TISAX® Kapitel 1.3.3
Inwieweit wird sichergestellt, dass nur evaluierte und freigegebene organisationsfremde IT-Dienste zum Verarbeiten von Informationswerten der Organisation eingesetzt werden?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser Vorlagenpaket für TISAX®.
Ziel
Insbesondere bei organisationsfremden IT-Diensten, die mit verhältnismäßig geringen Kosten oder kostenfrei genutzt werden können, besteht ein erhöhtes Risiko, dass die Beschaffung und Inbetriebnahme ohne geeignete Berücksichtigung der Informationssicherheitsanforderungen erfolgt und somit die Sicherheit nicht sichergestellt wird.
Anforderungen
- Muss
- Es werden keine organisationsfremden IT-Dienste ohne explizite Bewertung und Umsetzung der Informationssicherheitsanforderungen eingesetzt:
- Muss
- Eine Risikobewertung der organisationsfremden IT-Dienste liegt vor
- Muss
- Gesetzliche, regulatorische und vertragliche Anforderungen sind berücksichtigt.
- Muss
- Die organisationsfremden IT-Dienste wurden auf den Schutzbedarf der verarbeiteten Informationswerte abgestimmt.
- Sollte
- Anforderungen bezüglich der Beschaffung, Inbetriebnahme und Freigabe im Zusammenhang mit der Nutzung von organisationsfremden IT-Diensten sind ermittelt und erfüllt.
- Sollte
- Ein Verfahren zur Freigabe unter Berücksichtigung des Schutzbedarfs ist etabliert.
- Sollte
- Organisationsfremde IT-Dienste und deren Freigabe sind dokumentiert.
- Sollte
- Es wird regelmäßig überprüft, dass nur freigegebene organisationsfremde IT-Dienste eingesetzt werden.
Umsetzung
Analyse und Spezifikation von Informationssicherheitsanforderungen
Der Kunde von Cloud-Dienstleistungen trägt die Verantwortung, seine spezifischen Anforderungen an die Informationssicherheit für den jeweiligen Cloud-Dienst präzise zu definieren. Nach der Festlegung dieser Anforderungen sollte eine sorgfältige Beurteilung erfolgen, um sicherzustellen, dass die vom Cloud-Dienstleister angebotenen Dienste den festgelegten Anforderungen entsprechen. Im Rahmen dieser Beurteilung sollte der Cloud-Dienstleistungskunde gezielte Informationen über die Informationssicherheitsleistungen des Cloud-Dienstleisters anfordern.
Es obliegt dem Cloud-Dienstleister, dem Cloud-Dienstleistungskunden detaillierte Informationen über die eingesetzten Informationssicherheitsleistungen bereitzustellen. Diese Informationen sollen zur Aufklärung dienen, ohne dabei Details preiszugeben, die einer Person mit böswilligen Absichten von Nutzen sein könnten.
Sonstige Informationen für Cloud Dienste
Bei der Offenlegung von Einzelheiten zur Umsetzung der Sicherheitsmaßnahmen sollte äußerste Vorsicht walten. Informationen, die sich auf den Cloud-Dienst beziehen, der potenziellen Cloud-Dienstleistungskunden erbracht wird, sollten nur in dem Umfang offengelegt werden, der mit einer unterzeichneten Geheimhaltungsvereinbarung vereinbar ist. Dies dient dem Schutz der Integrität und Vertraulichkeit des Cloud-Dienstes und der darin enthaltenen Informationen.
Verwandte TISAX-Kapitel
- Kapitel 5.3.3 – Datenrückgabe aus Cloud – Daten bei Cloud-Exit sicher zurückholen.
- Kapitel 5.3.4 – Gemeinsam genutzte IT-Dienste – Mandantentrennung in Shared Services.
