Sicherheitsempfehlung für Cloud Computing Anbieter
Sicherheitsempfehlung für Cloud Computing Anbieter
Sicherheitsempfehlung für Cloud Computing Anbieter
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
CLOUD COMPUTING | SICHERHEITSPRÜFUNG UND -NACHWEIS<br />
10 Sicherheitsprüfung und<br />
-nachweis<br />
Ein Bestandteil jedes erfolgreichen Informationssicherheitsmanagements ist<br />
die regelmäßige Überprüfung der etablierten Sicherheitsmaßnahmen und<br />
des Informationssicherheits-Prozesses. <strong>Cloud</strong> Service <strong>Anbieter</strong> müssen regelmäßig<br />
den IT-Sicherheitszustand ihrer Geschäftsprozesse, Dienste und ihrer<br />
Plattformen überprüfen und kontinuierlich verbessern und weiterentwickeln.<br />
Es bietet sich an, regelmäßig Reviews und Prüfungen durch unabhängige<br />
Dritte durchführen zu lassen, um Betriebsblindheit zu vermeiden und<br />
entsprechende Prüfnachweise den <strong>Cloud</strong>-Nutzern zur Verfügung stellen.<br />
Auf der Basis einer Informationssicherheitsrevision (IS-Revision) können<br />
Aussagen über die wirksame Umsetzung von Sicherheitsmaßnahmen sowie<br />
deren Aktualität, Vollständigkeit und Angemessenheit und damit über<br />
den aktuellen Zustand der Informationssicherheit getroffen werden. Die<br />
IS-Revision ist somit ein Werkzeug zum Feststellen, Erreichen und Aufrechterhalten<br />
eines angemessenen Sicherheitsniveaus in einer Institution.<br />
Die Kernforderung an die CSPs nach Sicherheitsprüfung und -nachweis<br />
hat verschiedene Facetten:<br />
» Ergebnisse der von CSPs selbst durchgeführten Sicherheitstests sollten<br />
in geeigneter Form veröffentlicht werden.<br />
» Die Kunden haben ein berechtigtes Interesse daran, eigene<br />
Sicherheitsprüfungen durchzuführen oder Dritte in ihrem Auftrag<br />
durchführen zu lassen.<br />
Nutzt ein CSP Subunternehmen zur Erbringung seiner Services, so entlässtihndiesnichtvonderVerpfichtung,dieSicherheitdieserDienstezuüberprüfen,<br />
da der CSP gegenüber seinen Kunden <strong>für</strong> die Gesamtsicherheit<br />
seines Angebots verantwortlich und dies nicht auf Subunternehmer<br />
übertragen kann. In einem solchen Fall muss der CSP die erforderlichen<br />
Nachweise aller notwendigen Sicherheitsprüfungen von seinen Subunternehmern<br />
einfordern. Generell sollten durchgeführte Sicherheitsprüfungen<br />
so dokumentiert werden, dass es möglich ist, diese bei Bedarf an seine<br />
Kunden weitergeben zu können, sowohl die Nachweise beim CSP selber<br />
als auch bei dessen Subunternehmen.<br />
60