VDA ISA 6.0.2

TISAX® Kapitel 1.3.3
Inwieweit wird sichergestellt, dass nur evaluierte und freigegebene organisationsfremde IT-Dienste zum Verarbeiten von Informationswerten der Organisation eingesetzt werden?

Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?

Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Komplettpaket.

Ziel

Insbesondere bei organisationsfremden IT-Diensten, die mit verhältnismäßig geringen Kosten oder kostenfrei genutzt werden können, besteht ein erhöhtes Risiko, dass die Beschaffung und Inbetriebnahme ohne geeignete Berücksichtigung der Informationssicherheitsanforderungen erfolgt und somit die Sicherheit nicht sichergestellt wird.

Anforderungen

Muss
Es werden keine organisationsfremden IT-Dienste ohne explizite Bewertung und Umsetzung der Informationssicherheitsanforderungen eingesetzt:
Muss
Eine Risikobewertung der organisationsfremden IT-Dienste liegt vor
Muss
Gesetzliche, regulatorische und vertragliche Anforderungen sind berücksichtigt.
Muss
Die organisationsfremden IT-Dienste wurden auf den Schutzbedarf der verarbeiteten Informationswerte abgestimmt.
Sollte
Anforderungen bezüglich der Beschaffung, Inbetriebnahme und Freigabe im Zusammenhang mit der Nutzung von organisationsfremden IT-Diensten sind ermittelt und erfüllt.
Sollte
Ein Verfahren zur Freigabe unter Berücksichtigung des Schutzbedarfs ist etabliert.
Sollte
Organisationsfremde IT-Dienste und deren Freigabe sind dokumentiert.
Sollte
Es wird regelmäßig überprüft, dass nur freigegebene organisationsfremde IT-Dienste eingesetzt werden.

Umsetzung

Analyse und Spezifikation von Informationssicherheitsanforderungen

Der Kunde von Cloud-Dienstleistungen trägt die Verantwortung, seine spezifischen Anforderungen an die Informationssicherheit für den jeweiligen Cloud-Dienst präzise zu definieren. Nach der Festlegung dieser Anforderungen sollte eine sorgfältige Beurteilung erfolgen, um sicherzustellen, dass die vom Cloud-Dienstleister angebotenen Dienste den festgelegten Anforderungen entsprechen. Im Rahmen dieser Beurteilung sollte der Cloud-Dienstleistungskunde gezielte Informationen über die Informationssicherheitsleistungen des Cloud-Dienstleisters anfordern.

Es obliegt dem Cloud-Dienstleister, dem Cloud-Dienstleistungskunden detaillierte Informationen über die eingesetzten Informationssicherheitsleistungen bereitzustellen. Diese Informationen sollen zur Aufklärung dienen, ohne dabei Details preiszugeben, die einer Person mit böswilligen Absichten von Nutzen sein könnten.

Sonstige Informationen für Cloud Dienste

Bei der Offenlegung von Einzelheiten zur Umsetzung der Sicherheitsmaßnahmen sollte äußerste Vorsicht walten. Informationen, die sich auf den Cloud-Dienst beziehen, der potenziellen Cloud-Dienstleistungskunden erbracht wird, sollten nur in dem Umfang offengelegt werden, der mit einer unterzeichneten Geheimhaltungsvereinbarung vereinbar ist. Dies dient dem Schutz der Integrität und Vertraulichkeit des Cloud-Dienstes und der darin enthaltenen Informationen.

Jetzt Vorlagenpaket verwenden!

122 Unternehmen und 122 erfolgreiche Audits sprechen eine eindeutige Sprache.

Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde