolgen kann.Der Cloud Anbieter muss sicherstellen können, dass die Administratoren auf die Komponenten der Infrastruktur nur bei Genehmigung oder gar nicht zugreifen. Es kann bspw. vorkommen, dass Hypervisoren für Aktualisierungen einfach neu aufgesetzt werden und der Workload migriert wird.
Teilweise erfüllt. Auch hier erfolgt die Einführung des 2-Faktors in Q1'22
Administratoren und Benutzer mit umfangreicheren Rechten zu dokumentieren, zu überprüfen und laufend zu kontrollieren.
In Übereinstimmung mit der Zugangssteuerungsrichtlinie werden privilegierte Zugriffsrechte Benutzern auf Einzelfallbasis oder streng nach einer offiziellen Aufgabenbeschreibung zugewiesen, die solche privilegierten Zugriffsrechte erfordert.
Ja.
Die Übertragung von Authentisierungsinformationen an den Benutzer muss auf sichere Weise erfolgen der Empfang ist zu bestätigen. Dieser Prozess ist zu protokollieren.
Ja.
Der Cloud Anbieter muss sicherstellen, dass administrative Zugriffsrechte mindestens einmal im Jahr überprüft werden.
Ja.
Die Zugangsrechte sind in regelmäßigen Abständen mindestens einmal jährlich zu überprüfen. Dabei ist auch zu prüfen, ob die den Benutzern zugewiesenen Rechte noch korrekt und erforderlich sind, und ob der Zugang für Personen, die nicht mehr beschäftigt sind oder für die den Zugang betreffende Abteilung arbeiten, entzogen oder angepasst werden müssen.
Ja.
Die Zugangsrechte aller Beschäftigten und Benutzer, die zu externen Parteien gehören, auf Informationen und informationsverarbeitende Einrichtungen sind bei Beendigung des Beschäftigungsverhältnisses, des Vertrages oder der Vereinbarung zu entziehen oder bei einer Änderung anzupassen.
Ja.
Wenn Kennwörter als geheime Authentisierungsinformationen verwendet werden, wird den Benutzern empfohlen, starke Kennwörter zu wählen.
Ja.
Der Cloud Anbieter muss sicherstellen, dass Regeln zur physikalischen und logischen Segmentierung der IT-Komponenten, Richtlinien zur Zugangs- und Zugriffskontrolle, Benutzermanagement, Zugriffseinschränkung zum Hypervisormanagement, Zugriffseinschränkung zu administrativen Konsolen (der Hypervisoren, Storage-Systemen, Netzwerk-Komponenten, ...) existieren.
Ja.
Zugangsbeschränkungen basieren auf den Anforderungen einzelner Geschäftsanwendungen und erfolgen in Übereinstimmung mit der festgelegten Zugangssteuerungsrichtlinie.
Ja.
Soweit es die Zugangssteuerungsrichtlinie erfordert, wird der Zugang zu Systemen und Anwendungen durch ein sicheres Anmeldeverfahren gesteuert.
Ja.
Der Cloud Anbieter muss sicherstellen, dass das Passwortmanagement dem aktuellen Stand der Technik entspricht. Verschlüsselte Ablage der Passwörter, Auswahl starker Passwörter, Kennwortablauf- und änderungsverfahren, Verwendung von Einmalpasswörtern, Zurücksetzen von Passwörtern, sichere Übermittlung von Passwörtern, Geeignete Auswahl von Authentikationsmechanismen.
Ja.
Alle Systeme, die sich mit der Kennwortverwaltung befassen, halten sich an die Zugangs- und Kennwortregeln und setzen diese durch.
Ja.
Es ist eine Kennwortauswahl mit Kennwörtern einer bestimmten Mindeststärke und Mindestkomplexität gemäß den Best Practices der Branche umzusetzen.
Teilweise erfüllt. Nicht durchgesetzt, aber möglich. Kann bei Bedarf umgesetzt werden.
Der Gebrauch von Hilfsprogrammen, die fähig sein könnten, System- und Anwendungsschutzmaßnahmen zu umgehen, ist einzuschränken und streng zu überwachen.
Ja.
Der Zugang zu Quellcode von Programmen ist einzuschränken.
Ja.
Eine Richtlinie für den Gebrauch von kryptographischen Maßnahmen zum Schutz von Information ist zu entwickeln und umzusetzen.
Ja.
Der Cloud-Dienst Anbieter muss offenlegen, wo eine Verschlüsselung zum Schutz der Daten eingesetzt wird.Daten mit sehr hohen Vertraulichkeitsanforderungen müssen immer verschlüsselt in der Cloud gespeichert werden (Data at Rest). Es muss von Fall zu Fall entschieden werden, auf welcher Ebene die Verschlüsselung stattfinden muss (Storage, OS, DB, Applikation).Virtuelle Betriebssystem-Images müssen in einem ruhenden / inaktiven Zustand gespeichert werden, wenn sie sensible Daten tragen. Ebenfalls sind diese zu verschlüsseln und die Integrität zu schützen. Der Datentransfer (Data in Transit) muss immer stark verschlüsselt erfolgen.Der Datentransport innerhalb der Cloud-Umgebung muss stark verschlüsselt sein, wenn die Daten hochsensibel sind.
Ja.
Eine Richtlinie zum Gebrauch, zum Schutz und zur Lebensdauer von kryptographischen Schlüsseln ist zu entwickeln und ist über deren gesamten Lebenszyklus umzusetzen.
Ja.
Zum Schutz von Bereichen, in denen sich entweder sensible oder kritische Information oder informationsverarbeitende Einrichtungen befinden, sind Sicherheitsperimeter festzulegen und anzuwenden.
Ja.
Sicherheitsbereiche sind durch eine angemessene Zutrittssteuerung zu schützen, um sicherzustellen, dass nur berechtigtes Personal Zugang hat. Der Anbieter bestätigt, geeignete Zugangskontrollen für Einrichtungen zu verwenden, um den physischen Zugang zu den Systemen einzuschränken und zu überwachen. Der Zugang muss mit Ausweislesern oder anderen Vorrichtungen, einschließlich autorisierter Ausweise und Schlüssel kontrolliert werden.
Ja.
Die physische Sicherheit für Büros, Räume und Einrichtungen ist konzipiert und wird angewendet. Der Anbieter bestätigt, den physischen Zugang des Personals vor Ort zu den sensiblen Bereichen wie folgt zu kontrollieren:- Der Zugang muss autorisiert erfolgen und auf den individuellen Arbeitsaufgaben basieren. - Der Zugriff wird sofort nach Beendigung widerrufen und alle physischen Zugriffsmethoden müssen zurückgegeben werden
Ja.
Physischer Schutz vor Naturkatastrophen, bösartigen Angriffen oder Unfällen ist zu kozipieren und anzuwenden.
Ja.
Verfahren für das Arbeiten in Sicherheitsbereichen sind zu konzipieren und anzuwenden.
Ja.
Zutrittsstellen wie Anlieferungs- und Ladebereiche sowie andere Stellen, über die unbefugte Personen die Räumlichkeiten betreten könnten, sind zu überwachen und sind, falls möglich, von informationsverarbeitenden Einrichtungen getrennt, um unbefugten Zutritt zu verhindern.
Nicht anwendbar
Es sind Maßnahmen zur Minimierung des Risikos möglicher physischer und ökologischer Bedrohungen einzuführen, z.B. Diebstahl, Feuer, Sprengstoffe, Rauch, Wasser (oder Ausfall der Wasserversorgung), Staub, Vibrationen, chemische Auswirkungen, Störungen der Stromversorgung, Kommunikationsstörungen, elektromagnetische Strahlung und Vandalismus.
Ja.
Geräte und Betriebsmittel, die in öffentlich zugänglichen Bereichen eingesetzt werden, sind vor unbefugtem Zugriff zu schützen, z.B. mit festen und abschließbaren Gehäusen für PCs, physischem und/oder logischem Schutz von Netzwerksteckdosen usw.
Ja.
Geräte und Betriebsmittel sind vor Stromausfällen und anderen Störungen, die durch Ausfälle von Versorgungseinrichtungen verursacht werden, zu schützen.
Ja.
Strom- und Telekommunikationsverkabelung, die Daten trägt oder Informationsdienste unterstützt, sind vor Unterbrechung, Störung oder Beschädigung zu schützen.
Ja.
Geräte und Betriebsmittel sind Instand zu halten, um ihre fortgesetzte Verfügbarkeit und Integrität sicherzustellen.
Ja.
Geräte, Betriebsmittel, Informationen oder Software werden nicht ohne vorherige Genehmigung vom Betriebsgelände entfernt.
Ja.
Assets außerhalb des Standorts des Anbieters sind zu sichern, um die verschiedenen Risiken beim Betrieb zu berücksichtigen.Achtung: hierbei geht es um Auftragsnehmer des Anbieters (Subunternehmen).
Ja.
Alle Arten von Geräten und Betriebsmitteln, die Datenträger enthalten, sind zu überprüfen, um sicherzustellen, dass jegliche sensiblen Daten und lizenzierte Software vor ihrer Entsorgung oder Wiederverwendung entfernt oder sicher überschrieben worden sind.
Ja.
Benutzer haben sicherzustellen, dass unbeaufsichtigte Geräte und Betriebsmittel angemessen geschützt sind.
Ja.
Richtlinien für eine aufgeräumte Arbeitsumgebung hinsichtlich Unterlagen und Wechseldatenträgern und für Bildschirmsperren für informationsverarbeitende Einrichtungen sind anzuwenden.
Ja.
Es ist sicherzustellen, dass die Bedienabläufe für die Verwaltung aller produktiv genutzten Assets dokumentiert, verwendet und allen betroffenen Parteien bekannt sind.
Ja.
Es muss zwischen Cloud Nutzer und Cloud Anbieter geregelt werden, wer wie bei Changes im Cloud Umfeld benachrichtigt wird, wenn der genutzte Cloud Dienst betroffen ist. Diese Information muss folgendes umfassen:Changekategorie, Zeitangabe, technische Beschreibung, Information zu Beginn und Ende des Changes
Ja.
Änderungen an allen produktiv genutzten IT-Assets, die die Informationssicherheit betreffen, werden über einen formalen Änderungssteuerungsprozess gesteuert. Alle Änderungen im Anbieter folgen einem formalen Genehmigungsverfahren und werden vorab aufgezeichnet und getestet. Es werden Fall-Back-Methoden zur Wiederherstellung des Anbieters in ihren Ursprungszustand implementiert.
Ja.
Die Kapazität der Systeme wird so geregelt, dass keine Informationen verloren gehen. Es werden Maßnahmen zur Kapazitätserweiterung ergriffen, wenn die Gefahr eines Informationsverlustes besteht.
Ja.
Entwicklungs-, Test- und Betriebssysteme sind voneinander getrennt, damit die Aktivitäten der Systeme im Betrieb nicht gefährdet werden.
Ja.
Getrennte Umgebungen werden mit physikalischen oder logischen Mitteln erreicht. Wenn keine physisch getrennten Testumgebungen verwendet werden, bestimmt (und dokumentiert) der Anbieter die Stärke des Mechanismus, der für die Umsetzung der logischen Trennung erforderlich ist (z.B. Trennung durch virtuelle Maschinen).
Ja.
Entwicklungssysteme und Systeme im Betrieb sind voneinander zutrennen, so dass keine vertraulichen oder persönlichen Kennungen übertragen werden können.
Ja.
Regelmäßige Durchführung von Scans auf Malware, die Folgendes beinhalten: 1) Scan sämtlicher über Netzwerke oder Datenträger empfangener Dateien auf Malware vor der Verwendung 2) Scan von E-Mail-Anhängen und Downloads auf Malware; dieser Scan wird an verschiedenen Stellen durchgeführt, z.B. an E-Mail-Servern, Desktop-Computern und beim Zugang zum Netzwerk des Anbieters; 3) Scan von Webseiten auf Malware
Ja.
Sicherstellen, dass Anti-Malware-Software und -Signaturen stets auf dem neuesten Stand sind und getestet werden.Antivirus-Maßnahmen müssen aktiviert bleiben und dürfen nicht von einem Benutzer deaktiviert oder geändert werden, solange diese Maßnahmen für einen bestimmten Zeitraum nicht vom Management genehmigt wurden.
Ja.
Es werden Maßnahmen festgelegt und umgesetzt, um die Verwendung nicht autorisierter Software und bösartiger Websites zu erkennen und zu verhindern.
Ja.
Sicherheitskopien von Informationen, Software und Systemabbildern werden entsprechend einer vereinbarten Sicherungsrichtlinie angefertigt und regelmäßig getestet.
Ja.
Der Cloud Anbieter muss Backup Spezifikationen offen legen, damit der Cloud Nutzer (LH Group) entscheiden kann, welches Verfahren genutzt werden soll. Dazu sind die folgenden Informationen wichtig:Scope und Zeitplan der Backups, Backup Methoden und Datenformate, Verschlüsselung, Aufbewahrungszeit, Integritätsmaßnahmen, Prozeduren zum Testen und Durchführen von Recoveries, Backupaufbewahrungsort, Zugriff auf die Backup-Daten.Die Sicherungsmechanismen /Backup-Mechanismen müssen regelmäßig auf ihre Funktionalität überprüft werden. Der Zugriff auf die gesicherten Daten darf nur durch autorisiertes Personal erfolgen.Die Wiederherstellungsverfahren müssen Kontrollen umfassen, um sicherzustellen, dass Wiederherstellungen nur nach Genehmigung durch autorisiertes Personal gemäß den vertraglichen Vereinbarungen erfolgen.Wiederherstellungstests müssen regelmäßig durchgeführt werden. Die Ergebnisse der Wiederherstellungstests müssen dem Cloud-Nutzer (LH Group) auf Anfrage zur Verfügung gestellt werden.
Ja.
Der Cloud Anbieter muss Protokollierungsmechanismen anbieten.Um unerwartete und auffällige Ereignisse und Störungen auf einem Cloud-Dienst erkennen zu können, muss immer unabhängig vom Schutzbedarf eine Protokollierung vergleichbar mit dem Informationssicherheitsstandard Networks eingerichtet werden.Protokolle dürfen nur über einen vertrauenswürdigen Pfad an den zentralen Protokollserver übertragen werden.Die Sammlung und Benutzung von Metadaten darf ausschließlich zu Abrechnungszwecken, Beheben von Störungen und Fehlern sowie zum Bearbeiten von Sicherheitsvorfällen genutzt werden.Beim Aufbewahren von Metadaten sind Aufbewahrungsfristen zu prüfen und einzuhalten.Der Cloud Anbieter muss eine Liste aller protokollierungs- und überwachungskritischen Assets führen und diese regelmäßig auf Aktualität und Korrektheit prüfen. Der Zugriff und die Verwaltung der Protokollierungsfunktionalitäten erfordert eine Multi-Faktor-Authentifizierung abhängig vom Schutzbedarf und der Exponiertheit der Daten.Die Verfügbarkeit der Protokollierungs- und Überwachungssoftware wird unabhängig überwacht. Bei einem Ausfall der Protokollierungs- und Überwachungssoftware werden die verantwortlichen Mitarbeiter umgehend informiert.
Teilweise erfüllt. Wir bieten nicht mehrere verschiedene Mechanismen zur Protokollierung an, die über unseren internen Standard hinausgehen.
Audit Logging ist aktiviert, um sicherzustellen, dass alle Aktivitäten, die Auswirkungen auf die Systeme haben, nachvollziehbar protokolliert werden und alle Aktionen den ursprünglichen Benutzern zugeordnet werden können.
Ja.
Protokollierungseinrichtungen und Protokollinformation sind vor Manipulation und unbefugtem Zugriff zu schützen.
Ja.
Alle privilegierten Benutzeraktivitäten werden protokolliert, aufbewahrt, geschützt und regelmäßig mindestens einmal jährlich überprüft.
Ja.
Wenn Änderungen an einem Cloud Dienst vorgenommen werden (Self-Service Portal), müssen diese geloggt werden.
Ja.
Zeitsynchronisation: Es ist zu regeln, wie die Zeitsynchronisation implementiert wird. Ist ein Zeitserver in der Cloud-Lösung nutzbar oder wird ein anderer Zeitserver genutzt.
Ja.
Die Uhren aller relevanten informationsverarbeitenden Systeme beziehen die Zeit regelmäßig aus synchronisierten Zeitquellen.
Ja.
Verfahren zur Steuerung der Installation von Software auf Systemen im Betrieb sind umzusetzen.
Ja.
Es ist ein Augenmerk darauf zu legen, wie sichergestellt wird, dass Hypervisorbreakout Schwachstellen entsprechend addressiert werden. Der Cloud Anbieter muss ein Penetrationstestergebnis vorlegen können.Es muss geprüft werden, dass die Systemkomponenten nach dem aktuellen Stand der Technik (Best practices) gehärtet werden und es einen regelmäßigen Härtungs-Compliance-Check gibt, der diese Härtung prüft und Abweichungen zeitnah behebt.Es muss sichergestellt werden, dass die Systemkomponenten einem Lifecyclemanagement unterliegen und regelmäßig auf Aktualität überprüft werden.Es muss sichergestellt sein, dass der CSP (Cloud Service Provider) selbstentwickelte Software einem sicheren Softwareentwicklungsprozess unterstellt. (vergl. Informationssicherheitsstandard Secure Development)
Ja.
Für Software und andere Technologien sind Informationsressourcen festzulegen, die verwendet werden, um relevante technische Schwachstellen zu identifizieren und das Bewusstsein dafür aufrechtzuerhalten.
Ja.
Alle Systeme (unabhängig davon ob der Zugriff aus dem Intranet oder direkt über das Internet erfolgt) werden unabhängig von der Gefährdung und Schutzstufe monatlich überprüft.
Ja.
Bekannte Schwachstellen müssen alle drei Monate untersucht und Maßnahmen zur Risikominderung umgesetzt werden. Solche Maßnahmen müssen das Patchen oder Anwenden anderer Kontrollen beinhalten.
Ja.
Je nach Typ der IT-Komponenten müssen Sicherheit-Patches unabhängig von deren Kritikalität innerhalb des vom Hersteller veröffentlichten Mindestpatch-Intervalls installiert werden. Kritische Patches müssen sofort installiert werden.
Ja.
Regeln für die Softwareinstallation durch Benutzer sind festzulegen und umzusetzen.
Ja.
Auditanforderungen und -tätigkeiten, die eine Überprüfung betrieblicher Systeme beinhalten, sind sorgfältig zu planen und zu vereinbaren, um Störungen der Geschäftsprozesse zu minimieren.
Ja.
Die Verantwortlichkeiten für die Verwaltung von Netzwerkausrüstung und Netzwerken sind festzulegen und zu dokumentieren.
Ich gehe davon aus, dass sich diese Fragen auf unsere internen Systeme beziehen, andernfalls sind sie nicht zutreffend.
Die Verfahren für die Verwaltung von Netzwerkausrüstung und Netzwerken sind festzulegen und zu dokumentieren.
Ja.
Um die Kohärenz bei der Konfiguration und Sicherheit des Netzwerks des Anbieters zu gewährleisten, werden Standards für die Konfiguration von Firewalls und Routern festgelegt.
Ja.
Ein- und ausgehende Verbindungen am Übergang zwischen dem Netzwerk des Anbieters und anderen Netzwerken sind über verwaltete Gateways aufzubauen.
Ja.
Es sind netzwerkbasierten Security Services bereitzustellen, um nach ungewöhnlichen Angriffsmechanismen zu suchen, Kompromittierungen bei diesen Systemen zu erkennen und bösartigen Netzwerkverkehr an jeder Netzwerkgrenze des Anbieters zu blockieren: Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS), Systeme zur Verhinderung von Denial-of-Service-Angriffen.
Ja.
Die Fähigkeit des Netzbetreibers, vereinbarte Dienste auf sichere Weise zu verwalten, wird ermittelt und regelmäßig überwacht. Die für die Sicherheitsmerkmale, Dienstgüte und Verwaltungsanforderungen erforderlichen Sicherheitsvorkehrungen werden ermittelt. Der Anbieter stellt sicher, dass die Netzbetreiber diese Maßnahmen umsetzen. Einhaltung der Maßnahmen der Richtlinie in A.15 Lieferantenbeziehungen.
Ja.
Verwaltung aller Netzwerkgeräte mit Authentisierung (mit Multifaktor für hohen/sehr hohen Schutzbedarf und mindestens mit Kennwort für mittleren Schutzbedarf) und verschlüsselten Sessions. Der Zugang erfolgt in Übereinstimmung mit der geltenden Zugangssteuerungs- und Kennwortrichtlinie erfolgen. Die Verschlüsselung der Verbindung entspricht der geltenden Kryptographierichtlinie.
Ja.
Informationsdienste, Benutzer und Informationssystemesind in Netzwerken gruppenweise voneinander getrennt zu halten.
Ja.
Es muss überprüft werden, ob Kunden auf Netzwerkebene voneinander isoliert sind. Zum Beispiel durch VLAN-Tagging.Es muss überprüft werden, ob die Daten auf Speicherebene isoliert sind. Zum Beispiel durch LUN-Mapping oder die Verwendung von dediziertem Speicher. Wenn gemeinsam genutzte Speicher verwendet werden, müssen risikomindernde Maßnahmen wie die verschlüsselte Datenspeicherung in Betracht gezogen werden. Bei gemeinsam genutztem Speicher können Leistungseinschränkungen auftreten.Es muss überprüft werden, ob die Daten auf Datenbankebene isoliert sind. Dies kann über verschiedene Schemas, Instanzen oder verschiedene Berechtigungen und Ansichten implementiert werden.Es muss überprüft werden, ob die Daten auf Anwendungsebene isoliert sind. Dies kann durch Implementieren eines Autorisierungs- und Rollenkonzepts, Trennen von Sitzungs-IDs, Verschlüsselung usw. erfolgen.
Ja.
Der Austausch von Geschäftsinformationen, unabhängig vom Medium (z.B. Papier, elektronisch, mündlich, etc.), folgt ordnungsgemäßen und festgelegten Sicherheitsverfahren unter Einhaltung der Informationsklassifizierung (A.8.2.1).
Ja.
Informationssysteme müssen die Vertraulichkeit und Integrität der übertragenen Informationen schützen. Diese Maßnahme gilt sowohl für interne und externe Netzwerke als auch für alle Arten von Komponenten des Informationssystems, aus denen Informationen übertragen werden können.
Ja.
Es werden kryptographische Mechanismen implementiert, um die unbefugte Offenlegung von Informationen zu verhindern und Änderungen an Informationen während der Übertragung, während der Vorbereitung auf die Übertragung und während des Empfangs zu erkennen, sofern nicht anderweitig durch von der LH Group festgelegte alternative physische Sicherheitsvorkehrungen ein Schutz erfolgt.
Ja.
Es sind ausschließlich starke Kryptographie- und Sicherheitsprotokolle, die der geltenden Kryptographierichtlinie entsprechen zu verwenden.
Ja.
Vereinbarungen müssen die sichere Übertragung von Geschäftsinformation zwischen den Anbieter und externen Parteien beinhalten.
Ja.
Schutz elektronischer Nachrichten vor unbefugtem Zugriff, unbefugter Änderung oder Denial-of-Service-Angriffen; Einhaltung der Maßnahmen in A.13.2.1.
Ja.
Eine Vereinbarung über die Anforderungen an die Vertraulichkeit und Geheimhaltung, die die Anforderungen der LH Group hinsichtlich des Schutzes von Informationen widerspiegeln, muss vom Dienstleister unterzeichnet werden.
Ja.
Die Anforderungen, die sich auf Informationssicherheit beziehen, sind in die Anforderungen an neue Informationssysteme oder die Verbesserungen bestehender Informationssysteme aufzunehmen.
Ja.
Anwendungsdienste, die über öffentliche Netzwerke laufen, halten die Kryptographierichtlinie ein und implementieren kryptografische Mechanismen, um die unbefugte Offenlegung von Informationen zu verhindern und Änderungen an Informationen während der Übertragung zu erkennen.
Ja.
Anwendungsdienste, die über öffentliche Netze laufen, beinhalten Authentisierungs- und Autorisierungsprozesse für Partner und Kunden, die den Vorgaben der Zugangssteuerungsrichtlinie entsprechen.
Ja.
Transaktionen im Rahmen von Anwendungsdiensten wahren die Vertraulichkeit und Integrität der Informationen bei der Vorbereitung der Übertragung und beim Empfang.
Ja.
Das Informationssystem implementiert kryptografische Mechanismen, um die unbefugte Offenlegung von Informationen zu verhindern und Änderungen an Informationen während der Übertragung zu erkennen – sofern nicht durch vordefinierte Mechanismen ein anderweitiger Schutz erfolgt.
Ja.
Sichere Programmiertechniken sind sowohl für Neuentwicklungen zu verwenden als auch für Szenarien mit Wiederverwendung von Code, bei denen die für die Entwicklung angewandten Standards möglicherweise nicht bekannt sind oder nicht mit den derzeitigen bewährten Verfahren übereinstimmen. Sichere Codierstandards werden berücksichtigt und gegebenenfalls vorgeschrieben.
Unser gesamter Code ist neu.
Entwickler sind in der Anwendung sicherer Codiertechniken geschult, und bei Überprüfung des Codes wird ihre Verwendung geprüft.
Ja.
Es ist ein Entwicklungslebenszyklus definiert, der die Informationssicherheit bei jedem Schritt berücksichtigt und sicherstellt, dass sie nicht gefährdet wird. Dazu sind Rollen und Verantwortlichkeiten über den gesamten Lebenszyklus festgelegt. Darüber hinaus ist der Prozess des Informationssicherheits-Risikomanagements des Anbieters in die Lebenszyklusaktivitäten der Systementwicklung integriert werden.
Ja.
Das Informationssystem implementiert kryptografische Mechanismen, um die unbefugte Offenlegung von Informationen zu verhindern und Änderungen an Informationen während der Übertragung zu erkennen – sofern nicht durch vordefinierte Mechanismen ein anderweitiger Schutz erfolgt.
Ja.
Es ist ein Prozess einzurichten, der nach Änderungen an Betriebssystemen alle von dieser Betriebsplattform abhängigen Anwendungen und Prozesse überprüft. Dieser Prozess beinhaltet Überprüfungen der Anwendungsschutzmaßnahmen und Integritätsverfahren, um sicherzustellen, dass sie nicht von Änderungen an der Betriebsplattform betroffen sind. Die Benachrichtigung über Änderungen an der Betriebsplattform erfolgt so rechtzeitig, dass vor der Umsetzung geeignete Tests und Überprüfungen durchgeführt werden können.
Ja.
Soweit möglich und praktikabel, sind die vom Hersteller gelieferten Softwarepakete unverändert zu verwenden.
Ja.
Bei Änderungen an Softwarepaketen ist das Risiko einer Beeinträchtigung von Maßnahmen und Integritätsprozessen sowie die Kompatibilität mit anderer verwendeter Software zu berücksichtigen.
Ja.
Der Anbieter wendet die Grundsätze für die Analyse, Entwicklung und Pflege von Informationssystemen bei der Spezifikation, dem Design, der Entwicklung, der Implementierung und der Veränderung des Informationssystems an.
Ja.
Der Anbieter schafft sichere Entwicklungsumgebungen für Systementwicklungs- und Systemintegrationsvorhaben über den gesamten Entwicklungszyklus und schützt diese angemessen.
Ja.
Wenn die Systementwicklung ausgelagert wird, ist in der gesamten externen Lieferkette des Anbieters folgende Punkte zu berücksichtigen: - Lizenzvereinbarungen, Eigentum am Code und Rechte an geistigem Eigentum in Bezug auf die ausgelagerten Inhalte;- vertragliche Anforderungen an sichere Design-, Codier- und Testverfahren;- Abnahmeprüfung auf Qualität und Genauigkeit der Ergebnisse;- Nachweis, dass ausreichende Tests zum Schutz vor bekannten Schwachstellen durchgeführt wurden;- vertragliches Recht auf Auditierung von Entwicklungsprozessen und -maßnahmen;- effektive Dokumentation der zur Erstellung von Deliverables verwendeten Build-UmgebungWeitere Informationen zur Überwachung von Dienstleistern finden sich in A.15.
Ja.
Es ist ein Prozess zu implementieren, um sicherzustellen, dass Organisationspläne für Sicherheitsprüfungen, Schulungen und Überwachungen in Bezug auf betriebliche Informationssysteme entwickelt und gepflegt werden. Die Dokumentation für diese Prozesse wird eingereicht und aktuell gehalten.
Ja.
Systemabnahmetests beinhalten die Prüfung der Anforderungen an die Informationssicherheit und die Einhaltung sicherer Systementwicklungspraktiken. Die Tests wird auch an erhaltenen Komponenten und integrierten Systemen durchgeführt.
Ja.
Betriebsdaten, die personenbezogene Daten oder andere vertrauliche Informationen enthalten, dürfen nicht zu Testzwecken verwendet werden. Wenn personenbezogene Daten oder anderweitig vertrauliche Informationen für Testzwecke verwendet werden, werden alle sensiblen Daten und Inhalte durch Entfernen oder Ändern geschützt.Der Anbieter muss eine Vereinbarung unterzeichnen, die unter anderem die Verarbeitung und die Verwendung personenbezogener Daten zu Testzwecken regelt.
Ja.
Die Anforderungen an die Informationssicherheit werden wie beim Hauptauftragnehmer auch an Unterauftragnehmer weitergegeben, wenn sie an der Erbringung von Dienstleistungen/Produkten und/oder der Lieferung des Dienstleisters beteiligt sind. Hierbei gilt das „Need-to-know“-Prinzip.
Ja.
Handhabungsverantwortlichkeiten und -verfahren sind festgelegt, um eine schnelle, effektive und geordnete Reaktion auf Informationssicherheitsvorfälle sicherzustellen. Notfallübungen müssen in regelmäßigen Abständen durchgeführt werden.
Ja.
Der Cloud Nutzer muss bei jeder Störung oder bei Überschreiten festgelegter Ausfallzeiten des Cloud Services vom Cloud Anbieter informiert werden, damit die Möglichkeit besteht, entsprechend zeitnah zu reagieren.Der Cloud Anbieter muss beim Eintreten sicherheitsrelevanter Vorfälle (Security Incidents) prüfen, ob hierdurch personenbezogene Daten und/oder Daten des Cloud Kunden betroffen sind. Darunter fallen jedoch keine gewöhnlichen Sicherheitsereignisse wie bspw. Portscans.Der Cloud-Anbieter muss den Cloud-Benutzer informieren, wenn ein Sicherheitsvorfall in der Cloud-Benutzerumgebung auftritt
Ja.
Alle Mitarbeiter und Auftragnehmer werden auf ihre Verantwortung hingewiesen, Informationssicherheitsereignisse und -schwachstellen so schnell wie möglich zu melden. Sie kennen auch das Verfahren zur Meldung von Informationssicherheitsereignissen und -schwachstellen sowie den Ansprechpartner, an den die Ereignisse gemeldet werden müssen.
Ja.
Beschäftigte und Auftragnehmer, welche die Informationssysteme und -dienste der Organisa-tion nutzen, werden angehalten, jegliche beobachteten oder vermuteten Schwä-chen in der Informationssicherheit in Systemen oder Diensten festzuhalten und zu melden.
Ja.
Informationssicherheitsereignisse werden beurteilt, und es wird darüber entschieden, ob sie als Informationssicherheitsvorfälle einzustufen sind.
Ja.
Auf Informationssicherheitsvorfälle wird entsprechend den dokumentierten Verfahren reagiert.
Ja.
Aus der Analyse und Lösung von Informationssicherheitsvorfällen gewonnene Erkenntnisse werden dazu genutzt, die Eintrittswahrscheinlichkeit oder die Auswirkungen zukünftiger Vorfälle zu verringern.
Ja.
Der Anbieter legt Verfahren für die Ermittlung, Sammlung, Erfassung und Aufbewahrung von Informationen, die als Beweismaterial dienen können, fest und wendet diese an.
Ja.
Es ist zu prüfen, wie bei einem Sicherheitsvorfall Daten beweisfest gesammelt werden. Regeln sind mit dem Cloud Anbieter festzulegen. Das LH-Group CERT kann hier unterstützen.
Ja.
Der Anbieter bestimmt ihre Anforderungen an die Informationssicherheit und zur Aufrechterhaltung des Informationssicherheitsmanagements bei widrigen Situationen, z. B. Krise oder Katastrophe.
Ja.
Der Anbieter legt Prozesse, Verfahren und Maßnahmen fest, dokumentiert, setzt sie um und erhält diese aufrecht, um das erforderliche Niveau an Informationssicherheit in einer widrigen Situation aufrechterhalten zu können.
Ja.
Der Anbieter überprüft in regelmäßigen Abständen die festgelegten und umgesetzten Maßnahmen zur Aufrechterhaltung der Informationssicherheit, um sicherzustellen dass diese gültig und in widrigen Situationen wirksam sind.
Ja.
Informationsverarbeitende Einrichtungen sind mit ausreichender Redundanz zur Einhaltung der Verfügbarkeitsanforderungen zu realisieren.
Ja.
Alle relevanten gesetzlichen, regulatorischen, selbstauferlegten oder vertraglichen Anforderungen sowie das Vorgehen des Anbieters zur Einhaltung dieser Anforderungen sind für jedes Informationssystem und die Organisation ausdrücklich bestimmt und dokumentiert und werden auf dem neuesten Stand gehalten.
Ja.
Es sind angemessene Verfahren umgesetzt, mit denen die Einhaltung gesetzlicher, regulatorischer und vertraglicher Anforderungen mit Bezug auf geistige Eigentumsrechte und der Verwendung von urheberrechtlich geschützten Softwareprodukten sichergestellt ist.
Ja.
Aufzeichnungen sind gemäß gesetzlichen, regulatorischen, vertraglichen und geschäftlichen Anforderungen vor Verlust, Zerstörung, Fälschung, unbefugtem Zugriff und unbefugter Veröffentlichung geschützt.
Ja.
Es muss sichergestellt werden, dass alle Daten/Informationen rund um den Cloud Nutzer (z.B. Metadaten) sicher beim Cloud Anbieter aufbewahrt werden.
Ja.
Die Privatsphäre und der Schutz von personenbezogener Information sind, soweit an-wendbar, entsprechend den Anforderungen der relevanten Gesetze und Vorschriften sichergestellt.
Ja.
Wenn personenbezogene Daten verarbeitet werden, müssen folgende Regelungen eingehalten werden:- Gewährleistung des Datenschutzes nach deutschem Recht - Vertragliche Verpflichtung des Cloud-Anbieters gemäß den LH Vorgaben zur Auftragsdatenverarbeitung- Speicherung und Verarbeitung der sensible personenbezogenen Daten nur innerhalb der Mitgliedsstaaten der EU oder eines Vertragsstaats des EWR (dazu zählt auch der Zugriff von Administratoren auf die Daten)- Transparenz über die Unterauftragnehmer- Kontrollrechte des Auftraggebers beim Auftragnehmer zur datenschutzkonformen Verarbeitung der personenbezogenen Daten.- Rechte der Betroffenen (Berichtigung, Löschung, Sperrung, Auskunft) müssen auch beim Cloud-Anbieter durchgesetzt werden können- Benennung des Datenschutzbeauftragten beim Cloud-Anbieter- Nachweis über Schulung der Mitarbeiter hinsichtlich Datenschutz und Datensicherheit- Vertragliche Regelung bei außereuropäischen Clouds müssen den EU Standard Contractual Clauses genau entsprechen- Auskunft über die Existenz verfahrensunabhängiger Plausibilitäts- und Sicherheitsprüfungen bei der Datenverarbeitung beim Cloud-Anbieter (z. B. interne Revision oder externe Stellen), sowie geeigneter (vertrauenswürdiger) ZertifikateBei der Verarbeitung personenbezogener Daten müssen Löschpflichten eingehalten werden. Die Löschung der Daten muss mit Löschnachweisen belegt werden. (vergl. DRL Bereiche mit besonders hohem Schutzbedarf). Hier ist immer der DSB mit einzubinden.
Ja.
Kryptographische Maßnahmen werden unter Einhaltung aller relevanten Vereinbarungen, Gesetze und Vorschriften angewandt.
Ja.
Die Vorgehensweise des Anbieters für die Handhabung der Informationssicherheit und deren Umsetzung (d. h. Maßnahmenziele, Maßnahmen, Richtlinien, Prozesse und Verfahren zur Informationssicherheit) werden auf unabhängige Weise in planmäßigen Abständen oder jeweils bei erheblichen Änderungen überprüft.
Ja.
Ist es dem Cloud Nutzer nicht möglich, eine Auditierung/Kontrolle der Informationssicherheit des Cloud Anbieters selbst durchzuführen, muss der Cloud Anbieter vor der Vertragsunterzeichnung und während der Vertragslaufzeit Nachweise einer ausreichenden Informationssicherheit von unabhängigen externen Stellen vorlegen.Der Cloud Anbieter untersteht gesetzlichen Vorschriften eines bestimmten Landes. NOGO z.B.:- sensible personenbezogene Daten außerhalb der EU- streng vertrauliche und geheime Daten außerhalb der EUNot ok z.B.:- personenbezogene Daten außerhalb der EUOk z.B.:- personenbezogene Daten innerhalb der EUNot relevant z.B.:- öffentlich zugängliche Daten (bspw. Speiseplan)
Ja.
Leitende Angestellte überprüfen regelmäßig die Einhaltung der jeweils anzuwendenden Sicherheitsrichtlinien, Standards und jeglicher sonstiger Sicherheitsanforderungen bei der Informationsverarbeitung und den Verfahren in ihrem Verantwortungsbereich.
Ja.
Informationssysteme müssen regelmäßig auf Übereinstimmung mit den Informationssicherheitsrichtlinien und -standards des Anbieters überprüft werden.
Ja.
Für geschäftskritische Anwendungen müssen jedes Jahr regelmäßige Penetrationstests geplant werden. Darüber hinaus müssen Penetrationstests nach jeder wesentlichen Aktualisierung oder Änderung der Anwendung durchgeführt werden (z. B. neue Anwendung, die der Umgebung hinzugefügt wurde, wichtige Funktionen, die einer Anwendung hinzugefügt wurden usw.). Zusätzlich müssen jährliche Pentests für Anwendungen mit Internetanschluss und hohem Schutzniveau durchgeführt werden.
Ja.
.png)
Laden Sie hier alles herunter, was Sie und Ihr Rechts-/Datenteam wissen müssen, um uns ebenfalls zu vertrauen. (und Ihr Leben einfacher und schneller machen, um diese Lösung zu bekommen)
