TISAX® Kapitel 1.2.4
Inwieweit sind die Verantwortlichkeiten zwischen organisationsfremden IT-Dienstleistern und der eigenen Organisation definiert?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Vorlagenpaket.
Ziel
Es ist wichtig, dass ein gemeinsames Verständnis der Verantwortungsaufteilung existiert und die Umsetzung aller Sicherheitsanforderungen sichergestellt wird. Bei der Nutzung von organisationsfremden IT-Dienstleistern und IT-Diensten sind deshalb die Verantwortlichkeiten bezüglich der Umsetzung von Maßnahmen zur Informationssicherheit festzulegen und nachweisbar zu dokumentieren.
Anforderungen
- Muss
- Die betreffenden eingesetzten IT-Dienste sind identifiziert.
- Muss
- Die für den IT-Dienst relevanten Sicherheitsanforderungen sind ermittelt
- Muss
- Die für die Umsetzung der Anforderung verantwortliche Organisation ist definiert und sich ihrer Verantwortung bewusst
- Muss
- Für gemeinsame Verantwortlichkeiten sind Mechanismen festgelegt und umgesetzt
- Muss
- Die verantwortliche Organisation wird ihren jeweiligen Verantwortlichkeiten gerecht.
- Sollte
- Bei IT-Diensten wurde die Konfiguration anhand der notwendigen Sicherheitsanforderungen konzipiert, umgesetzt und dokumentiert.
- Sollte
- Das verantwortliche Personal ist entsprechend geschult.
- Schutzbedarf hoch
- Es existiert ein Verzeichnis der betreffenden IT-Dienste und der jeweils verantwortlichen IT-Dienstleister. (C, I, A)
- Schutzbedarf hoch
- Die Anwendbarkeit der ISA-Maßnahmen wurde verifiziert und dokumentiert. (C, I, A)
- Schutzbedarf hoch
- Die Dienstkonfiguration ist in die regelmäßigen Sicherheitsbewertungen einbezogen. (C, I, A)
- Schutzbedarf hoch
- Es liegen Nachweise vor, dass die IT-Dienstleister ihrer Verantwortung gerecht werden. (C, I, A)
- Schutzbedarf hoch
- Integration in lokale Schutzmaßnahmen (wie z.B. sichere Authentifikationsverfahren) ist etabliert und dokumentiert. (C, I, A)
Umsetzung
Cloud-Dienstleistungskunde
Als Cloud-Dienstleistungskunde sollten Sie Ihre bestehenden Richtlinien und Verfahren in Übereinstimmung mit Ihrer Nutzung von Cloud-Diensten definieren oder erweitern. Es ist wichtig, dass Sie die Nutzer Ihrer Cloud-Dienste über ihre Rollen und Verantwortlichkeiten bei der Nutzung des Cloud-Dienstes informieren. Dies kann durch Schulungen, Richtlinien und Verfahren sowie durch regelmäßige Kommunikation erreicht werden.
Cloud-Dienstleister
Als Cloud-Dienstleister sollten Sie Ihre Fähigkeiten, Rollen und Verantwortlichkeiten in Bezug auf die Informationssicherheit dokumentieren und kommunizieren. Dies beinhaltet auch die Rollen und Verantwortlichkeiten, die der Cloud-Dienstleistungskunde im Rahmen seiner Nutzung des Cloud-Dienstes implementieren und verwalten muss. Eine klare Kommunikation und Dokumentation dieser Rollen und Verantwortlichkeiten ist entscheidend für die Sicherheit der Cloud-Dienste.
Sonstige Informationen
In einer Cloud-Computing-Umgebung ist es unerlässlich, dass die Verantwortlichkeiten für die Informationssicherheit klar definiert und zugewiesen sind. Dies beinhaltet die Identifizierung und Dokumentation der jeweiligen Rollen und Verantwortlichkeiten, die sowohl vom Cloud-Dienstleistungskunden als auch vom Cloud-Dienstleister übernommen werden. Die effektive Kommunikation dieser Rollen und Verantwortlichkeiten ist ebenso wichtig wie ihre Implementierung.
