Datensicherheit auf höchstem Niveau

Wir verstehen euer Problem:Ihr würdet unsere Lösung gerne nutzen, aber Ihr wisst, dass durch die Prüfung der Datensicherheit sich alles verzögern könnte. Aber auch hier versuchen wir euch so gut es geht zu entlasten.

Unsere ISO 27001-Zertifizierung ist in Arbeit

In der Zwischenzeit könnt ihr euch gerne ansehen, was unser Standart ist, um sicherzustellen, dass eure Daten sicher sind und Ihr uns vertrauen könnt.

A.5.1.1 Informationssicherheitsrichtlinien
Beschreibung
Status
Fullfilled?

Die Informationsleitlinie des Cloud Anbieters muss berücksichten, dass Themen wie Segregation/ Segmentierung, Mandantentrennung, Virtualisierung und Zugriffskontrollprozeduren als ein wichtiger Bestandteil behandelt werden.

Die Benutzerdaten werden logisch auf einer Ebene des API-Zugriffs getrennt.

Ein blauer Haken, der zur Auflistung dient
A.6.1.1 Informationssicherheitsrollen und -verantwortlichkeiten
Beschreibung
Status
Fullfilled?

Der Cloud Anbieter muss eine interne Anlaufstelle für Belange der Informationssicherheit und/oder des Datenschutzes vertraglich zusichern.

Wir bieten einen umfassenden Kundenservice.

Ein blauer Haken, der zur Auflistung dient
A.6.1.3 Kontakt mit Behörden
Beschreibung
Status
Fullfilled?

Entsprechende Kontakte mit den zuständigen Behörden sind zu definieren.

Datenspeicherung, Verarbeitung und Hosting is in Deutschland/EU.

Ein blauer Haken, der zur Auflistung dient
A.6.1.3 Datenzugriff
Beschreibung
Status
Fullfilled?

Die Lokation der Daten ist offen zu legen und ggf. einzuschränken. Die Administratoren des Cloud-Dienst Anbieters haben Zugriff aus einem bestimmten Land.NOGO z.B.:
- sensible personenbezogene Daten außerhalb der EU
- streng vertrauliche und geheime Daten außerhalb der EUNot ok z.B.:
- personenbezogene Daten außerhalb der EUOk z.B.:- personenbezogene Daten innerhalb der EUNot relevant z.B.:- öffentlich zugängliche Daten (bspw. Speiseplan)

Datenspeicherung, Verarbeitung und Hosting is in Deutschland/EU.

Ein blauer Haken, der zur Auflistung dient
A.7.1.1 Sicherheitsüberprüfung
Beschreibung
Status
Fullfilled?

Alle Personen, die sich um eine Beschäftigung bewerben, werden einer Sicherheitsüberprüfung unterzogen, die im Einklang mit den relevanten Gesetzen, Vorschriften und ethischen Grundsätzen sowie in einem angemessenen Verhältnis zu den geschäftlichen Anforderungen, der Einstufung der einzuholenden Information und den wahrgenommenen Risiken ist.- sensible personenbezogene Daten außerhalb der EU
- streng vertrauliche und geheime Daten außerhalb der EUNot ok z.B.:
- personenbezogene Daten außerhalb der EUOk z.B.:- personenbezogene Daten innerhalb der EUNot relevant z.B.:- öffentlich zugängliche Daten (bspw. Speiseplan)

Wir führen keine spezielle Datenschutz- oder Sicherheitsüberprüfung durch, die über die reguläre Personalarbeit hinausgeht.

A.7.1.2 Beschäftigungs- und Vertragsbedingungen
Beschreibung
Status
Fullfilled?

In den vertraglichen Vereinbarungen mit Beschäftigten und Auftragnehmern sind deren Verantwortlichkeiten und diejenigen des Anbieters festzulegen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.7.2.1 Verantwortlichkeiten der Leitung
Beschreibung
Status
Fullfilled?

Die Leitung verlangt von allen Beschäftigten und Auftragnehmern, dass sie die Informationssicherheit im Einklang mit den eingeführten Richtlinien und Verfahren des Anbieters umsetzen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.7.2.2 Informationssicherheitsbewusstsein, -ausbildung und -schulung
Beschreibung
Status
Fullfilled?

Alle Auftragnehmer und deren Beschäftigte des Anbieters haben ein angemessenes Bewusstsein durch Ausbildung und Schulung sowie regelmäßige Aktualisierungen zu den Richtlinien und Verfahren des Unternehmens, die für ihr berufliches Arbeitsgebiet relevant sind.

Ja, diese Ausbildung ist Teil des Arbeitsvertrags, des Onboardings und der Schulung.

Ein blauer Haken, der zur Auflistung dient
A.7.2.2 Informationssicherheitsbewusstsein, -ausbildung und -schulung
Beschreibung
Status
Fullfilled?

Der Cloud Anbieter muss IT-Sicherheitsawarenessmaßnahmen für die Mitarbeiter bezüglich des Umgangs mit den Daten der Cloud Nutzern etc. anbieten. Mitarbeiter des Anbieters müssen verstehen, welche Konsequenzen und Auswirkungen ihr Handeln hat.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.7.2.3 Maßregelungsprozess
Beschreibung
Status
Fullfilled?

Ein formal festgelegter und bekanntgegebener Maßregelungsprozess ist einzurichten, um Maßnahmen gegen Beschäftigte zu ergreifen, die einen Informationssicherheitsverstoß begangen haben.

Ja, aber bisher mussten wir sie noch nicht anwenden.

Ein blauer Haken, der zur Auflistung dient
A.7.3.1 Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung
Beschreibung
Status
Fullfilled?

Verantwortlichkeiten und Pflichten im Bereich der Informationssicherheit, die auch nach Beendigung oder Änderung der Beschäftigung bestehen bleiben, sind festzulegen, dem Beschäftigten oder Auftragnehmer mitzuteilen und durchzusetzen.

Dies ist Teil der vertraglichen Arbeit eines jeden Mitarbeiters.

Ein blauer Haken, der zur Auflistung dient
A.8.1.1-3 Inventarisierung der Werte
Beschreibung
Status
Fullfilled?

Das Inventar der Assets ist mindestens nach dem Informationsklassifikationsschema des Anbieters zu klassifizieren.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.8.1.1-4 Inventarisierung der Werte
Beschreibung
Status
Fullfilled?

Service Level Agreements und Verträge für alle indirekten, von einem externen Anbieter verwalteten Assets enthalten die Vereinbarung, dass relevante Asset-Registerinformationen (einschließlich Attributen) bereitgestellt werden müssen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.8.1.2-1 Zuständigkeit für Werte
Beschreibung
Status
Fullfilled?

Für jedes Asset ist ein Asset Owner zu definieren.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.8.1.3 Zulässiger Gebrauch von Werten
Beschreibung
Status
Fullfilled?

"Regeln für den zulässigen Gebrauch von Information und Werten, die mit Information und informationsverarbeitenden Einrichtungen in Zusammenhang stehen, sind aufzustellen, zu dokumentieren und anzuwenden.
Der Anbieter bestätigt, dass eine eigene ""Acceptable Use Policy (Benutzungsrichtlinie"" angewendet wird und die Anforderungen der LH Group erfüllt werden."

In unseren AGBs definieren wir die zulässige Nutzung.

Ein blauer Haken, der zur Auflistung dient
A.8.1.4 Rückgabe von Werten
Beschreibung
Status
Fullfilled?

Alle Beschäftigten und sonstige Benutzer, die zu externen Parteien gehören, geben bei Beendigung des Beschäftigungsverhältnisses, des Vertrages oder der Vereinbarung sämtliche in ihrem Besitz befindlichen Werte, die der Organisation gehören, zurück. Der Anbieter bestätigt den Rückgrabeprozess von Assets an Verantwortlichen bei der LH Group.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.8.2.1 Klassifizierung von Information
Beschreibung
Status
Fullfilled?

Informationen sind anhand der gesetzlichen Anforderungen, ihres Wertes, ihrer Kritikalität und ihrer Empfindlichkeit gegenüber unbefugter Offenlegung oder Veränderung zu klassifizieren. Der Anbieter bestätigt, dass Regeln und Klassifizierungen bezüglich der Verwendung von Assets innerhalb der Organisation definiert und angewenden werden (laut ISO 27001 Standard).

Ja.

Ein blauer Haken, der zur Auflistung dient
A.8.2.2 Kennzeichnung von Information
Beschreibung
Status
Fullfilled?

In Übereinstimmung mit den Anbieter festgelegten Informationssklassifizierungsschema müssen vom Anbieter ein angemessener Satz von Verfahren zur Kennzeichnung von Informationen entwickelt und implementiert werden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.8.2.3 Handhabung von Werten
Beschreibung
Status
Fullfilled?

Verfahren für die Handhabung von Werten sind entsprechend dem von des Anbieters eingesetzten Informationsklassifizierungsschema vom Anbieter zu entwickeln und umzusetzen.

nicht zutreffend

A.8.3.1 Handhabung von Wechseldatenträgern
Beschreibung
Status
Fullfilled?

Verfahren für die Handhabung von Wechseldatenträgern sind entsprechend von der Anbieter eingesetzten Informationsklassifizierungsschema vom Anbieter zu entwickeln und umzusetzen.

Wir haben sie komplett verboten.

Ein blauer Haken, der zur Auflistung dient
A.8.3.2 Entsorgung von Datenträgern
Beschreibung
Status
Fullfilled?

Nicht mehr benötigte Datenträger sind sicher und unter Anwendung formaler Verfahren zu entsorgen.

Ja.

A.8.3.2 Entsorgung von Datenträgern
Beschreibung
Status
Fullfilled?

Sofern das Vertragsverhältnis mit dem Cloud Anbieter beendet wird, Speichermedien gewechselt oder auch auf Verlangen des Cloud Nutzers, müssen die Daten nach Datenübergabe vollständig und sicher gelöscht  werden. (vergl. DRL Aufbewahrung von Daten und sicheres Löschen von Datenträgern)
Hierbei darf nicht vergessen werden, dass Backups auch zu löschen sind.
(z.B. durch mehrfaches Überschreiben der Daten oder löschen des Verschlüsselungsschlüssels)

Backups von Anwendungsdaten werden nach 6 Monaten gelöscht.

Ein blauer Haken, der zur Auflistung dient
A.8.3.3 Transport von Datenträgern
Beschreibung
Status
Fullfilled?

Datenträger, die Information enthalten, sind während des Transports vor unbefugtem Zugriff, Missbrauch oder Verfälschung zu schützen.

nicht zutreffend

A.9.1.2-1 Zugang zu Netzwerken und Netzwerkdiensten
Beschreibung
Status
Fullfilled?

Die Art und Weise des Zugangs zu Netzwerken ist in einer Zugangssteuerungsrichtlinie festgelegt und stimmt mit anderen in diesem Dokument festgelegten Aspekten überein. Folgende Aspekte werden abgedeckt: Autorisierungsverfahren und Autorisierungsanforderungen zur Bestimmung der zulässigen Benutzer, Managementkontrollen und -maßnahmen zum Schutz des Netzwerks und seiner Dienste, Mittel für den Netzwerkzugang und deren Überwachung. Siehe auch A.13.1 bezüglich der Einhaltung dieser Maßnahme.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.9.1.2-2 Zugang zu Netzwerken und Netzwerkdiensten
Beschreibung
Status
Fullfilled?

Das Informationssystem implementiert eine Multifaktor-Authentisierung für den Netzwerkzugriff auf privilegierte Konten.

Teilweise erfüllt. Die Einführung dieser Funktion ist für Q1 22 vorgesehen.

A.9.2 Benutzerzugangssverwaltung
Beschreibung
Status
Fullfilled?

Der Cloud Anbieter muss Vorgaben/Prozesse implementiert haben, wie bei einer Kompromittierung der Zugangsverwaltung vorzugehen ist, bspw. bei der unberechtigten Kenntnisnahme von Zugangsdaten durch Dritte.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.9.2.1-1 Registrierung und Deregistrierung von Benutzern
Beschreibung
Status
Fullfilled?

Um die Einhaltung der Access Control Vorgaben sicherzustellen, ist ein formales Verfahren zur Erstellung und Löschung digitaler Benutzer-Ids zu implementieren.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.9.2.1-2 Registrierung und Deregistrierung von Benutzern
Beschreibung
Status
Fullfilled?

Benutzer sind durch eine zentrale Identitätsverwaltungssystem innerhalb des Anbieters eindeutig repräsentiert und identifiziert. Die Benutzer-ID hat einen eindeutigen Bezug zur Akte des Mitarbeiters im HR-System.

Angenommen, die E-Mail gilt als 'eindeutiger Bezug'.

Ein blauer Haken, der zur Auflistung dient
A.9.2.1-3 Registrierung und Deregistrierung von Benutzern
Beschreibung
Status
Fullfilled?

Gruppenkonten sind nicht erlaubt, es sei denn, der zugreifende Benutzer kann eindeutig identifiziert werden.

Sie sind verboten.

Ein blauer Haken, der zur Auflistung dient
A.9.2.1-4 Registrierung und Deregistrierung von Benutzern
Beschreibung
Status
Fullfilled?

Benutzer-IDs von Benutzern, die aus dem Unternehmen des Anbieters ausgeschieden sind, werden umgehend deaktiviert oder entfernt.

Die Daten alter Nutzer werden nach 28 Tagen automatisch gelöscht.

Ein blauer Haken, der zur Auflistung dient
A.9.2.2-1 Zuteilung von Benutzerzugängen
Beschreibung
Status
Fullfilled?

Es ist ein Zuteilungsprozess zu implementieren, der sicherstellt, dass Benutzerzugang, Einschränkung und Entzug kontrolliert und gepflegt werden können.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.9.2.2-2 Zuteilung von Benutzerzugängen
Beschreibung
Status
Fullfilled?

Alle Änderungen der Zugriffsrechte der Mitarbeiter müssen gehemigt werden. Dieser Prozess muss mit der Access Control Richtlinie übereinstimmen.

Sie sind verboten.

Ein blauer Haken, der zur Auflistung dient
A.9.2.3 Verwaltung privilegierter Zugangsrechte
Beschreibung
Status
Fullfilled?

Der Cloud Anbieter muss sicherstellen, dass privilegierte Zugriffe nur über eine Zwei-Faktor-Authentifizierung erfolgen kann.Der Cloud Anbieter muss sicherstellen können, dass die Administratoren auf die Komponenten der Infrastruktur nur bei Genehmigung oder gar nicht zugreifen. Es kann bspw. vorkommen, dass Hypervisoren für Aktualisierungen einfach neu aufgesetzt werden und der Workload migriert wird.

Teilweise erfüllt. Auch hier erfolgt die Einführung des 2-Faktors in Q1'22

A.9.2.3-1 Verwaltung privilegierter Zugangsrechte
Beschreibung
Status
Fullfilled?

Administratoren und Benutzer mit umfangreicheren Rechten zu dokumentieren, zu überprüfen und laufend zu kontrollieren.

Ein blauer Haken, der zur Auflistung dient
A.9.2.3-2 Verwaltung privilegierter Zugangsrechte
Beschreibung
Status
Fullfilled?

In Übereinstimmung mit der Zugangssteuerungsrichtlinie werden privilegierte Zugriffsrechte Benutzern auf Einzelfallbasis oder streng nach einer offiziellen Aufgabenbeschreibung zugewiesen, die solche privilegierten Zugriffsrechte erfordert.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.9.2.4-1 Verwaltung geheimer Authentisierungsinformation von Benutzern
Beschreibung
Status
Fullfilled?

Die Übertragung von Authentisierungsinformationen an den Benutzer muss auf sichere Weise erfolgen der Empfang ist zu bestätigen. Dieser Prozess ist zu protokollieren.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.9.2.5 Überprüfung von Benutzerzugangsrechten
Beschreibung
Status
Fullfilled?

Der Cloud Anbieter muss sicherstellen, dass administrative Zugriffsrechte mindestens einmal im Jahr überprüft werden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.9.2.5-1 Überprüfung von Benutzerzugangsrechten
Beschreibung
Status
Fullfilled?

Die Zugangsrechte sind in regelmäßigen Abständen mindestens einmal jährlich zu überprüfen. Dabei ist auch zu prüfen, ob die den Benutzern zugewiesenen Rechte noch korrekt und erforderlich sind, und ob der Zugang für Personen, die nicht mehr beschäftigt sind oder für die den Zugang betreffende Abteilung arbeiten, entzogen oder angepasst werden müssen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.9.2.6 Entzug oder Anpassung von Zugangsrechten
Beschreibung
Status
Fullfilled?

Die Zugangsrechte aller Beschäftigten und Benutzer, die zu externen Parteien gehören, auf Informationen und informationsverarbeitende Einrichtungen sind bei Beendigung des Beschäftigungsverhältnisses, des Vertrages oder der Vereinbarung zu entziehen oder bei einer Änderung anzupassen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.9.3.1-1 Gebrauch geheimer Authentisierungsinformation
Beschreibung
Status
Fullfilled?

Wenn Kennwörter als geheime Authentisierungsinformationen verwendet werden, wird den Benutzern empfohlen, starke Kennwörter zu wählen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.9.4.1 Informationszugangssbeschränkung
Beschreibung
Status
Fullfilled?

Der Cloud Anbieter muss sicherstellen, dass Regeln zur physikalischen und logischen Segmentierung der IT-Komponenten, Richtlinien zur Zugangs- und Zugriffskontrolle, Benutzermanagement, Zugriffseinschränkung zum Hypervisormanagement, Zugriffseinschränkung zu administrativen Konsolen (der Hypervisoren, Storage-Systemen, Netzwerk-Komponenten, ...) existieren.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.9.4.1-1 Informationszugangssbeschränkung
Beschreibung
Status
Fullfilled?

Zugangsbeschränkungen basieren auf den Anforderungen einzelner Geschäftsanwendungen und erfolgen in Übereinstimmung mit der festgelegten Zugangssteuerungsrichtlinie.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.9.4.2 Sichere Anmeldeverfahren
Beschreibung
Status
Fullfilled?

Soweit es die Zugangssteuerungsrichtlinie erfordert, wird der Zugang zu Systemen und Anwendungen durch ein sicheres Anmeldeverfahren gesteuert.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.9.4.3 System zur Verwaltung von Kennwörtern
Beschreibung
Status
Fullfilled?

Der Cloud Anbieter muss sicherstellen, dass das Passwortmanagement dem aktuellen Stand der Technik entspricht. Verschlüsselte Ablage der Passwörter, Auswahl starker Passwörter, Kennwortablauf- und änderungsverfahren, Verwendung von Einmalpasswörtern, Zurücksetzen von Passwörtern, sichere Übermittlung von Passwörtern, Geeignete Auswahl von Authentikationsmechanismen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.9.4.3-1 System zur Verwaltung von Kennwörtern
Beschreibung
Status
Fullfilled?

Alle Systeme, die sich mit der Kennwortverwaltung befassen, halten sich an die Zugangs- und Kennwortregeln und setzen diese durch.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.9.4.3-2 System zur Verwaltung von Kennwörtern
Beschreibung
Status
Fullfilled?

Es ist eine Kennwortauswahl mit Kennwörtern einer bestimmten Mindeststärke und Mindestkomplexität gemäß den Best Practices der Branche umzusetzen.

Teilweise erfüllt. Nicht durchgesetzt, aber möglich. Kann bei Bedarf umgesetzt werden.

A.9.4.4 Gebrauch von Hilfsprogrammen mit privilegierten Rechten
Beschreibung
Status
Fullfilled?

Der Gebrauch von Hilfsprogrammen, die fähig sein könnten, System- und Anwendungsschutzmaßnahmen zu umgehen, ist einzuschränken und streng zu überwachen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.9.4.5 Zugangssteuerung für Quellcode von Programmen
Beschreibung
Status
Fullfilled?

Der Zugang zu Quellcode von Programmen ist einzuschränken.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.10.1.1 Richtlinie zum Gebrauch von kryptographischen Maßnahmen
Beschreibung
Status
Fullfilled?

Eine Richtlinie für den Gebrauch von kryptographischen Maßnahmen zum Schutz von Information ist zu entwickeln und umzusetzen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.10.1.1 Richtlinie zum Gebrauch von kryptographischen Maßnahmen
Beschreibung
Status
Fullfilled?

Der Cloud-Dienst Anbieter muss offenlegen, wo eine Verschlüsselung zum Schutz der Daten eingesetzt wird.Daten mit sehr hohen Vertraulichkeitsanforderungen müssen immer verschlüsselt in der Cloud gespeichert werden (Data at Rest). Es muss von Fall zu Fall entschieden werden, auf welcher Ebene die Verschlüsselung stattfinden muss (Storage, OS, DB, Applikation).Virtuelle Betriebssystem-Images müssen in einem ruhenden / inaktiven Zustand gespeichert werden, wenn sie sensible Daten tragen. Ebenfalls sind diese zu verschlüsseln und die Integrität zu schützen. Der Datentransfer (Data in Transit) muss immer stark verschlüsselt erfolgen.Der Datentransport innerhalb der Cloud-Umgebung muss stark verschlüsselt sein, wenn die Daten hochsensibel sind.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.10.1.2 Schlüsselverwaltung
Beschreibung
Status
Fullfilled?

Eine Richtlinie zum Gebrauch, zum Schutz und zur Lebensdauer von kryptographischen Schlüsseln ist zu entwickeln und ist über deren gesamten Lebenszyklus umzusetzen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.11.1.1 Physischer Sicherheitsperimeter
Beschreibung
Status
Fullfilled?

Zum Schutz von Bereichen, in denen sich entweder sensible oder kritische Information oder informationsverarbeitende Einrichtungen befinden, sind Sicherheitsperimeter festzulegen und anzuwenden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.11.1.2 Physische Zutrittssteuerung
Beschreibung
Status
Fullfilled?

Sicherheitsbereiche sind durch eine angemessene Zutrittssteuerung zu schützen, um sicherzustellen, dass nur berechtigtes Personal Zugang hat. Der Anbieter bestätigt, geeignete Zugangskontrollen für Einrichtungen zu verwenden, um den physischen Zugang zu den Systemen einzuschränken und zu überwachen. Der Zugang muss mit Ausweislesern oder anderen Vorrichtungen, einschließlich autorisierter Ausweise und Schlüssel kontrolliert werden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.11.1.3 Sichern von Büros, Räumen und Einrichtungen
Beschreibung
Status
Fullfilled?

Die physische Sicherheit für Büros, Räume und Einrichtungen ist konzipiert und wird angewendet. Der Anbieter bestätigt, den physischen Zugang des Personals vor Ort zu den sensiblen Bereichen wie folgt zu kontrollieren:- Der Zugang muss autorisiert erfolgen und auf den individuellen Arbeitsaufgaben basieren. - Der Zugriff wird sofort nach Beendigung widerrufen und alle physischen Zugriffsmethoden müssen zurückgegeben werden

Ja.

Ein blauer Haken, der zur Auflistung dient
A.11.1.4 Schutz vor externen und umweltbedingten Bedrohungen
Beschreibung
Status
Fullfilled?

Physischer Schutz vor Naturkatastrophen, bösartigen Angriffen oder Unfällen ist zu kozipieren und anzuwenden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.11.1.5 Arbeiten in Sicherheitsbereichen
Beschreibung
Status
Fullfilled?

Verfahren für das Arbeiten in Sicherheitsbereichen sind zu konzipieren und anzuwenden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.11.1.6 Anlieferungs- und Ladebereiche
Beschreibung
Status
Fullfilled?

Zutrittsstellen wie Anlieferungs- und Ladebereiche sowie andere Stellen, über die unbefugte Personen die Räumlichkeiten betreten könnten, sind zu überwachen und sind, falls möglich, von informationsverarbeitenden Einrichtungen getrennt, um unbefugten Zutritt zu verhindern.

Nicht anwendbar

A.11.2.1-1 Platzierung und Schutz von Geräten und Betriebsmitteln
Beschreibung
Status
Fullfilled?

Es sind Maßnahmen zur Minimierung des Risikos möglicher physischer und ökologischer Bedrohungen einzuführen, z.B. Diebstahl, Feuer, Sprengstoffe, Rauch, Wasser (oder Ausfall der Wasserversorgung), Staub, Vibrationen, chemische Auswirkungen, Störungen der Stromversorgung, Kommunikationsstörungen, elektromagnetische Strahlung und Vandalismus.

Ja.

Ein blauer Haken, der zur Auflistung dient
CoPiP.11.2.1-1 Platzierung und Schutz von Geräten und Betriebsmitteln
Beschreibung
Status
Fullfilled?

Geräte und Betriebsmittel, die in öffentlich zugänglichen Bereichen eingesetzt werden, sind vor unbefugtem Zugriff zu schützen, z.B. mit festen und abschließbaren Gehäusen für PCs, physischem und/oder logischem Schutz von Netzwerksteckdosen usw.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.11.2.2 Versorgungseinrichtungen
Beschreibung
Status
Fullfilled?

Geräte und Betriebsmittel sind vor Stromausfällen und anderen Störungen, die durch Ausfälle von Versorgungseinrichtungen verursacht werden, zu schützen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.11.2.3 Sicherheit der Verkabelung
Beschreibung
Status
Fullfilled?

Strom- und Telekommunikationsverkabelung, die Daten trägt oder Informationsdienste unterstützt, sind vor Unterbrechung, Störung oder Beschädigung zu schützen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.11.2.4 Instandhalten von Geräten und Betriebsmitteln
Beschreibung
Status
Fullfilled?

Geräte und Betriebsmittel sind Instand zu halten, um ihre fortgesetzte Verfügbarkeit und Integrität sicherzustellen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.11.2.5 Entfernen von Werten
Beschreibung
Status
Fullfilled?

Geräte, Betriebsmittel, Informationen oder Software werden nicht ohne vorherige Genehmigung vom Betriebsgelände entfernt.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.11.2.6 Sicherheit von Geräten, Betriebsmitteln und Werten außerhalb der Räumlichkeiten
Beschreibung
Status
Fullfilled?

Assets außerhalb des Standorts des Anbieters sind zu sichern, um die verschiedenen Risiken beim Betrieb zu berücksichtigen.Achtung: hierbei geht es um Auftragsnehmer des Anbieters (Subunternehmen).

Ja.

Ein blauer Haken, der zur Auflistung dient
A.11.2.7 Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln
Beschreibung
Status
Fullfilled?

Alle Arten von Geräten und Betriebsmitteln, die Datenträger enthalten, sind zu überprüfen, um sicherzustellen, dass jegliche sensiblen Daten und lizenzierte Software vor ihrer Entsorgung oder Wiederverwendung entfernt oder sicher überschrieben worden sind.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.11.2.8 Unbeaufsichtigte Benutzergeräte
Beschreibung
Status
Fullfilled?

Benutzer haben sicherzustellen, dass unbeaufsichtigte Geräte und Betriebsmittel angemessen geschützt sind.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.11.2.9 Richtlinie für eine aufgeräumte Arbeitsumgebung und Bildschirmsperren
Beschreibung
Status
Fullfilled?

Richtlinien für eine aufgeräumte Arbeitsumgebung hinsichtlich Unterlagen und Wechseldatenträgern und für Bildschirmsperren für informationsverarbeitende Einrichtungen sind anzuwenden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.1.1-1 Dokumentierte Bedienabläufe
Beschreibung
Status
Fullfilled?

Es ist sicherzustellen, dass die Bedienabläufe für die Verwaltung aller produktiv genutzten Assets dokumentiert, verwendet und allen betroffenen Parteien bekannt sind.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.1.2 Änderungssteuerung
Beschreibung
Status
Fullfilled?

Es muss zwischen Cloud Nutzer und Cloud Anbieter geregelt werden, wer wie bei Changes im Cloud Umfeld benachrichtigt wird, wenn der genutzte Cloud Dienst betroffen ist. Diese Information muss folgendes umfassen:Changekategorie, Zeitangabe, technische Beschreibung, Information zu Beginn und Ende des Changes

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.1.2-1 Änderungssteuerung
Beschreibung
Status
Fullfilled?

Änderungen an allen produktiv genutzten IT-Assets, die die Informationssicherheit betreffen, werden über einen formalen Änderungssteuerungsprozess gesteuert. Alle Änderungen im Anbieter folgen einem formalen Genehmigungsverfahren und werden vorab aufgezeichnet und getestet. Es werden Fall-Back-Methoden zur Wiederherstellung des Anbieters in ihren Ursprungszustand implementiert.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.1.3-1 Kapazitätssteuerung
Beschreibung
Status
Fullfilled?

Die Kapazität der Systeme wird so geregelt, dass keine Informationen verloren gehen. Es werden Maßnahmen zur Kapazitätserweiterung ergriffen, wenn die Gefahr eines Informationsverlustes besteht.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.1.4-1 Trennung von Entwicklungs-, Test- und Betriebsumgebungen
Beschreibung
Status
Fullfilled?

Entwicklungs-, Test- und Betriebssysteme sind voneinander getrennt, damit die Aktivitäten der Systeme im Betrieb nicht gefährdet werden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.1.4-2 Trennung von Entwicklungs-, Test- und Betriebsumgebungen
Beschreibung
Status
Fullfilled?

Getrennte Umgebungen werden mit physikalischen oder logischen Mitteln erreicht. Wenn keine physisch getrennten Testumgebungen verwendet werden, bestimmt (und dokumentiert) der Anbieter die Stärke des Mechanismus, der für die Umsetzung der logischen Trennung erforderlich ist (z.B. Trennung durch virtuelle Maschinen).

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.1.4-3 Trennung von Entwicklungs-, Test- und Betriebsumgebungen
Beschreibung
Status
Fullfilled?

Entwicklungssysteme und Systeme im Betrieb sind voneinander zutrennen, so dass keine vertraulichen oder persönlichen Kennungen übertragen werden können.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.2.1-1 Maßnahmen gegen Schadsoftware
Beschreibung
Status
Fullfilled?

Regelmäßige Durchführung von Scans auf Malware, die Folgendes beinhalten: 1) Scan sämtlicher über Netzwerke oder Datenträger empfangener Dateien auf Malware vor der Verwendung 2) Scan von E-Mail-Anhängen und Downloads auf Malware; dieser Scan wird an verschiedenen Stellen durchgeführt, z.B. an E-Mail-Servern, Desktop-Computern und beim Zugang zum Netzwerk des Anbieters; 3) Scan von Webseiten auf Malware

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.2.1-2 Maßnahmen gegen Schadsoftware
Beschreibung
Status
Fullfilled?

Sicherstellen, dass Anti-Malware-Software und -Signaturen stets auf dem neuesten Stand sind und getestet werden.Antivirus-Maßnahmen müssen aktiviert bleiben und dürfen nicht von einem Benutzer deaktiviert oder geändert werden, solange diese Maßnahmen für einen bestimmten Zeitraum nicht vom Management genehmigt wurden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.2.1-3 Maßnahmen gegen Schadsoftware
Beschreibung
Status
Fullfilled?

Es werden Maßnahmen festgelegt und umgesetzt, um die Verwendung nicht autorisierter Software und bösartiger Websites zu erkennen und zu verhindern.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.3.1 Sicherung von Information
Beschreibung
Status
Fullfilled?

Sicherheitskopien von Informationen, Software und Systemabbildern werden entsprechend einer vereinbarten Sicherungsrichtlinie angefertigt und regelmäßig getestet.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.3.1 Sicherung von Information
Beschreibung
Status
Fullfilled?

Der Cloud Anbieter muss Backup Spezifikationen offen legen, damit der Cloud Nutzer (LH Group) entscheiden kann, welches Verfahren genutzt werden soll. Dazu sind die folgenden Informationen wichtig:Scope und Zeitplan der Backups, Backup Methoden und Datenformate, Verschlüsselung, Aufbewahrungszeit, Integritätsmaßnahmen, Prozeduren zum Testen und Durchführen von Recoveries, Backupaufbewahrungsort, Zugriff auf die Backup-Daten.Die Sicherungsmechanismen /Backup-Mechanismen müssen regelmäßig auf ihre Funktionalität überprüft werden. Der Zugriff auf die gesicherten Daten darf nur durch autorisiertes Personal erfolgen.Die Wiederherstellungsverfahren müssen Kontrollen umfassen, um sicherzustellen, dass Wiederherstellungen nur nach Genehmigung durch autorisiertes Personal gemäß den vertraglichen Vereinbarungen erfolgen.Wiederherstellungstests müssen regelmäßig durchgeführt werden. Die Ergebnisse der Wiederherstellungstests müssen dem Cloud-Nutzer (LH Group) auf Anfrage zur Verfügung gestellt werden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.4.1 Ereignisprotokollierung
Beschreibung
Status
Fullfilled?

Der Cloud Anbieter muss Protokollierungsmechanismen anbieten.Um unerwartete und auffällige Ereignisse und Störungen auf einem Cloud-Dienst erkennen zu können, muss immer unabhängig vom Schutzbedarf eine Protokollierung  vergleichbar mit dem Informationssicherheitsstandard Networks eingerichtet werden.Protokolle dürfen nur über einen vertrauenswürdigen Pfad an den zentralen Protokollserver übertragen werden.Die Sammlung und Benutzung von Metadaten darf ausschließlich zu Abrechnungszwecken, Beheben von Störungen und Fehlern sowie zum Bearbeiten von Sicherheitsvorfällen genutzt werden.Beim Aufbewahren von Metadaten sind Aufbewahrungsfristen zu prüfen und einzuhalten.Der Cloud Anbieter muss eine Liste aller protokollierungs- und überwachungskritischen Assets führen und diese regelmäßig auf Aktualität und Korrektheit prüfen. Der Zugriff und die Verwaltung der Protokollierungsfunktionalitäten erfordert eine Multi-Faktor-Authentifizierung abhängig vom Schutzbedarf und der Exponiertheit der Daten.Die Verfügbarkeit der Protokollierungs- und Überwachungssoftware wird unabhängig überwacht. Bei einem Ausfall der Protokollierungs- und Überwachungssoftware werden die verantwortlichen Mitarbeiter umgehend informiert.

Teilweise erfüllt. Wir bieten nicht mehrere verschiedene Mechanismen zur Protokollierung an, die über unseren internen Standard hinausgehen.

A.12.4.1-1 Ereignisprotokollierung
Beschreibung
Status
Fullfilled?

Audit Logging ist aktiviert, um sicherzustellen, dass alle Aktivitäten, die Auswirkungen auf die Systeme haben, nachvollziehbar protokolliert werden und alle Aktionen den ursprünglichen Benutzern zugeordnet werden können.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.4.2 Schutz der Protokollinformation
Beschreibung
Status
Fullfilled?

Protokollierungseinrichtungen und Protokollinformation sind vor Manipulation und unbefugtem Zugriff zu schützen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.4.3-1 Administratoren- und Bedienerprotokolle
Beschreibung
Status
Fullfilled?

Alle privilegierten Benutzeraktivitäten werden protokolliert, aufbewahrt, geschützt und regelmäßig mindestens einmal jährlich überprüft.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.4.3-1 Administratoren- und Bedienerprotokolle
Beschreibung
Status
Fullfilled?

Wenn Änderungen an einem Cloud Dienst vorgenommen werden (Self-Service Portal), müssen diese geloggt werden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.4.4 Uhrensynchronisation
Beschreibung
Status
Fullfilled?

Zeitsynchronisation: Es ist zu regeln, wie die Zeitsynchronisation implementiert wird. Ist ein Zeitserver in der Cloud-Lösung nutzbar oder wird ein anderer Zeitserver genutzt.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.4.4-1 Uhrensynchronisation
Beschreibung
Status
Fullfilled?

Die Uhren aller relevanten informationsverarbeitenden Systeme beziehen die Zeit regelmäßig aus synchronisierten Zeitquellen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.5.1 Installation von Software auf Systemen im Betrieb
Beschreibung
Status
Fullfilled?

Verfahren zur Steuerung der Installation von Software auf Systemen im Betrieb sind umzusetzen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.6.1 Handhabung von technischen Schwachstellen
Beschreibung
Status
Fullfilled?

Es ist ein Augenmerk darauf zu legen, wie sichergestellt wird, dass Hypervisorbreakout Schwachstellen entsprechend addressiert werden. Der Cloud Anbieter muss ein Penetrationstestergebnis vorlegen können.Es muss geprüft werden, dass die Systemkomponenten nach dem aktuellen Stand der Technik (Best practices) gehärtet werden und es einen regelmäßigen Härtungs-Compliance-Check gibt, der diese Härtung prüft und Abweichungen zeitnah behebt.Es muss sichergestellt werden, dass die Systemkomponenten einem Lifecyclemanagement unterliegen und regelmäßig auf Aktualität überprüft werden.Es muss sichergestellt sein, dass der CSP (Cloud Service Provider) selbstentwickelte Software einem sicheren Softwareentwicklungsprozess unterstellt. (vergl. Informationssicherheitsstandard Secure Development)

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.6.1-1 Handhabung von technischen Schwachstellen
Beschreibung
Status
Fullfilled?

Für Software und andere Technologien sind Informationsressourcen festzulegen, die verwendet werden, um relevante technische Schwachstellen zu identifizieren und das Bewusstsein dafür aufrechtzuerhalten.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.6.1-2 Handhabung von technischen Schwachstellen
Beschreibung
Status
Fullfilled?

Alle Systeme (unabhängig davon ob der Zugriff aus dem Intranet oder direkt über das Internet erfolgt) werden unabhängig von der Gefährdung und Schutzstufe monatlich überprüft.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.6.1-3 Handhabung von technischen Schwachstellen
Beschreibung
Status
Fullfilled?

Bekannte Schwachstellen müssen alle drei Monate untersucht und Maßnahmen zur Risikominderung umgesetzt werden. Solche Maßnahmen müssen das Patchen oder Anwenden anderer Kontrollen beinhalten.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.6.1-4 Handhabung von technischen Schwachstellen
Beschreibung
Status
Fullfilled?

Je nach Typ der IT-Komponenten müssen Sicherheit-Patches unabhängig von deren Kritikalität innerhalb des vom Hersteller veröffentlichten Mindestpatch-Intervalls installiert werden. Kritische Patches müssen sofort installiert werden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.6.2 Einschränkung von Softwareinstallation
Beschreibung
Status
Fullfilled?

Regeln für die Softwareinstallation durch Benutzer sind festzulegen und umzusetzen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.12.7.1 Maßnahmen für Audits von Informationssystemen
Beschreibung
Status
Fullfilled?

Auditanforderungen und -tätigkeiten, die eine Überprüfung betrieblicher Systeme beinhalten, sind sorgfältig zu planen und zu vereinbaren, um Störungen der Geschäftsprozesse zu minimieren.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.13.1.1-1 Netzwerksteuerungsmaßnahmen
Beschreibung
Status
Fullfilled?

Die Verantwortlichkeiten für die Verwaltung von Netzwerkausrüstung und Netzwerken sind festzulegen und zu dokumentieren.

Ich gehe davon aus, dass sich diese Fragen auf unsere internen Systeme beziehen, andernfalls sind sie nicht zutreffend.

Ein blauer Haken, der zur Auflistung dient
A.13.1.1-2 Netzwerksteuerungsmaßnahmen
Beschreibung
Status
Fullfilled?

Die Verfahren für die Verwaltung von Netzwerkausrüstung und Netzwerken sind festzulegen und zu dokumentieren.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.13.1.1-3 Netzwerksteuerungsmaßnahmen
Beschreibung
Status
Fullfilled?

Um die Kohärenz bei der Konfiguration und Sicherheit des Netzwerks des Anbieters zu gewährleisten, werden Standards für die Konfiguration von Firewalls und Routern festgelegt.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.13.1.1-5 Netzwerksteuerungsmaßnahmen
Beschreibung
Status
Fullfilled?

Ein- und ausgehende Verbindungen am Übergang zwischen dem Netzwerk des Anbieters und anderen Netzwerken sind über verwaltete Gateways aufzubauen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.13.1.1-9 Netzwerksteuerungsmaßnahmen
Beschreibung
Status
Fullfilled?

Es sind netzwerkbasierten Security Services bereitzustellen, um nach ungewöhnlichen Angriffsmechanismen zu suchen, Kompromittierungen bei diesen Systemen zu erkennen und bösartigen Netzwerkverkehr an jeder Netzwerkgrenze des Anbieters zu blockieren: Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS), Systeme zur Verhinderung von Denial-of-Service-Angriffen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.13.1.2-1 Sicherheit von Netzwerkdiensten
Beschreibung
Status
Fullfilled?

Die Fähigkeit des Netzbetreibers, vereinbarte Dienste auf sichere Weise zu verwalten, wird ermittelt und regelmäßig überwacht. Die für die Sicherheitsmerkmale, Dienstgüte und Verwaltungsanforderungen erforderlichen Sicherheitsvorkehrungen werden ermittelt. Der Anbieter stellt sicher, dass die Netzbetreiber diese Maßnahmen umsetzen. Einhaltung der Maßnahmen der Richtlinie in A.15 Lieferantenbeziehungen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.13.1.2-2 Sicherheit von Netzwerkdiensten
Beschreibung
Status
Fullfilled?

Verwaltung aller Netzwerkgeräte mit Authentisierung (mit Multifaktor für hohen/sehr hohen Schutzbedarf und mindestens mit Kennwort für mittleren Schutzbedarf) und verschlüsselten Sessions. Der Zugang erfolgt in Übereinstimmung mit der geltenden Zugangssteuerungs- und Kennwortrichtlinie erfolgen. Die Verschlüsselung der Verbindung entspricht der geltenden Kryptographierichtlinie.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.13.1.3 Trennung in Netzwerken
Beschreibung
Status
Fullfilled?

Informationsdienste, Benutzer und Informationssystemesind in Netzwerken gruppenweise voneinander getrennt zu halten.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.13.1.3 Trennung in Netzwerken
Beschreibung
Status
Fullfilled?

Es muss überprüft werden, ob Kunden auf Netzwerkebene voneinander isoliert sind. Zum Beispiel durch VLAN-Tagging.Es muss überprüft werden, ob die Daten auf Speicherebene isoliert sind. Zum Beispiel durch LUN-Mapping oder die Verwendung von dediziertem Speicher. Wenn gemeinsam genutzte Speicher verwendet werden, müssen risikomindernde Maßnahmen wie die verschlüsselte Datenspeicherung in Betracht gezogen werden. Bei gemeinsam genutztem Speicher können Leistungseinschränkungen auftreten.Es muss überprüft werden, ob die Daten auf Datenbankebene isoliert sind. Dies kann über verschiedene Schemas, Instanzen oder verschiedene Berechtigungen und Ansichten implementiert werden.Es muss überprüft werden, ob die Daten auf Anwendungsebene isoliert sind. Dies kann durch Implementieren eines Autorisierungs- und Rollenkonzepts, Trennen von Sitzungs-IDs, Verschlüsselung usw. erfolgen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.13.2.1-1 Richtlinien und Verfahren zur Informationsübertragung
Beschreibung
Status
Fullfilled?

Der Austausch von Geschäftsinformationen, unabhängig vom Medium (z.B. Papier, elektronisch, mündlich, etc.), folgt ordnungsgemäßen und festgelegten Sicherheitsverfahren unter Einhaltung der Informationsklassifizierung (A.8.2.1).

Ja.

Ein blauer Haken, der zur Auflistung dient
A.13.2.1-2 Richtlinien und Verfahren zur Informationsübertragung
Beschreibung
Status
Fullfilled?

Informationssysteme müssen die Vertraulichkeit und Integrität der übertragenen Informationen schützen. Diese Maßnahme gilt sowohl für interne und externe Netzwerke als auch für alle Arten von Komponenten des Informationssystems, aus denen Informationen übertragen werden können.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.13.2.1-3 Richtlinien und Verfahren zur Informationsübertragung
Beschreibung
Status
Fullfilled?

Es werden kryptographische Mechanismen implementiert, um die unbefugte Offenlegung von Informationen zu verhindern und Änderungen an Informationen während der Übertragung, während der Vorbereitung auf die Übertragung und während des Empfangs zu erkennen, sofern nicht anderweitig durch von der LH Group festgelegte alternative physische Sicherheitsvorkehrungen ein Schutz erfolgt.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.13.2.1-4 Richtlinien und Verfahren zur Informationsübertragung
Beschreibung
Status
Fullfilled?

Es sind ausschließlich starke Kryptographie- und Sicherheitsprotokolle, die der geltenden Kryptographierichtlinie entsprechen zu verwenden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.13.2.2 Vereinbarungen zur Informationsübertragung
Beschreibung
Status
Fullfilled?

Vereinbarungen müssen die sichere Übertragung von Geschäftsinformation zwischen den Anbieter und externen Parteien beinhalten.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.13.2.3-1 Elektronische Nachrichtenübermittlung
Beschreibung
Status
Fullfilled?

Schutz elektronischer Nachrichten vor unbefugtem Zugriff, unbefugter Änderung oder Denial-of-Service-Angriffen; Einhaltung der Maßnahmen in A.13.2.1.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.13.2.4 Vertraulichkeits- oder Geheimhaltungsvereinbarungen
Beschreibung
Status
Fullfilled?

Eine Vereinbarung über die Anforderungen an die Vertraulichkeit und Geheimhaltung, die die Anforderungen der LH Group hinsichtlich des Schutzes von Informationen widerspiegeln, muss vom Dienstleister unterzeichnet werden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.14.1.1 Analyse und Spezifikation von Informationssicherheitsanforderungen
Beschreibung
Status
Fullfilled?

Die Anforderungen, die sich auf Informationssicherheit beziehen, sind in die Anforderungen an neue Informationssysteme oder die Verbesserungen bestehender Informationssysteme aufzunehmen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.14.1.2-1 Sicherung von Anwendungsdiensten in öffentlichen Netzwerken
Beschreibung
Status
Fullfilled?

Anwendungsdienste, die über öffentliche Netzwerke laufen, halten die Kryptographierichtlinie ein und implementieren kryptografische Mechanismen, um die unbefugte Offenlegung von Informationen zu verhindern und Änderungen an Informationen während der Übertragung zu erkennen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.14.1.2-2 Sicherung von Anwendungsdiensten in öffentlichen Netzwerken
Beschreibung
Status
Fullfilled?

Anwendungsdienste, die über öffentliche Netze laufen, beinhalten Authentisierungs- und Autorisierungsprozesse für Partner und Kunden, die den Vorgaben der Zugangssteuerungsrichtlinie entsprechen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.14.1.3-1 Schutz der Transaktionen bei Anwendungsdiensten
Beschreibung
Status
Fullfilled?

Transaktionen im Rahmen von Anwendungsdiensten wahren die Vertraulichkeit und Integrität der Informationen bei der Vorbereitung der Übertragung und beim Empfang.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.14.1.3-2 Schutz der Transaktionen bei Anwendungsdiensten
Beschreibung
Status
Fullfilled?

Das Informationssystem implementiert kryptografische Mechanismen, um die unbefugte Offenlegung von Informationen zu verhindern und Änderungen an Informationen während der Übertragung zu erkennen – sofern nicht durch vordefinierte Mechanismen ein anderweitiger Schutz erfolgt.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.14.2.1-1 Richtlinie für sichere Entwicklung
Beschreibung
Status
Fullfilled?

Sichere Programmiertechniken sind sowohl für Neuentwicklungen zu verwenden als auch für Szenarien mit Wiederverwendung von Code, bei denen die für die Entwicklung angewandten Standards möglicherweise nicht bekannt sind oder nicht mit den derzeitigen bewährten Verfahren übereinstimmen. Sichere Codierstandards werden berücksichtigt und gegebenenfalls vorgeschrieben.

Unser gesamter Code ist neu.

Ein blauer Haken, der zur Auflistung dient
A.14.2.1-2 Richtlinie für sichere Entwicklung
Beschreibung
Status
Fullfilled?

Entwickler sind in der Anwendung sicherer Codiertechniken geschult, und bei Überprüfung des Codes wird ihre Verwendung geprüft.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.14.2.1-3 Richtlinie für sichere Entwicklung
Beschreibung
Status
Fullfilled?

Es ist ein Entwicklungslebenszyklus definiert, der die Informationssicherheit bei jedem Schritt berücksichtigt und sicherstellt, dass sie nicht gefährdet wird. Dazu sind Rollen und Verantwortlichkeiten über den gesamten Lebenszyklus festgelegt. Darüber hinaus ist der Prozess des Informationssicherheits-Risikomanagements des Anbieters in die Lebenszyklusaktivitäten der Systementwicklung integriert werden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.14.2.2-1 Verfahren zur Verwaltung von Systemänderungen
Beschreibung
Status
Fullfilled?

Das Informationssystem implementiert kryptografische Mechanismen, um die unbefugte Offenlegung von Informationen zu verhindern und Änderungen an Informationen während der Übertragung zu erkennen – sofern nicht durch vordefinierte Mechanismen ein anderweitiger Schutz erfolgt.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.14.2.3-1 Technische Überprüfung von Anwendungen nach Änderungen an der Betriebsplattform
Beschreibung
Status
Fullfilled?

Es ist ein Prozess einzurichten, der nach Änderungen an Betriebssystemen alle von dieser Betriebsplattform abhängigen Anwendungen und Prozesse überprüft. Dieser Prozess beinhaltet Überprüfungen der Anwendungsschutzmaßnahmen und Integritätsverfahren, um sicherzustellen, dass sie nicht von Änderungen an der Betriebsplattform betroffen sind. Die Benachrichtigung über Änderungen an der Betriebsplattform erfolgt so rechtzeitig, dass vor der Umsetzung geeignete Tests und Überprüfungen durchgeführt werden können.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.14.2.4-1 Beschränkung von Änderungen an Softwarepaketen
Beschreibung
Status
Fullfilled?

Soweit möglich und praktikabel, sind die vom Hersteller gelieferten Softwarepakete unverändert zu verwenden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.14.2.4-2 Beschränkung von Änderungen an Softwarepaketen
Beschreibung
Status
Fullfilled?

Bei Änderungen an Softwarepaketen ist das Risiko einer Beeinträchtigung von Maßnahmen und Integritätsprozessen sowie die Kompatibilität mit anderer verwendeter Software zu berücksichtigen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.14.2.5-1 Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme
Beschreibung
Status
Fullfilled?

Der Anbieter wendet die Grundsätze für die Analyse, Entwicklung und Pflege von Informationssystemen bei der Spezifikation, dem Design, der Entwicklung, der Implementierung und der Veränderung des Informationssystems an.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.14.2.6 Sichere Entwicklungsumgebung
Beschreibung
Status
Fullfilled?

Der Anbieter schafft sichere Entwicklungsumgebungen für Systementwicklungs- und Systemintegrationsvorhaben über den gesamten Entwicklungszyklus und schützt diese angemessen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.14.2.7-1 Ausgegliederte Entwicklung
Beschreibung
Status
Fullfilled?

Wenn die Systementwicklung ausgelagert wird, ist in der gesamten externen Lieferkette des Anbieters folgende Punkte zu berücksichtigen: - Lizenzvereinbarungen, Eigentum am Code und Rechte an geistigem Eigentum in Bezug auf die ausgelagerten Inhalte;- vertragliche Anforderungen an sichere Design-, Codier- und Testverfahren;- Abnahmeprüfung auf Qualität und Genauigkeit der Ergebnisse;- Nachweis, dass ausreichende Tests zum Schutz vor bekannten Schwachstellen durchgeführt wurden;- vertragliches Recht auf Auditierung von Entwicklungsprozessen und -maßnahmen;- effektive Dokumentation der zur Erstellung von Deliverables verwendeten Build-UmgebungWeitere Informationen zur Überwachung von Dienstleistern finden sich in A.15.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.14.2.8-1 Testen der Systemsicherheit
Beschreibung
Status
Fullfilled?

Es ist ein Prozess zu implementieren, um sicherzustellen, dass Organisationspläne für Sicherheitsprüfungen, Schulungen und Überwachungen in Bezug auf betriebliche Informationssysteme entwickelt und gepflegt werden. Die Dokumentation für diese Prozesse wird eingereicht und aktuell gehalten.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.14.2.9-1 Systemabnahmetest
Beschreibung
Status
Fullfilled?

Systemabnahmetests beinhalten die Prüfung der Anforderungen an die Informationssicherheit und die Einhaltung sicherer Systementwicklungspraktiken. Die Tests wird auch an erhaltenen Komponenten und integrierten Systemen durchgeführt.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.14.3.1-1 Schutz von Testdaten
Beschreibung
Status
Fullfilled?

Betriebsdaten, die personenbezogene Daten oder andere vertrauliche Informationen enthalten, dürfen nicht zu Testzwecken verwendet werden. Wenn personenbezogene Daten oder anderweitig vertrauliche Informationen für Testzwecke verwendet werden, werden alle sensiblen Daten und Inhalte durch Entfernen oder Ändern geschützt.Der Anbieter muss eine Vereinbarung unterzeichnen, die unter anderem die Verarbeitung und die Verwendung personenbezogener Daten zu Testzwecken regelt.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.15.1.3-1 Lieferkette für Informations- und Kommunikationstechnologie
Beschreibung
Status
Fullfilled?

Die Anforderungen an die Informationssicherheit werden wie beim Hauptauftragnehmer auch an Unterauftragnehmer weitergegeben, wenn sie an der Erbringung von Dienstleistungen/Produkten und/oder der Lieferung des Dienstleisters beteiligt sind. Hierbei gilt das „Need-to-know“-Prinzip.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.16.1.1 Verantwortlichkeiten und Verfahren
Beschreibung
Status
Fullfilled?

Handhabungsverantwortlichkeiten und -verfahren sind festgelegt, um eine schnelle, effektive und geordnete Reaktion auf Informationssicherheitsvorfälle sicherzustellen. Notfallübungen müssen in regelmäßigen Abständen durchgeführt werden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.16.1.1 Verantwortlichkeiten und Verfahren
Beschreibung
Status
Fullfilled?

Der Cloud Nutzer muss bei jeder Störung oder bei Überschreiten festgelegter Ausfallzeiten des Cloud Services vom Cloud Anbieter informiert werden, damit die Möglichkeit besteht, entsprechend zeitnah zu reagieren.Der Cloud Anbieter muss beim Eintreten sicherheitsrelevanter Vorfälle (Security Incidents) prüfen, ob hierdurch personenbezogene Daten und/oder Daten des Cloud Kunden betroffen sind. Darunter fallen jedoch keine gewöhnlichen Sicherheitsereignisse wie bspw. Portscans.Der Cloud-Anbieter muss den Cloud-Benutzer informieren, wenn ein Sicherheitsvorfall in der Cloud-Benutzerumgebung auftritt

Ja.

Ein blauer Haken, der zur Auflistung dient
A.16.1.2-1 Meldung von Informationssicherheitsereignissen
Beschreibung
Status
Fullfilled?

Alle Mitarbeiter und Auftragnehmer werden auf ihre Verantwortung hingewiesen, Informationssicherheitsereignisse und -schwachstellen so schnell wie möglich zu melden. Sie kennen auch das Verfahren zur Meldung von Informationssicherheitsereignissen und -schwachstellen sowie den Ansprechpartner, an den die Ereignisse gemeldet werden müssen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.16.1.3 Meldung von Schwächen in der Informationssicherheit
Beschreibung
Status
Fullfilled?

Beschäftigte und Auftragnehmer, welche die Informationssysteme und -dienste der Organisa-tion nutzen, werden angehalten, jegliche beobachteten oder vermuteten Schwä-chen in der Informationssicherheit in Systemen oder Diensten festzuhalten und zu melden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.16.1.4 Beurteilung von und Entscheidung über Informationssicherheitsereignisse
Beschreibung
Status
Fullfilled?

Informationssicherheitsereignisse werden beurteilt, und es wird darüber entschieden, ob sie als Informationssicherheitsvorfälle einzustufen sind.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.16.1.5 Reaktion aufInformationssicherheitsvorfälle
Beschreibung
Status
Fullfilled?

Auf Informationssicherheitsvorfälle wird entsprechend den dokumentierten Verfahren reagiert.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.16.1.6 Erkenntnisse aus Informations-sicherheitsvorfällen
Beschreibung
Status
Fullfilled?

Aus der Analyse und Lösung von Informationssicherheitsvorfällen gewonnene Erkenntnisse werden dazu genutzt, die Eintrittswahrscheinlichkeit oder die Auswirkungen zukünftiger Vorfälle zu verringern.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.16.1.7 Sammeln von Beweismaterial
Beschreibung
Status
Fullfilled?

Der Anbieter legt Verfahren für die Ermittlung, Sammlung, Erfassung und Aufbewahrung von Informationen, die als Beweismaterial dienen können, fest und wendet diese an.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.16.1.7 Sammeln von Beweismaterial
Beschreibung
Status
Fullfilled?

Es ist zu prüfen, wie bei einem Sicherheitsvorfall Daten beweisfest gesammelt werden. Regeln sind mit dem Cloud Anbieter festzulegen. Das LH-Group CERT kann hier unterstützen.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.17.1.1 Planung zur Aufrechterhaltung der Informationssicherheit
Beschreibung
Status
Fullfilled?

Der Anbieter bestimmt ihre Anforderungen an die Informationssicherheit und zur Aufrechterhaltung des Informationssicherheitsmanagements bei widrigen Situationen, z. B. Krise oder Katastrophe.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.17.1.2 Umsetzen der Aufrechterhaltung der Informationssicherheit
Beschreibung
Status
Fullfilled?

Der Anbieter legt Prozesse, Verfahren und Maßnahmen fest, dokumentiert, setzt sie um und erhält diese aufrecht, um das erforderliche Niveau an Informationssicherheit in einer widrigen Situation aufrechterhalten zu können.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.17.1.3 Überprüfen und Bewerten der Aufrechterhaltung der Informationssicherheit
Beschreibung
Status
Fullfilled?

Der Anbieter überprüft in regelmäßigen Abständen die festgelegten und umgesetzten Maßnahmen zur Aufrechterhaltung der Informationssicherheit, um sicherzustellen dass diese gültig und in widrigen Situationen wirksam sind.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.17.2.1 Verfügbarkeit von informationsverarbeitenden Einrichtungen
Beschreibung
Status
Fullfilled?

Informationsverarbeitende Einrichtungen sind mit ausreichender Redundanz zur Einhaltung der Verfügbarkeitsanforderungen zu realisieren.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.18.1.1 Bestimmung der anwendbaren Gesetzgebung und der vertraglichen Anforderungen
Beschreibung
Status
Fullfilled?

Alle relevanten gesetzlichen, regulatorischen, selbstauferlegten oder vertraglichen Anforderungen sowie das Vorgehen des Anbieters zur Einhaltung dieser Anforderungen sind für jedes Informationssystem und die Organisation ausdrücklich bestimmt und dokumentiert und werden auf dem neuesten Stand gehalten.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.18.1.2 Geistige Eigentumsrechte
Beschreibung
Status
Fullfilled?

Es sind angemessene Verfahren umgesetzt, mit denen die Einhaltung gesetzlicher, regulatorischer und vertraglicher Anforderungen mit Bezug auf geistige Eigentumsrechte und der Verwendung von urheberrechtlich geschützten Softwareprodukten sichergestellt ist.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.18.1.3 Schutz von Aufzeichnungen
Beschreibung
Status
Fullfilled?

Aufzeichnungen sind gemäß gesetzlichen, regulatorischen, vertraglichen und geschäftlichen Anforderungen vor Verlust, Zerstörung, Fälschung, unbefugtem Zugriff und unbefugter Veröffentlichung geschützt.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.18.1.3 Schutz von Aufzeichnungen
Beschreibung
Status
Fullfilled?

Es muss sichergestellt werden, dass alle Daten/Informationen rund um den Cloud Nutzer (z.B. Metadaten) sicher beim Cloud Anbieter aufbewahrt werden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.18.1.4 Privatsphäre und Schutz von personenbezogener Information
Beschreibung
Status
Fullfilled?

Die Privatsphäre und der Schutz von personenbezogener Information sind, soweit an-wendbar, entsprechend den Anforderungen der relevanten Gesetze und Vorschriften sichergestellt.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.18.1.4 Privatsphäre und Schutz von personenbezogener Information
Beschreibung
Status
Fullfilled?

Wenn personenbezogene Daten verarbeitet werden, müssen folgende Regelungen eingehalten werden:- Gewährleistung des Datenschutzes nach deutschem Recht - Vertragliche Verpflichtung des Cloud-Anbieters gemäß den LH Vorgaben zur Auftragsdatenverarbeitung- Speicherung und Verarbeitung der sensible personenbezogenen Daten nur innerhalb der Mitgliedsstaaten der EU oder eines Vertragsstaats des EWR (dazu zählt auch der Zugriff von Administratoren auf die Daten)- Transparenz über die Unterauftragnehmer- Kontrollrechte des Auftraggebers beim Auftragnehmer zur datenschutzkonformen Verarbeitung der personenbezogenen Daten.- Rechte der Betroffenen (Berichtigung, Löschung, Sperrung, Auskunft) müssen auch beim Cloud-Anbieter durchgesetzt werden können- Benennung des Datenschutzbeauftragten beim Cloud-Anbieter- Nachweis über Schulung der Mitarbeiter hinsichtlich Datenschutz und Datensicherheit- Vertragliche Regelung bei außereuropäischen Clouds müssen den EU Standard Contractual Clauses genau entsprechen- Auskunft über die Existenz verfahrensunabhängiger Plausibilitäts- und Sicherheitsprüfungen bei der Datenverarbeitung beim Cloud-Anbieter (z. B. interne Revision oder externe Stellen), sowie geeigneter (vertrauenswürdiger) ZertifikateBei der Verarbeitung personenbezogener Daten müssen Löschpflichten eingehalten werden. Die Löschung der Daten muss mit Löschnachweisen belegt werden. (vergl. DRL Bereiche mit besonders hohem Schutzbedarf). Hier ist immer der DSB mit einzubinden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.18.1.5 Regelungen bezüglich kryptographischer Maßnahmen
Beschreibung
Status
Fullfilled?

Kryptographische Maßnahmen werden unter Einhaltung aller relevanten Vereinbarungen, Gesetze und Vorschriften angewandt.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.18.2.1 Unabhängige Überprüfung der Informationssicherheit
Beschreibung
Status
Fullfilled?

Die Vorgehensweise des Anbieters für die Handhabung der Informationssicherheit und deren Umsetzung (d. h. Maßnahmenziele, Maßnahmen, Richtlinien, Prozesse und Verfahren zur Informationssicherheit) werden auf unabhängige Weise in planmäßigen Abständen oder jeweils bei erheblichen Änderungen überprüft.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.18.2.1 Unabhängige Überprüfung der Informationssicherheit
Beschreibung
Status
Fullfilled?

Ist es dem Cloud Nutzer nicht möglich, eine Auditierung/Kontrolle der Informationssicherheit des Cloud Anbieters selbst durchzuführen, muss der Cloud Anbieter vor der Vertragsunterzeichnung und während der Vertragslaufzeit Nachweise einer ausreichenden Informationssicherheit von unabhängigen externen Stellen vorlegen.Der Cloud Anbieter untersteht gesetzlichen Vorschriften eines bestimmten Landes. NOGO z.B.:- sensible personenbezogene Daten außerhalb der EU- streng vertrauliche und geheime Daten außerhalb der EUNot ok z.B.:- personenbezogene Daten außerhalb der EUOk z.B.:- personenbezogene Daten innerhalb der EUNot relevant z.B.:- öffentlich zugängliche Daten (bspw. Speiseplan)

Ja.

Ein blauer Haken, der zur Auflistung dient
A.18.2.2 Einhaltung von Sicherheitsrichtlinien und -standards
Beschreibung
Status
Fullfilled?

Leitende Angestellte überprüfen regelmäßig die Einhaltung der jeweils anzuwendenden Sicherheitsrichtlinien, Standards und jeglicher sonstiger Sicherheitsanforderungen bei der Informationsverarbeitung und den Verfahren in ihrem Verantwortungsbereich.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.18.2.3 Überprüfung der Einhaltung von technischen Vorgaben
Beschreibung
Status
Fullfilled?

Informationssysteme müssen regelmäßig auf Übereinstimmung mit den Informationssicherheitsrichtlinien und -standards des Anbieters überprüft werden.

Ja.

Ein blauer Haken, der zur Auflistung dient
A.18.2.3-1 Überprüfung der Einhaltung von technischen Vorgaben
Beschreibung
Status
Fullfilled?

Für geschäftskritische Anwendungen müssen jedes Jahr regelmäßige Penetrationstests geplant werden. Darüber hinaus müssen Penetrationstests nach jeder wesentlichen Aktualisierung oder Änderung der Anwendung durchgeführt werden (z. B. neue Anwendung, die der Umgebung hinzugefügt wurde, wichtige Funktionen, die einer Anwendung hinzugefügt wurden usw.). Zusätzlich müssen jährliche Pentests für Anwendungen mit Internetanschluss und hohem Schutzniveau durchgeführt werden.

Ja.

Ein blauer Haken, der zur Auflistung dient

Bereits vertrauenswürdig bei

Paket zur Einhaltung der Datensicherheit

Laden Sie hier alles herunter, was Sie und Ihr Rechts-/Datenteam wissen müssen, um uns ebenfalls zu vertrauen. (und Ihr Leben einfacher und schneller machen, um diese Lösung zu bekommen)

Noch Fragen?

Setzen Sie sich mit Finn, unserem CTO, in Verbindung.