Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt) | |||
Zeile 21: | Zeile 21: | ||
|C5-01-OIS-01 | |C5-01-OIS-01 | ||
|Managementsystem für Informationssicherheit (OIS-02) | |Managementsystem für Informationssicherheit (OIS-02) | ||
|ISMS | |ISMS ist in Kraft, aber nicht alle Anforderungen von C5 sind umgesetzt. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-01-OIS-02 | |C5-01-OIS-02 | ||
|Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitungt (OIS-02) | |Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitungt (OIS-02) | ||
| | |Sicherheitsrichtlinien sind verfügbar, müssen jedoch verbessert werden. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 51: | Zeile 51: | ||
|C5-01-OIS-07 | |C5-01-OIS-07 | ||
|Identifikation, Analyse, Beurteilung und Behandlung von Risiken (OIS-07) | |Identifikation, Analyse, Beurteilung und Behandlung von Risiken (OIS-07) | ||
| | |Der Prozess ist beschrieben, aber nicht gut etabliert. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 71: | Zeile 71: | ||
|C5-04-HR-01 | |C5-04-HR-01 | ||
|Sicherheitsüberprüfung der Hintergrundinformationen (HR-01) | |Sicherheitsüberprüfung der Hintergrundinformationen (HR-01) | ||
| | |Angesichts der geringen Unternehmensgröße entsteht Vertrauen auf persönlicher Basis. | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
|C5-04-HR-02 | |C5-04-HR-02 | ||
|Beschäftigungsvereinbarungen (HR-02) | |Beschäftigungsvereinbarungen (HR-02) | ||
| | |Wir verpflichten unsere Mitarbeiter vertraglich auf Datenschutz und Privatsphäre. Sicherheit wird hier nur implizit erwähnt. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 86: | Zeile 86: | ||
|C5-04-HR-04 | |C5-04-HR-04 | ||
|Disziplinarmaßnahmen (HR-04) | |Disziplinarmaßnahmen (HR-04) | ||
| | |Sicherheitsprobleme werden nicht ausdrücklich erwähnt. Es gelten jedoch die üblichen Disziplinarmaßnahmen. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 106: | Zeile 106: | ||
|C5-05-AM-03 | |C5-05-AM-03 | ||
|Nutzungsanweisungen für Assets (AM-03) | |Nutzungsanweisungen für Assets (AM-03) | ||
|In | |In unserem internen Wiki dokumentieren wir den Umgang mit bestimmten Vermögenswerten. Es gibt jedoch keinen systematischen Ansatz. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 116: | Zeile 116: | ||
|C5-05-AM-05 | |C5-05-AM-05 | ||
|Klassifikation von Informationen (AM-05) | |Klassifikation von Informationen (AM-05) | ||
| | |Wir klassifizieren Dienste, es gibt jedoch kein Klassifizierungsschema für Daten. Alle Kundendaten werden vertraulich behandelt. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-05-AM-06 | |C5-05-AM-06 | ||
|Kennzeichnung von Informationen und Handhabung von Assets (AM-06) | |Kennzeichnung von Informationen und Handhabung von Assets (AM-06) | ||
| | |Wir kennzeichnen Informationen derzeit nicht. Standardmäßig werden alle Kundendaten vertraulich behandelt. | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
Zeile 136: | Zeile 136: | ||
|C5-06-PS-01 | |C5-06-PS-01 | ||
|Perimeterschutz (PS-01) | |Perimeterschutz (PS-01) | ||
| | |Die Rechenzentrumsstandorte, an denen sich unsere Cloud-Daten befinden, entsprechen alle der ISO 27001 und verfügen über einen entsprechenden Perimeterschutz. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 171: | Zeile 171: | ||
|C5-07-OPS-03 | |C5-07-OPS-03 | ||
|Kapazitätsmanagement - Datenlokation (OPS-03) | |Kapazitätsmanagement - Datenlokation (OPS-03) | ||
| | |Hier ist es erforderlich, dem Kunden Ressourcendaten für seine Planung zur Verfügung zu stellen. Dies liegt derzeit außerhalb des Geltungsbereichs. | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
Zeile 211: | Zeile 211: | ||
|C5-07-OPS-11 | |C5-07-OPS-11 | ||
|Protokollierung und Überwachung – Konzept (OPS-11) | |Protokollierung und Überwachung – Konzept (OPS-11) | ||
| | |Wird derzeit in OPS-10 abgedeckt | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
|C5-07-OPS-12 | |C5-07-OPS-12 | ||
|Protokollierung und Überwachung – Kritische Assets (OPS-12) | |Protokollierung und Überwachung – Kritische Assets (OPS-12) | ||
| | |Wird derzeit in OPS-10 abgedeckt | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
|C5-07-OPS-13 | |C5-07-OPS-13 | ||
|Protokollierung und Überwachung – Aufbewahrung der Protokolle (OPS-13) | |Protokollierung und Überwachung – Aufbewahrung der Protokolle (OPS-13) | ||
| | |Wird derzeit in OPS-10 abgedeckt | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
|C5-07-OPS-14 | |C5-07-OPS-14 | ||
|Protokollierung und Überwachung – Zurechenbarkeit (OPS-14) | |Protokollierung und Überwachung – Zurechenbarkeit (OPS-14) | ||
| | |Protokolldaten werden zentral auf einem Protokollierungsserver gespeichert. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-07-OPS-15 | |C5-07-OPS-15 | ||
|Protokollierung und Überwachung – Konfiguration (OPS-15) | |Protokollierung und Überwachung – Konfiguration (OPS-15) | ||
| | |Anwendungsprotokolle sind verfügbar. Zugriffsprotokolle werden ohne IP-Adresse gespeichert. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 251: | Zeile 251: | ||
|C5-07-OPS-19 | |C5-07-OPS-19 | ||
|Umgang mit Schwachstellen, Störungen und Fehlern - Integration mit Änderungs- und Incident Management (OPS-19) | |Umgang mit Schwachstellen, Störungen und Fehlern - Integration mit Änderungs- und Incident Management (OPS-19) | ||
| | |Derzeit führen wir keine externen oder internen Penetrationstests durch. Einige unserer Kunden taten dies jedoch. Es wurden keine größeren Probleme festgestellt. | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
|C5-07-OPS-20 | |C5-07-OPS-20 | ||
|Umgang mit Schwachstellen, Störungen und Fehlern – Einbindung des Cloud-Kunden (OPS-20) | |Umgang mit Schwachstellen, Störungen und Fehlern – Einbindung des Cloud-Kunden (OPS-20) | ||
| | |Einen regulären Prozess hierfür gibt es noch nicht. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 271: | Zeile 271: | ||
|C5-07-OPS-23 | |C5-07-OPS-23 | ||
|Segregation der gespeicherten und verarbeiteten Daten der Cloud-Kunden in gemeinsam genutzten Ressourcen (OPS-23) | |Segregation der gespeicherten und verarbeiteten Daten der Cloud-Kunden in gemeinsam genutzten Ressourcen (OPS-23) | ||
| | |Wir halten uns an Industriestandards. Derzeit gibt es keine Dokumentation pro System. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-07-OPS-24 | |C5-07-OPS-24 | ||
| | |Separierung der Datenbestände in der Cloud-Infrastruktur (OPS-24) | ||
| | | | ||
| class="col-green-bg" style="" |vollständig umgesetzt | | class="col-green-bg" style="" |vollständig umgesetzt | ||
Zeile 291: | Zeile 291: | ||
|C5-08-IDM-03 | |C5-08-IDM-03 | ||
|Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen (IDM-03) | |Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen (IDM-03) | ||
| | |Einige unserer Systeme implementieren dies. Der Rest wird automatisch verwaltet. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 301: | Zeile 301: | ||
|C5-08-IDM-05 | |C5-08-IDM-05 | ||
|Regelmäßige Überprüfung der Zugriffsberechtigungen (IDM-05) | |Regelmäßige Überprüfung der Zugriffsberechtigungen (IDM-05) | ||
| | |Dies wird derzeit nur für die kritischsten Systeme durchgeführt. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-08-IDM-06 | |C5-08-IDM-06 | ||
|Administratorenberechtigungen (IDM-06) | |Administratorenberechtigungen (IDM-06) | ||
| | |Größtenteils implementiert, wir entziehen Privilegien jedoch nicht für eine begrenzte Zeit. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 326: | Zeile 326: | ||
|C5-09-CRY-01 | |C5-09-CRY-01 | ||
|Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung (CRY-01) | |Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung (CRY-01) | ||
| | |Es gibt einige Richtlinien, aber noch keine genehmigte Richtlinie. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 336: | Zeile 336: | ||
|C5-09-CRY-03 | |C5-09-CRY-03 | ||
|Verschlüsselung von sensiblen Daten bei der Speicherung (CRY-03) | |Verschlüsselung von sensiblen Daten bei der Speicherung (CRY-03) | ||
| | |Kundendaten werden im Ruhezustand verschlüsselt. Backups sind verschlüsselt. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-09-CRY-04 | |C5-09-CRY-04 | ||
|Sichere Schlüsselverwaltung (CRY-04) | |Sichere Schlüsselverwaltung (CRY-04) | ||
| | |Es gibt keine zentrale Schlüsselverwaltung. Richtlinien existieren. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-10-COS-01 | |C5-10-COS-01 | ||
|Technische Schutzmaßnahmen (COS-01) | |Technische Schutzmaßnahmen (COS-01) | ||
| | |Wir betreiben kein Einbruchmeldesystem. Wir überwachen jedoch Netzwerkmuster und werden über größere Unregelmäßigkeiten, wie z. B. DDOS-Angriffe, informiert. | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
Zeile 356: | Zeile 356: | ||
|C5-10-COS-03 | |C5-10-COS-03 | ||
|Netzwerkübergreifende Zugriffe (COS-03) | |Netzwerkübergreifende Zugriffe (COS-03) | ||
| | |Alle Zugriffe auf das Cloud-Netzwerk werden protokolliert. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 371: | Zeile 371: | ||
|C5-10-COS-06 | |C5-10-COS-06 | ||
|Dokumentation der Netztopologie (COS-06) | |Dokumentation der Netztopologie (COS-06) | ||
| | |Interner Datenverkehr getrennt, aber nicht verschlüsselt. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 401: | Zeile 401: | ||
|C5-12-DEV-01 | |C5-12-DEV-01 | ||
|Richtlinien zur Entwicklung / Beschaffung von Informationssystemen (DEV-01) | |Richtlinien zur Entwicklung / Beschaffung von Informationssystemen (DEV-01) | ||
| | |Wir wenden die Codierungsrichtlinien an, die im Wikimedia-Ökosystem befolgt werden. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-12-DEV-02 | |C5-12-DEV-02 | ||
|Auslagerung der Entwicklung (DEV-02) | |Auslagerung der Entwicklung (DEV-02) | ||
| | |Vertragliche Vereinbarungen sind vorhanden, müssen jedoch aktualisiert werden. Dritte haben jedoch keinen Zugriff auf unsere Produktions-Cloud oder den Produktionscode. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 416: | Zeile 416: | ||
|C5-12-DEV-04 | |C5-12-DEV-04 | ||
|Risikobewertung der Änderungen (DEV-04) | |Risikobewertung der Änderungen (DEV-04) | ||
| | |Die Schulung erfolgt vor Ort und jährlich in Kombination mit DSGVO-Compliance-Schulungen. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
|C5-12-DEV-05 | |C5-12-DEV-05 | ||
|Kategorisierung der Änderungen (DEV-05) | |Kategorisierung der Änderungen (DEV-05) | ||
| | |Eventuelle Änderungen werden im Team beurteilt. Eine formelle Risikobewertung wird noch nicht angewendet. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 471: | Zeile 471: | ||
|C5-13-SSO-05 | |C5-13-SSO-05 | ||
|Ausstiegsstrategie für den Bezug von Leistungen (SSO-05) | |Ausstiegsstrategie für den Bezug von Leistungen (SSO-05) | ||
| | |Es gibt keine dokumentierte Ausstiegsstrategie. | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
Zeile 506: | Zeile 506: | ||
|C5-15-BCM-02 | |C5-15-BCM-02 | ||
|Richtlinien und Verfahren zur Business Impact Analyse (BCM-02) | |Richtlinien und Verfahren zur Business Impact Analyse (BCM-02) | ||
| | |Eine Risikoanalyse wurde durchgeführt und ist dokumentiert. Es gibt keine formelle Richtlinie. | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
Zeile 516: | Zeile 516: | ||
|C5-15-BCM-04 | |C5-15-BCM-04 | ||
|Verifizierung, Aktualisierung und Test der Betriebskontinuität (BCM-04) | |Verifizierung, Aktualisierung und Test der Betriebskontinuität (BCM-04) | ||
|Disaster | |Zum Zeitpunkt der Implementierung werden Disaster-Recovery-Tests durchgeführt. Einen regulären Zeitplan gibt es noch nicht. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 526: | Zeile 526: | ||
|C5-16-COM-02 | |C5-16-COM-02 | ||
|Richtlinie für die Planung und Durchführung von Audits (COM-02) | |Richtlinie für die Planung und Durchführung von Audits (COM-02) | ||
| | |Wir führen jährliche Audits des ISMS durch. Es gibt keine formelle Richtlinie. | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
|C5-16-COM-03 | |C5-16-COM-03 | ||
|Interne Audits des Informationssicherheitsmanagementsystems (COM-03) | |Interne Audits des Informationssicherheitsmanagementsystems (COM-03) | ||
| | |Es gibt noch keinen formellen Prozess der internen Revision | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 561: | Zeile 561: | ||
|C5-18-PSS-01 | |C5-18-PSS-01 | ||
|Leitlinien und Empfehlungen für Cloud-Kunden (PSS-01) | |Leitlinien und Empfehlungen für Cloud-Kunden (PSS-01) | ||
| | |Wir pflegen diese Informationen in unserer Produktdokumentation. Es kann jedoch nicht an einem zentralen Ort gefunden werden. | ||
| class="col-orange-bg" style="" |teilweise umgesetzt | | class="col-orange-bg" style="" |teilweise umgesetzt | ||
|- | |- | ||
Zeile 606: | Zeile 606: | ||
|C5-18-PSS-10 | |C5-18-PSS-10 | ||
|Software-defined Networking (PSS-10) | |Software-defined Networking (PSS-10) | ||
| | |Wir stellen dem Kunden kein SDN zur Verfügung. | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
|C5-18-PSS-11 | |C5-18-PSS-11 | ||
|Images für virtuelle Maschinen und Container (PSS-11) | |Images für virtuelle Maschinen und Container (PSS-11) | ||
| | |Wir stellen dem Kunden keine VMs und Container in der Cloud zur Verfügung. | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|- | |- | ||
|C5-18-PSS-12 | |C5-18-PSS-12 | ||
|Lokationen der Datenverarbeitung und -speicherung (PSS-12) | |Lokationen der Datenverarbeitung und -speicherung (PSS-12) | ||
| | |Wir stellen dem Kunden keine VMs und Container in der Cloud zur Verfügung. | ||
| class="col-grey-light-bg" style="" |nicht aktiv | | class="col-grey-light-bg" style="" |nicht aktiv | ||
|} | |} |
Version vom 30. April 2024, 13:51 Uhr
Overview
Mehr Info: Kriterienkatalog Cloud Computing C5
Aktuelle Phase des internen Audits: Erstaudit
Vollständig umgesetzte C5-Richtlinien: 92 %
Teilweise umgesetzte C5-Richtlinien: 66 %
Kriterienliste
ID | Guideline | Comment | Audit state |
---|---|---|---|
C5-01-OIS-01 | Managementsystem für Informationssicherheit (OIS-02) | ISMS ist in Kraft, aber nicht alle Anforderungen von C5 sind umgesetzt. | teilweise umgesetzt |
C5-01-OIS-02 | Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitungt (OIS-02) | Sicherheitsrichtlinien sind verfügbar, müssen jedoch verbessert werden. | teilweise umgesetzt |
C5-01-OIS-03 | Zuständigkeiten und Verantwortungen im Rahmen der Informationssicherheit (OIS-03) | vollständig umgesetzt | |
C5-01-OIS-04 | Funktionstrennung (OIS-04) | vollständig umgesetzt | |
C5-01-OIS-05 | Kontakt zu relevanten Behörden und Interessenverbänden (OIS-05) | vollständig umgesetzt | |
C5-01-OIS-06 | Richtlinie für die Organisation des Risikomanagements (OIS-06) | vollständig umgesetzt | |
C5-01-OIS-07 | Identifikation, Analyse, Beurteilung und Behandlung von Risiken (OIS-07) | Der Prozess ist beschrieben, aber nicht gut etabliert. | teilweise umgesetzt |
C5-03-SP-01 | Dokumentation, Kommunikation und Bereitstellung von Richtlinien und Anweisungen (SP-01) | vollständig umgesetzt | |
C5-03-SP-02 | Überprüfung und Freigabe von von Richtlinien und Anweisungen (SP-02) | vollständig umgesetzt | |
C5-03-SP-03 | Abweichungen von bestehenden Richtlinien und Anweisungen (SP-03) | vollständig umgesetzt | |
C5-04-HR-01 | Sicherheitsüberprüfung der Hintergrundinformationen (HR-01) | Angesichts der geringen Unternehmensgröße entsteht Vertrauen auf persönlicher Basis. | nicht aktiv |
C5-04-HR-02 | Beschäftigungsvereinbarungen (HR-02) | Wir verpflichten unsere Mitarbeiter vertraglich auf Datenschutz und Privatsphäre. Sicherheit wird hier nur implizit erwähnt. | teilweise umgesetzt |
C5-04-HR-03 | Programm zur Sicherheitsausbildung und Sensibilisierung (HR-03) | vollständig umgesetzt | |
C5-04-HR-04 | Disziplinarmaßnahmen (HR-04) | Sicherheitsprobleme werden nicht ausdrücklich erwähnt. Es gelten jedoch die üblichen Disziplinarmaßnahmen. | teilweise umgesetzt |
C5-04-HR-05 | Beendigung des Beschäftigungsverhältnisses oder Änderungen der Verantwortlichkeiten (HR-05) | vollständig umgesetzt | |
C5-05-AM-01 | Asset Inventar (AM-01) | vollständig umgesetzt | |
C5-05-AM-02 | Zuweisung von Asset Verantwortlichen (AM-02) | vollständig umgesetzt | |
C5-05-AM-03 | Nutzungsanweisungen für Assets (AM-03) | In unserem internen Wiki dokumentieren wir den Umgang mit bestimmten Vermögenswerten. Es gibt jedoch keinen systematischen Ansatz. | teilweise umgesetzt |
C5-05-AM-04 | Ab- und Rückgabe von Assets (AM-04) | vollständig umgesetzt | |
C5-05-AM-05 | Klassifikation von Informationen (AM-05) | Wir klassifizieren Dienste, es gibt jedoch kein Klassifizierungsschema für Daten. Alle Kundendaten werden vertraulich behandelt. | teilweise umgesetzt |
C5-05-AM-06 | Kennzeichnung von Informationen und Handhabung von Assets (AM-06) | Wir kennzeichnen Informationen derzeit nicht. Standardmäßig werden alle Kundendaten vertraulich behandelt. | nicht aktiv |
C5-05-AM-07 | Verwaltung von Datenträgern (AM-07) | vollständig umgesetzt | |
C5-05-AM-08 | Überführung und Entfernung von Assets (AM-08) | vollständig umgesetzt | |
C5-06-PS-01 | Perimeterschutz (PS-01) | Die Rechenzentrumsstandorte, an denen sich unsere Cloud-Daten befinden, entsprechen alle der ISO 27001 und verfügen über einen entsprechenden Perimeterschutz. | teilweise umgesetzt |
C5-06-PS-02 | Physische Zutrittskontrolle (PS-02) | vollständig umgesetzt | |
C5-06-PS-03 | Schutz vor Bedrohungen von außen und aus der Umgebung (PS-03) | vollständig umgesetzt | |
C5-06-PS-04 | Schutz vor Unterbrechungen durch Stromausfälle und andere derartige Risiken (PS-04) | vollständig umgesetzt | |
C5-06-PS-05 | Wartung von Infrastruktur und Geräten (PS-05) | vollständig umgesetzt | |
C5-07-OPS-01 | Kapazitätsmanagement – Planung (OPS-01) | vollständig umgesetzt | |
C5-07-OPS-02 | Kapazitätsmanagement – Überwachung (OPS-02) | vollständig umgesetzt | |
C5-07-OPS-03 | Kapazitätsmanagement - Datenlokation (OPS-03) | Hier ist es erforderlich, dem Kunden Ressourcendaten für seine Planung zur Verfügung zu stellen. Dies liegt derzeit außerhalb des Geltungsbereichs. | nicht aktiv |
C5-07-OPS-04 | Kapazitätsmanagement - Steuerung von Ressourcen (OPS-04) | vollständig umgesetzt | |
C5-07-OPS-05 | Schutz vor Schadprogrammen (OPS-05) | vollständig umgesetzt | |
C5-07-OPS-06 | Datensicherung und Wiederherstellung – Konzept (OPS-06) | vollständig umgesetzt | |
C5-07-OPS-07 | Datensicherung und Wiederherstellung – Überwachung (OPS-07) | vollständig umgesetzt | |
C5-07-OPS-08 | Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-08) | vollständig umgesetzt | |
C5-07-OPS-09 | Datensicherung und Wiederherstellung - Regelmäßige Tests (OPS-09) | vollständig umgesetzt | |
C5-07-OPS-10 | Protokollierung und Überwachung – Konzept (OPS-10) | vollständig umgesetzt | |
C5-07-OPS-11 | Protokollierung und Überwachung – Konzept (OPS-11) | Wird derzeit in OPS-10 abgedeckt | nicht aktiv |
C5-07-OPS-12 | Protokollierung und Überwachung – Kritische Assets (OPS-12) | Wird derzeit in OPS-10 abgedeckt | nicht aktiv |
C5-07-OPS-13 | Protokollierung und Überwachung – Aufbewahrung der Protokolle (OPS-13) | Wird derzeit in OPS-10 abgedeckt | nicht aktiv |
C5-07-OPS-14 | Protokollierung und Überwachung – Zurechenbarkeit (OPS-14) | Protokolldaten werden zentral auf einem Protokollierungsserver gespeichert. | teilweise umgesetzt |
C5-07-OPS-15 | Protokollierung und Überwachung – Konfiguration (OPS-15) | Anwendungsprotokolle sind verfügbar. Zugriffsprotokolle werden ohne IP-Adresse gespeichert. | teilweise umgesetzt |
C5-07-OPS-16 | Protokollierung und Überwachung – Verfügbarkeit der Überwachungs-Software (OPS-16) | vollständig umgesetzt | |
C5-07-OPS-17 | Umgang mit Schwachstellen, Störungen und Fehlern – Konzept (OPS-17) | vollständig umgesetzt | |
C5-07-OPS-18 | Umgang mit Schwachstellen, Störungen und Fehlern – Penetrationstests (OPS-18) | vollständig umgesetzt | |
C5-07-OPS-19 | Umgang mit Schwachstellen, Störungen und Fehlern - Integration mit Änderungs- und Incident Management (OPS-19) | Derzeit führen wir keine externen oder internen Penetrationstests durch. Einige unserer Kunden taten dies jedoch. Es wurden keine größeren Probleme festgestellt. | nicht aktiv |
C5-07-OPS-20 | Umgang mit Schwachstellen, Störungen und Fehlern – Einbindung des Cloud-Kunden (OPS-20) | Einen regulären Prozess hierfür gibt es noch nicht. | teilweise umgesetzt |
C5-07-OPS-21 | Umgang mit Schwachstellen, Störungen und Fehlern - Prüfung offener Schwachstellen (OPS-21) | vollständig umgesetzt | |
C5-07-OPS-22 | Umgang mit Schwachstellen, Störungen und Fehlern – System-Härtung (OPS-22) | vollständig umgesetzt | |
C5-07-OPS-23 | Segregation der gespeicherten und verarbeiteten Daten der Cloud-Kunden in gemeinsam genutzten Ressourcen (OPS-23) | Wir halten uns an Industriestandards. Derzeit gibt es keine Dokumentation pro System. | teilweise umgesetzt |
C5-07-OPS-24 | Separierung der Datenbestände in der Cloud-Infrastruktur (OPS-24) | vollständig umgesetzt | |
C5-08-IDM-01 | Richtlinie für Zugangs- und Zugriffsberechtigungen (IDM-01) | vollständig umgesetzt | |
C5-08-IDM-02 | Benutzerregistrierung (IDM-02) | vollständig umgesetzt | |
C5-08-IDM-03 | Vergabe und Änderung (Provisionierung) von Zugriffsberechtigungen (IDM-03) | Einige unserer Systeme implementieren dies. Der Rest wird automatisch verwaltet. | teilweise umgesetzt |
C5-08-IDM-04 | Berechtigungsentzug (Deprovisionierung) bei Veränderungen des Arbeitsverhältnisses (IDM-04) | vollständig umgesetzt | |
C5-08-IDM-05 | Regelmäßige Überprüfung der Zugriffsberechtigungen (IDM-05) | Dies wird derzeit nur für die kritischsten Systeme durchgeführt. | teilweise umgesetzt |
C5-08-IDM-06 | Administratorenberechtigungen (IDM-06) | Größtenteils implementiert, wir entziehen Privilegien jedoch nicht für eine begrenzte Zeit. | teilweise umgesetzt |
C5-08-IDM-07 | Geheimhaltung von Authentifizierungsinformationen (IDM-07) | vollständig umgesetzt | |
C5-08-IDM-08 | Sichere Anmeldeverfahren (IDM-08) | vollständig umgesetzt | |
C5-08-IDM-09 | Umgang mit Notfallbenutzern (IDM-09) | vollständig umgesetzt | |
C5-09-CRY-01 | Richtlinie zur Nutzung von Verschlüsselungsverfahren und Schlüsselverwaltung (CRY-01) | Es gibt einige Richtlinien, aber noch keine genehmigte Richtlinie. | teilweise umgesetzt |
C5-09-CRY-02 | Verschlüsselung von Daten bei der Übertragung (Transportverschlüsselung) (CRY-02) | vollständig umgesetzt | |
C5-09-CRY-03 | Verschlüsselung von sensiblen Daten bei der Speicherung (CRY-03) | Kundendaten werden im Ruhezustand verschlüsselt. Backups sind verschlüsselt. | teilweise umgesetzt |
C5-09-CRY-04 | Sichere Schlüsselverwaltung (CRY-04) | Es gibt keine zentrale Schlüsselverwaltung. Richtlinien existieren. | teilweise umgesetzt |
C5-10-COS-01 | Technische Schutzmaßnahmen (COS-01) | Wir betreiben kein Einbruchmeldesystem. Wir überwachen jedoch Netzwerkmuster und werden über größere Unregelmäßigkeiten, wie z. B. DDOS-Angriffe, informiert. | nicht aktiv |
C5-10-COS-02 | Überwachen von Verbindungen (COS-02) | vollständig umgesetzt | |
C5-10-COS-03 | Netzwerkübergreifende Zugriffe (COS-03) | Alle Zugriffe auf das Cloud-Netzwerk werden protokolliert. | teilweise umgesetzt |
C5-10-COS-04 | Netzwerke zur Administration (COS-04) | vollständig umgesetzt | |
C5-10-COS-05 | Segregation des Datenverkehrs in gemeinsam genutzten Netzwerkumgebungen (COS-05) | vollständig umgesetzt | |
C5-10-COS-06 | Dokumentation der Netztopologie (COS-06) | Interner Datenverkehr getrennt, aber nicht verschlüsselt. | teilweise umgesetzt |
C5-10-COS-07 | Richtlinien zur Datenübertragung (COS-07) | vollständig umgesetzt | |
C5-10-COS-08 | Vertraulichkeitserklärung (COS-08) | vollständig umgesetzt | |
C5-11-PI-01 | Nutzung öffentlicher API's und Industriestandards (PI-01) | vollständig umgesetzt | |
C5-11-PI-02 | Export von Daten (PI-02) | vollständig umgesetzt | |
C5-11-PI-03 | Richtlinie zur Portabilität und Interoperabilität (PI-03) | vollständig umgesetzt | |
C5-12-DEV-01 | Richtlinien zur Entwicklung / Beschaffung von Informationssystemen (DEV-01) | Wir wenden die Codierungsrichtlinien an, die im Wikimedia-Ökosystem befolgt werden. | teilweise umgesetzt |
C5-12-DEV-02 | Auslagerung der Entwicklung (DEV-02) | Vertragliche Vereinbarungen sind vorhanden, müssen jedoch aktualisiert werden. Dritte haben jedoch keinen Zugriff auf unsere Produktions-Cloud oder den Produktionscode. | teilweise umgesetzt |
C5-12-DEV-03 | Richtlinien zur Änderung von Informationssystemen (DEV-03) | vollständig umgesetzt | |
C5-12-DEV-04 | Risikobewertung der Änderungen (DEV-04) | Die Schulung erfolgt vor Ort und jährlich in Kombination mit DSGVO-Compliance-Schulungen. | teilweise umgesetzt |
C5-12-DEV-05 | Kategorisierung der Änderungen (DEV-05) | Eventuelle Änderungen werden im Team beurteilt. Eine formelle Risikobewertung wird noch nicht angewendet. | teilweise umgesetzt |
C5-12-DEV-06 | Priorisierung der Änderungen (DEV-06) | vollständig umgesetzt | |
C5-12-DEV-07 | Testen der Änderungen (DEV-07) | vollständig umgesetzt | |
C5-12-DEV-08 | Zurückrollen der Änderungen (DEV-08) | vollständig umgesetzt | |
C5-12-DEV-09 | Überprüfen von ordnungsgemäßer Testdurchführung und Genehmigung (DEV-09) | vollständig umgesetzt | |
C5-12-DEV-10 | Notfalländerungen (DEV-10) | vollständig umgesetzt | |
C5-13-SSO-01 | Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister und Lieferanten des Cloud-Anbieters (SSO-01) | vollständig umgesetzt | |
C5-13-SSO-02 | Risikobeurteilung der Dienstleister und Lieferanten (SSO-02) | vollständig umgesetzt | |
C5-13-SSO-03 | Verzeichnis der Dienstleister und Lieferanten (SSO-03) | vollständig umgesetzt | |
C5-13-SSO-04 | Überwachung der Einhaltung der Anforderungen (SSO-04) | vollständig umgesetzt | |
C5-13-SSO-05 | Ausstiegsstrategie für den Bezug von Leistungen (SSO-05) | Es gibt keine dokumentierte Ausstiegsstrategie. | nicht aktiv |
C5-14-SIM-01 | Verantwortlichkeiten und Vorgehensmodell (SIM-01) | vollständig umgesetzt | |
C5-14-SIM-02 | Klassifizierung von Kunden Systemen (SIM-02) | vollständig umgesetzt | |
C5-14-SIM-03 | Bearbeitung von Sicherheitsvorfällen (SIM-03) | vollständig umgesetzt | |
C5-14-SIM-04 | Dokumentation und Berichterstattung über Sicherheitsvorfälle (SIM-04) | vollständig umgesetzt | |
C5-14-SIM-05 | Security Incident Event Management (SIM-05) | vollständig umgesetzt | |
C5-15-BCM-01 | Verantwortung durch die Unternehmensleitung (BCM-01) | vollständig umgesetzt | |
C5-15-BCM-02 | Richtlinien und Verfahren zur Business Impact Analyse (BCM-02) | Eine Risikoanalyse wurde durchgeführt und ist dokumentiert. Es gibt keine formelle Richtlinie. | nicht aktiv |
C5-15-BCM-03 | Planung der Betriebskontinuität (BCM-03) | vollständig umgesetzt | |
C5-15-BCM-04 | Verifizierung, Aktualisierung und Test der Betriebskontinuität (BCM-04) | Zum Zeitpunkt der Implementierung werden Disaster-Recovery-Tests durchgeführt. Einen regulären Zeitplan gibt es noch nicht. | teilweise umgesetzt |
C5-16-COM-01 | Identifizierung anwendbarer gesetzlicher, regulatorischer, selbstauferlegter oder vertraglicher Anforderungen (COM-01) | vollständig umgesetzt | |
C5-16-COM-02 | Richtlinie für die Planung und Durchführung von Audits (COM-02) | Wir führen jährliche Audits des ISMS durch. Es gibt keine formelle Richtlinie. | nicht aktiv |
C5-16-COM-03 | Interne Audits des Informationssicherheitsmanagementsystems (COM-03) | Es gibt noch keinen formellen Prozess der internen Revision | teilweise umgesetzt |
C5-16-COM-04 | Informationen über die Informationssicherheitsleistung und Managementbewertung des ISMS (COM-04) | vollständig umgesetzt | |
C5-17-INQ-01 | Juristische Beurteilung von Ermittlungsanfragen (INQ-01) | vollständig umgesetzt | |
C5-17-INQ-02 | Information der Cloud-Kunden über Ermittlungsanfragen (INQ-02) | vollständig umgesetzt | |
C5-17-INQ-03 | Voraussetzungen für den Zugriff auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-03) | vollständig umgesetzt | |
C5-17-INQ-04 | Begrenzung des Zugriffs auf oder der Offenlegung von Daten bei Ermittlungsanfragen (INQ-04) | vollständig umgesetzt | |
C5-18-PSS-01 | Leitlinien und Empfehlungen für Cloud-Kunden (PSS-01) | Wir pflegen diese Informationen in unserer Produktdokumentation. Es kann jedoch nicht an einem zentralen Ort gefunden werden. | teilweise umgesetzt |
C5-18-PSS-02 | Identifikation von Schwachstellen des Cloud-Dienstes (PSS-02) | vollständig umgesetzt | |
C5-18-PSS-03 | Online-Register bekannter Schwachstellen (PSS-03) | vollständig umgesetzt | |
C5-18-PSS-04 | Fehlerbehandlungs- und Protokollierungsmechanismen (PSS-04) | vollständig umgesetzt | |
C5-18-PSS-05 | Authentisierungsmechanismen (PSS-05) | vollständig umgesetzt | |
C5-18-PSS-06 | Session Management (PSS-06) | vollständig umgesetzt | |
C5-18-PSS-07 | Vertraulichkeit von Authentisierungsinformationen (PSS-07) | vollständig umgesetzt | |
C5-18-PSS-08 | Rollen- und Rechtekonzept (PSS-08) | vollständig umgesetzt | |
C5-18-PSS-09 | Autorisierungsmechanismen (PSS-09) | vollständig umgesetzt | |
C5-18-PSS-10 | Software-defined Networking (PSS-10) | Wir stellen dem Kunden kein SDN zur Verfügung. | nicht aktiv |
C5-18-PSS-11 | Images für virtuelle Maschinen und Container (PSS-11) | Wir stellen dem Kunden keine VMs und Container in der Cloud zur Verfügung. | nicht aktiv |
C5-18-PSS-12 | Lokationen der Datenverarbeitung und -speicherung (PSS-12) | Wir stellen dem Kunden keine VMs und Container in der Cloud zur Verfügung. | nicht aktiv |