TISAX® Kapitel 1.3.3 - Inwieweit wird sichergestellt, dass nur evaluierte und freigegebene organisationsfremde IT-Dienste zum Verarbeiten von Informationswerten der Organisation eingesetzt werden?

Das Verständnis von TISAX® kann schwierig sein, daher haben wir einen einfachen kostenlosen Leitfaden erstellt

VDA ISA 5.1

Ziel

Insbesondere bei organisationsfremden IT-Diensten, die mit verhältnismäßig geringen Kosten oder kostenfrei nutzbar sind, besteht ein erhöhtes Risiko, dass die Beschaffung und Inbetriebnahme ohne geeignete Berücksichtigung der Informationssicherheitsanforderungen erfolgt und somit die Sicherheit nicht gewährleistet ist.

Anforderungen (muss):

Es werden keine organisationsfremden IT-Dienste ohne explizite Bewertung und Umsetzung der Informationssicherheitsanforderungen eingesetzt
Eine Risikobewertung der organisationsfremden IT-Dienste liegt vor,
Gesetzliche, regulatorische und vertragliche Anforderungen sind berücksichtigt.
Die organisationsfremden IT-Dienste sind mit dem Schutzbedarf der verarbeiteten Informationswerte abgeglichen.

Anforderungen (sollte):

Anforderungen an die Beschaffung, Inbetriebnahme und Freigabe zur Nutzung von organisationsfremden IT-Diensten sind ermittelt und erfüllt.
Ein Verfahren zur Freigabe unter Berücksichtung des Schutzbedarfs ist etabliert.
Organisationsfremde IT-Dienste und deren Freigabe sind dokumentiert.
Es wird regelmäßig überprüft, dass nur freigegebene organisationsfremde IT-Dienste eingesetzt werden.

Referenz zu anderen Standards:

Referenz zu ISO 27017: 14.1.1

Umsetzung

Analyse und Spezifikation von Informationssicherheits-anforderungen

Der Kunde von Cloud-Dienstleistungen trägt die Verantwortung, seine spezifischen Anforderungen an die Informationssicherheit für den jeweiligen Cloud-Dienst präzise zu definieren. Nach der Festlegung dieser Anforderungen sollte eine sorgfältige Beurteilung erfolgen, um sicherzustellen, dass die vom Cloud-Dienstleister angebotenen Dienste den festgelegten Anforderungen entsprechen. Im Rahmen dieser Beurteilung sollte der Cloud-Dienstleistungskunde gezielte Informationen über die Informationssicherheitsleistungen des Cloud-Dienstleisters anfordern.

Es obliegt dem Cloud-Dienstleister, dem Cloud-Dienstleistungskunden detaillierte Informationen über die eingesetzten Informationssicherheitsleistungen bereitzustellen. Diese Informationen sollen zur Aufklärung dienen, ohne dabei Details preiszugeben, die einer Person mit böswilligen Absichten von Nutzen sein könnten.

Sonstige Informationen für Cloud Dienste

Bei der Offenlegung von Einzelheiten zur Umsetzung der Sicherheitsmaßnahmen sollte äußerste Vorsicht walten. Informationen, die sich auf den Cloud-Dienst beziehen, der potenziellen Cloud-Dienstleistungskunden erbracht wird, sollten nur in dem Umfang offengelegt werden, der mit einer unterzeichneten Geheimhaltungsvereinbarung vereinbar ist. Dies dient dem Schutz der Integrität und Vertraulichkeit des Cloud-Dienstes und der darin enthaltenen Informationen.

© DeltaSecure GmbH. Alle Rechte vorbehalten.

Yes! Give Me Access to the Videos Now

Enter your email below to get instant access to video 1 in our FREE training series

We process your personal data as stated in our Privacy Policy. You may withdraw your consent at any time by clicking the unsubscribe link at the bottom of any of our emails.

Close