Amazon Web Services: Risiko und Compliance April 2015

Größe: px
Ab Seite anzeigen:

Download "Amazon Web Services: Risiko und Compliance April 2015"

Transkript

1 Amazon Web Services: Risiko und Compliance April 2015 (Unter finden Sie die neueste Version dieses Dokuments.) Seite 1 von 146

2 Dieses Dokument bietet Informationen, mit deren Hilfe AWS-Kunden AWS in ihr vorhandenes Kontrollrahmenwerk integrieren können, das ihre IT-Umgebung unterstützt. In diesem Dokument wird ein einfacher Ansatz zum Bewerten von AWS-Kontrollen erläutert. Außerdem bietet es Informationen zur Unterstützung von Kunden bei der Integration von Kontrollumfeldern. In diesem Dokument werden außerdem AWS-spezifische Informationen rund um allgemeine Compliance-Fragen beim Cloud Computing behandelt. Inhaltsverzeichnis Risiko und Compliance Übersicht... 3 Umgebung mit gemeinsamen Zuständigkeiten... 3 Strenge Überwachung von Compliance... 4 Bewerten und Integrieren von AWS-Kontrollen... 4 AWS-IT-Kontrollinformationen... 5 AWS Globale Regionen... 5 AWS-Risiko- und Compliance-Programm... 6 Risikomanagement... 6 Kontrollumfeld AWS-Berichte, Zertifizierungen und Bescheinigungen durch Dritte... 7 FedRAMP SM... 7 FIPS FISMA und DIACAP... 8 HIPAA... 8 ISO DIN ISO/IEC ITAR PCI DSS Level SOC 1/SSAE 16/ISAE SOC SOC Sonstige bewährte Methoden zur Compliance Wichtige Compliance-Fragen und AWS Kontakt mit AWS Anhang A: CSA Consensus Assessments Initiative Fragebogen, Version Anhang B: Ausrichtung von AWS am Content Security Model der Motion Picture Association of America (MPAA) Anhang C: Ausrichtung von AWS auf die Sicherheitsüberlegungen zum Cloud Computing (Cloud Computing Security Considerations) des Australian Signals Directorate (ASD) Anhang D: Glossar und Begriffe Seite 2 von 146

3 Risiko und Compliance Übersicht Da sich AWS und seine Kunden die Kontrolle der IT-Umgebung teilen, sind beide Parteien für die Verwaltung der IT- Umgebung verantwortlich. Der Anteil von AWS an der gemeinsamen Verantwortung liegt in der Bereitstellung seiner Services auf einer überaus sicheren und kontrollierten Plattform sowie einer breiten Palette von Sicherheitsfunktionen, die Kunden nutzen können. In der Verantwortung der Kunden liegt die Konfiguration ihrer IT-Umgebungen auf sichere und kontrollierte Weise für die vorgesehenen Zwecke. Während Kunden ihre Nutzung und Konfigurationen nicht AWS mitteilen, gibt AWS Informationen über sein Sicherheits- und Kontrollumfeld preis, das für Kunden relevant ist. Dies geschieht seitens AWS wie folgt: Erwerben von Branchenzertifizierungen und Bescheinigungen unabhängiger Dritter, die in diesem Dokument beschrieben sind Veröffentlichen von Informationen zu AWS-Sicherheits- und Kontrollpraktiken in Whitepaper und auf Websites Direktes Bereitstellen von Zertifikaten, Berichten und anderer Dokumentation für AWS-Kunden im Rahmen der Vertraulichkeitsvereinbarung (falls erforderlich) Eine detailliertere Beschreibung der AWS-Sicherheit finden Sie finden Sie im AWS-Sicherheitszentrum. Im Whitepaper Sicherheitsprozesse im Überblick werden die allgemeinen Sicherheitskontrollen und servicespezifischen Sicherheitsvorkehrungen beschrieben. Umgebung mit gemeinsamen Zuständigkeiten Wenn Sie Ihre IT-Infrastruktur in AWS-Services verlagern, entsteht ein Modell der gemeinsamen Zuständigkeiten zwischen Kunde und AWS. Dieses gemeinsame Modell bedeutet für die Kunden eine Erleichterung des Betriebs, da AWS die Komponenten des Hostbetriebssystems und der Virtualisierungsebene betreibt, verwaltet und steuert und zudem für die physische Sicherheit der Standorte sorgt, an denen die Services ausgeführt werden. Der Kunde übernimmt Verantwortung für das Gastbetriebssystem und dessen Verwaltung (einschließlich Updates und Sicherheits-Patches), für andere damit verbundene Anwendungssoftware sowie für die Konfiguration der von AWS bereitgestellten Firewall für die Sicherheitsgruppe. Kunden sollten sich gut überlegen, welche Services sie auswählen, da ihre Zuständigkeiten von den genutzten Services, von deren Integration in ihre IT-Umgebung sowie von den geltenden Gesetzen und Vorschriften abhängen. Durch Nutzung von Technologien wie hostbasierte Firewalls, hostbasierte Erkennung und Verhinderung des unbefugten Eindringens in Computersysteme, Verschlüsselung und Schlüsselverwaltung können Kunden die Sicherheit erhöhen und/oder ihre strengeren Compliance-Anforderungen erfüllen. Dieses Modell der geteilten Zuständigkeiten sorgt für Flexibilität und Kundenkontrolle, durch die wir Lösungen einsetzen können, die die branchenspezifischen Anforderungen für die Zertifizierung erfüllen. Das Modell der gemeinsamen Verantwortung von Kunde/AWS kann auch auf IT-Kontrollen ausgedehnt werden. Ebenso wie sich AWS und seine Kunden die Verantwortung für den Betrieb der IT-Umgebung teilen, werden die Verwaltung, der Betrieb und die Überprüfung von IT-Kontrollen von den Beteiligten übernommen. AWS kann Kunden den Aufwand des Betreibens von Kontrollen durch die Verwaltung derjenigen Kontrollen abnehmen, die mit der in der AWS-Umgebung bereitgestellten physischen Infrastruktur verbunden sind, und die ggf. zuvor vom Kunden verwaltet wurden. Da jede Kundenumgebung in AWS anders bereitgestellt wird, können Kunden vom Verlagern der Verwaltung bestimmter IT- Kontrollen an AWS profitieren, was zu einem (neuen) verteilten Kontrollumfeld führt. Kunden können die verfügbare Dokumentation zu AWS-Kontrollen und -Compliance (im Abschnitt "AWS-Zertifizierungen und Bescheinigungen von Dritten" dieses Dokuments) nutzen, um ihre Verfahren zur Überprüfung und Bewertung von Kontrollen den Anforderungen entsprechend auszuführen. Seite 3 von 146

4 Im nächsten Abschnitt wird erläutert, wie AWS-Kunden ihr verteiltes Kontrollumfeld effektiv bewerten und überprüfen können. Strenge Überwachung von Compliance Wie gewohnt müssen AWS-Kunden unabhängig von der Art der IT-Bereitstellung weiterhin für eine angemessene Überwachung des gesamten IT-Kontrollumfelds sorgen. Zu den führenden Methoden zählen das Verstehen der zu erfüllenden Compliance-Ziele und -Anforderungen (aus relevanten Quellen), das Einrichten eines Kontrollumfelds, das diese Ziele und Anforderungen erfüllt, das Verstehen der basierend auf der Risikotoleranz der Organisation erforderlichen Überprüfung und das Bestätigen der betrieblichen Effektivität des Kontrollumfelds. Die Bereitstellung in der AWS-Cloud bietet Unternehmen unterschiedliche Möglichkeiten zum Anwenden verschiedener Arten von Kontrollen und Überprüfungsmethoden. Eine strenge Compliance und Überwachung auf Kundenseite kann dem folgenden einfachen Ansatz folgen: 1. Überprüfen der von AWS bereitgestellten Informationen sowie anderer Informationen, um sich so umfassend wie möglich mit der gesamten IT-Umgebung vertraut zu machen, und anschließendes Dokumentieren aller Compliance-Anforderungen 2. Entwerfen und Implementieren von Kontrollzielen zum Erfüllen der Compliance-Anforderungen des Unternehmens 3. Bestimmen und Dokumentieren von Kontrollen in der Zuständigkeit externer Parteien 4. Bestätigen, dass alle Kontrollziele erfüllt werden und alle wichtigen Kontrollen effektiv entworfen sind und betrieben werden Wenn sich Unternehmen der Überwachung von Compliance auf diese Weise annähern, machen sie sich besser mit ihrem Kontrollumfeld vertraut und können dadurch die durchzuführenden Überprüfungsaufgaben besser erledigen. Bewerten und Integrieren von AWS-Kontrollen AWS bietet seinen Kunden umfassende Informationen über seine IT-Kontroll-Umgebung, beispielsweise durch Whitepapers, Berichte, Zertifizierungen oder Bestätigungen von Dritten. Diese Dokumentation hilft Benutzern, mehr über die relevanten Kontrollfunktionen der von ihnen verwendeten AWS-Services zu erfahren und zu verstehen, wie diese Kontrollfunktionen eingestuft wurden. Diese Informationen helfen Kunden ebenfalls bei der Prüfung, ob die Kontrollfunktionen ihrer erweiterten IT-Umgebung effektiv sind. Üblicherweise werden die Entwurfs- und Betriebseffektivität von Kontrollzielen und Kontrollen durch interne und/oder externe Prüfer im Rahmen einer Prozessüberprüfung und Evidenzbewertung geprüft. Zum Überprüfen von Kontrollen erfolgt zumeist (durch den Kunden oder externen Prüfer beim Kunden) eine direkte Beobachtung/Untersuchung. Bei Serviceanbietern wie AWS werden Bescheinigungen und Zertifizierungen von Dritten angefordert und bewertet, um die begründete Gewissheit hinsichtlich Entwurfs- und Betriebseffektivität von Kontrollziel und Kontrollen zu haben. Auch wenn die wichtigsten Kontrollen des Kunden von AWS verwaltet werden, kann das Kontrollumfeld im Ergebnis weiter ein einheitliches Rahmenwerk sein, in dem alle Kontrollen berücksichtigt und als effektiv betrieben bestätigt werden. Beglaubigungen und Zertifizierungen von AWS durch Dritte sorgen nicht nur für einen höheren Grad der Überprüfung des Kontrollumfelds, sondern können Kunden die Anforderung abnehmen, bestimmte Überprüfungsaufgaben für ihre IT-Umgebung in der AWS-Cloud selbst zu erledigen. Seite 4 von 146

5 AWS-IT-Kontrollinformationen AWS bietet seinen Kunden IT-Kontrollinformationen auf die beiden folgenden Weisen: 1. Definition spezifischer Kontrollen. AWS-Kunden können von AWS verwaltete Schlüsselkontrollen bestimmen. Schlüsselkontrollen sind für das Kontrollumfeld des Kunden sehr wichtig und erfordern eine externe Bescheinigung der Betriebseffektivität dieser Schlüsselkontrollen, um Compliance-Anforderungen zu erfüllen, z. B. die jährliche Bilanzprüfung. Zu diesem Zweck veröffentlicht AWS eine Vielzahl von IT-Kontrollen in seinem Service Organization Controls 1 (SOC 1) Type II-Bericht. Der Service Organization Controls 1 (SOC 1) Type II-Bericht, zuvor Statement on Auditing Standards (SAS) No. 70, Service Organizations-Bericht und allgemein SSAE 16-Bericht (Statement on Standards for Attestation Engagements No. 16 genannt, ist eine umfassend anerkannte Prüfungsvorschrift des American Institute of Certified Public Accountants (AICPA). Die SOC 1-Prüfung ist eine umfassende Untersuchung sowohl des Entwurfs als auch der Betriebseffektivität der von AWS definierten Kontrollziele und -aktivitäten (zu der die Kontrollziele und -aktivitäten für den Teil der Infrastruktur zählen, der von AWS verwaltet wird). "Type II" bezieht sich auf die Tatsache, dass alle in dem Bericht beschriebenen Kontrollen vom externen Prüfer nicht nur auf Angemessenheit des Entwurfs, sondern auch auf Betriebseffektivität getestet werden. Aufgrund der Unabhängigkeit und Kompetenz des externen Prüfers von AWS sollten die in dem Bericht identifizierten Kontrollen Kunden mit einem hohen Maß an Vertrauen in das Kontrollumfeld von AWS versehen. Die Kontrollen von AWS zeichnen sich für zahlreiche Compliance-Zwecke, so z. B. Bilanzprüfungen nach Sarbanes-Oxley (SOX) Abschnitt 404, durch einen effektiven Entwurf und Betrieb aus. Das Arbeiten mit SOC 1 Type II-Berichten wird auch von anderen externen Zertifizierungsstellen generell zugelassen (beispielsweise können DIN ISO/IEC Prüfer einen SOC 1 Type II-Bericht anfordern, um ihre Beurteilungen für Kunden fertigzustellen). Andere spezifische Kontrollaktivitäten stehen im Zusammenhang mit der Compliance von AWS mit Payment Card Industry (PCI)- und Federal Information Security Management Act (FISMA)-Standards. Wie nachfolgend erläutert, befolgt AWS die FISMA Moderate-Standards und den PCI Data Security Standard. Diese PCI- und FISMA-Standards zeichnen sich durch strenge Vorschriften aus und erfordern eine unabhängige Bescheinigung, dass AWS die veröffentlichten Standards befolgt. 2. Allgemeine Kontrolle der Standard-Compliance. Wenn ein AWS-Kunde will, dass eine breite Palette von Kontrollzielen erfüllt wird, kann eine Überprüfung der Branchenzertifizierungen von AWS erfolgen. AWS ist nach DIN ISO/IEC zertifiziert, erfüllt somit einen weitreichenden Sicherheitsstandard und befolgt bewährte Methoden zum Aufrechterhalten einer sicheren Umgebung. Durch Befolgen des PCI Data Security Standard (PCI DSS) erfüllt AWS vielfältige Anforderungen an Kontrollen, die für Kreditkartendaten verarbeitende Unternehmen maßgeblich sind. AWS befolgt die FISMA-Standards und bietet dadurch einen breite Palette spezifischer Kontrollen, die von US-Bundesbehörden gefordert werden. Durch die Einhaltung dieser allgemeinen Standards sind Kunden in umfassender Weise und eingehend über das Wesen der vorhandenen Kontrollen und Sicherheitsprozesse, die beim Compliance-Management Berücksichtigung finden können, informiert. AWS-Berichte und -Zertifizierungen sowie Bescheinigungen durch Dritte werden im weiteren Verlauf dieses Dokuments detaillierter behandelt. AWS Globale Regionen Rechenzentren wurden in Clustern in verschiedenen Regionen weltweit errichtet. Derzeit gibt es neun Regionen: USA Ost (Nord-Virginia), USA West (Oregon), USA West (Nordkalifornien), AWS GovCloud (USA) (Oregon), EU (Irland), Asien- Pazifik (Singapur), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney) und Südamerika (São Paulo). Seite 5 von 146

6 AWS-Risiko- und Compliance-Programm AWS bietet Informationen zu seinem Risiko- und Compliance-Programm, damit Kunden AWS-Kontrollen in ihr Überwachungsrahmenwerk integrieren können. Mithilfe dieser Informationen können Kunden ein vollständiges Kontroll- und Überwachungsrahmenwerk dokumentieren, in dem AWS eine wichtige Rolle einnimmt. Risikomanagement Die Geschäftsleitung von AWS hat einen strategischen Unternehmensplan entwickelt, der die Risikoerkennung sowie die Implementierung von Kontrollen zur Verringerung und Bewältigung von Risiken vorsieht. Die Geschäftsleitung von AWS bewertet den strategischen Unternehmensplan mindestens halbjährlich neu. Aufgrund dieses Plans muss die Geschäftsleitung Risiken innerhalb ihrer Zuständigkeitsbereiche erkennen und angemessene Maßnahmen für den Umgang mit solchen Risiken umsetzen. Zusätzlich wird das Kontrollumfeld von AWS verschiedenen internen und externen Risikoanalysen unterzogen. Die Compliance- und Sicherheitsteams von AWS haben ein Rahmenwerk für die und dazugehörige Richtlinien entwickelt. Es basiert auf dem COBIT-Rahmenwerk (Control Objectives for Information and related Technology) und ist wirksam integriert mit dem auf ISO Kontrollfunktionen basierenden zertifizierbaren DIN ISO/IEC Rahmenwerk, den Prinzipien des American Institute of Certified Public Accountants (AICPA) Trust Services, PCI DSS v3.0 und National Institute of Standards and Technology (NIST) Publication Rev 3 (Recommended Security Controls for Federal Information Systems). AWS pflegt die Sicherheitsrichtlinien nach, führt Sicherheitsschulungen für Mitarbeiter durch und prüft die Anwendungssicherheit. Im Rahmen dieser Überprüfungen wird die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sowie die Einhaltung der Richtlinien für die bewertet. In regelmäßigen Abständen untersucht das Sicherheitsteam von AWS alle mit dem Internet verbundenen IP-Adressen von Service-Endpunkten auf Schwachstellen ab (Instances von Kunden werden nicht untersucht). Das AWS- Sicherheitsteam benachrichtigt die betroffenen Parteien, damit diese erkannte Schwachstellen schließen. Zusätzlich werden regelmäßig unabhängige externe Sicherheitsfirmen mit einer Überprüfung auf Schwachstellen beauftragt. Die Ergebnisse und Empfehlungen dieser Überprüfungen werden kategorisiert und an die Geschäftsleitung von AWS weitergeleitet. Diese Untersuchungen werden zum Erhalten der Integrität und Funktionsfähigkeit der zugrunde liegenden AWS-Infrastruktur durchgeführt. Sie sind nicht dazu gedacht, die kundeneigenen Untersuchungen auf Schwachstellen zu ersetzen, die notwendig sind, um die jeweils geltenden Compliance-Anforderungen zu erfüllen. Kunden können die Erlaubnis zur Durchführung solcher Untersuchungen der eigenen Cloud-Infrastruktur beantragen, sofern sich diese Untersuchungen auf die Instances des Kunden beschränken und nicht gegen die Richtlinien zur angemessenen Nutzung von AWS verstoßen. Eine Genehmigung dieser Arten von Untersuchungen kann über das Formular "AWS Vulnerability/Penetration Testing" beantragt werden. Kontrollumfeld AWS verwaltet ein umfassendes Kontrollumfeld, zu dem Richtlinien, Prozesse und Kontrollaktivitäten gehören, die verschiedene Funktionen des allgemeinen Kontrollumfelds von Amazon nutzen. Dieses Kontrollumfeld dient der sicheren Bereitstellung der AWS-Serviceangebote. Das gemeinsame Kontrollumfeld umfasst die Personen, Prozesse und Technologien, die benötigt werden, um eine Umgebung einzurichten und zu verwalten, die die Betriebseffektivität des AWS-Kontrollrahmenwerks unterstützt. AWS hat maßgebliche Cloud-spezifische Kontrollen, die von führenden Cloud Computing-Branchengremien definiert wurden, in das AWS-Kontrollrahmenwerk integriert. AWS verfolgt ständig, welche Vorschläge diese Branchengremien hinsichtlich empfehlenswerter Methoden machen, mit deren Hilfe Kunden bei der Verwaltung ihres Kontrollumfelds besser unterstützt werden können. Seite 6 von 146

7 Das Kontrollumfeld von Amazon setzt auf der Führungsebene des Unternehmens ein. Geschäftsleitung und leitende Angestellte spielen bei der Bestimmung der Firmenphilosophie und Grundwerte des Unternehmens eine entscheidende Rolle. Jeder Mitarbeiter muss den Verhaltenskodex des Unternehmens befolgen, der in regelmäßigen Schulungen vermittelt wird. Compliance-Überprüfungen erfolgen, damit Mitarbeiter die vorgegebenen Richtlinien verstehen und befolgen. Die Organisationsstruktur von AWS schafft einen Rahmen für die Planung, Ausführung und Kontrolle des Geschäftsbetriebs. Im Rahmen der Organisationsstruktur werden Rollen und Zuständigkeiten zugewiesen, um eine geeignete Stellenbesetzung, betriebliche Effizienz und Aufgabentrennung sicherzustellen. Die Geschäftsleitung hat Mitarbeitern in Schlüsselpositionen wichtige Kompetenzen eingeräumt und angemessene Berichtslinien für sie vorgesehen. Als Teil des Verifizierungsprozesses des Unternehmens für Einstellungen werden Ausbildung, bisherige Arbeitsverhältnisse und in manchen Fällen Hintergrundprüfungen einbezogen, soweit dies durch Arbeitnehmergesetze und -regelungen im Hinblick auf die Position des Mitarbeiters und die Zugriffsebene auf AWS-Einrichtungen angemessen ist. Neue Mitarbeiter werden in ihrer Einstellungs- und Integrationsphase von Amazon strukturiert mit den Tools, Prozessen, Systemen, Richtlinien und Verfahren des Unternehmens vertraut gemacht. AWS hat ein formelles sprogramm zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Kundensystemen und -daten in Kraft gesetzt. AWS veröffentlicht ein Whitepaper zur Sicherheit, das auf der öffentlichen Website verfügbar ist und in dem erklärt wird, wie AWS Kunden beim Schutz ihrer Daten helfen kann. AWS-Berichte, Zertifizierungen und Bescheinigungen durch Dritte AWS arbeitet mit externen Zertifizierungsstellen und unabhängigen Prüfern zusammen, um Kunden mit umfassenden Informationen zu Richtlinien, Prozessen und Kontrollen zu versorgen, die von AWS definiert wurden und umgesetzt werden. FedRAMP SM AWS ist ein zugelassener Anbieter von Cloud-Services für das Federal Risk and Authorization Management Program (FedRAMP sm ). AWS wurde durch eine von FedRAMP sm autorisierte Third Party Assessment Organization (3PAO) geprüft und hat zwei ATO-Genehmigungen (Agency Authority to Operate) vom US-Gesundheitsministerium erhalten, nachdem die Einhaltung der FedRAMP sm -Anforderungen auf der mittleren Sicherheitsstufe nachgewiesen wurde. Alle US- Bundesbehörden können die im FedRAMP sm -Repository gespeicherten Agentur-ATO-Pakete verwenden, um AWS für ihre Anwendungen und Arbeitslasten zu bewerten, Autorisierungen für die Verwendung von AWS bereitzustellen und Arbeitslasten in die AWS-Umgebung zu übertragen. Die beiden FedRAMP sm -Agentur-ATOs umfassen sämtliche Regionen der USA (die AWS GovCloud (US)-Region und die AWS US East/West-Regionen). Seite 7 von 146

8 Die folgenden Services fallen unter die Zulassung für die zuvor genannten Regionen: Amazon Redshift Amazon Redshift ist ein schneller, vollständig verwalteter Data Warehouse-Service für Datenmengen im Petabyte-Bereich, mit dem Sie im Zusammenspiel mit Ihren vorhandenen Business Intelligence-Tools alle Ihre Daten einfach und wirtschaftlich analysieren können. Amazon Elastic Compute Cloud (Amazon EC2) Amazon EC2 bietet anpassbare Rechenkapazität in der Cloud. Der Service ist darauf ausgelegt, Cloud Computing für Entwickler zu erleichtern. Amazon Simple Storage Service (S3) Amazon S3 bietet eine einfache Web-Service-Schnittstelle zum Speichern und Abrufen einer beliebigen Datenmenge zu jeder Zeit und von jedem Ort im Internet aus. Amazon Virtual Private Cloud (VPC) Amazon VPC ermöglicht die Bereitstellung eines logisch isolierten Bereichs in AWS, in dem Sie AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk ausführen können. Amazon Elastic Block Store (EBS) Amazon EBS bietet hochverfügbare, zuverlässige und berechenbare Speicher- Volumes, die mit einer ausgeführten Amazon EC2-Instance verbunden und als Gerät zur Verfügung gestellt werden können. AWS Identity and Access Management (IAM) Mit IAM können Sie den Zugriff auf AWS-Services und -Ressourcen für Ihre Benutzer sicher steuern. Mithilfe von IAM können Sie AWS-Benutzer und -Gruppen anlegen und verwalten und mittels Berechtigungen ihren Zugriff auf AWS-Ressourcen zulassen oder verweigern. Weitere Informationen zur AWS FedRAMP sm -Compliance finden Sie in den häufig gestellten Fragen zu AWS FedRAMP sm. FIPS Die Veröffentlichung des Federal Information Processing Standard (FIPS) ist ein Sicherheitsstandard der US- Regierung, mit dem die Sicherheitsanforderungen für Verschlüsselungsmodule angegeben werden, die vertrauliche Informationen schützen. Um Kunden mit FIPS Anforderungen zu unterstützen, werden SSL-Terminierungen auf AWS GovCloud (US) mit FIPS validierter Hardware ausgeführt. AWS arbeitet mit AWS GovCloud (US)-Kunden zusammen, um ihnen die Informationen bereitzustellen, die sie beim Compliance-Management mit der AWS GovCloud (US)-Umgebung benötigen. FISMA und DIACAP AWS ermöglicht es US-Bundesbehörden, die langfristige Einhaltung des Federal Information Security Management Act (FISMA) zu erreichen. Die AWS-Infrastruktur wurde von unabhängigen Prüfern für verschiedene Regierungssysteme im Rahmen ihres Genehmigungsprozesses für Systeminhaber bewertet. Zahlreiche Zivilbehörden und Abteilungen des Verteidigungsministeriums haben erfolgreich Sicherheitsautorisierungen für auf AWS gehostete Systeme gemäß dem Risk Management Framework-Prozess (RMF) erhalten, der in NIST und dem Zertifizierungs- und Akkreditierungsprozess für des Verteidigungsministeriums (DoD Information Assurance Certification and Accreditation Process, (DIACAP) festgelegt ist. HIPAA AWS ermöglicht Körperschaften, die dem Health Insurance Portability and Accountability Act (HIPAA) der USA unterliegen, sowie ihren Geschäftspartnern, geschützte patientenbezogene Daten zu verarbeiten, zu warten und zu speichern; AWS schließt mit solchen Kunden Verträge über eine Geschäftspartnerschaft ab. AWS bietet außerdem ein Whitepaper mit Schwerpunkt auf HIPAA für Kunden, die mehr darüber erfahren möchten, wie AWS zur Verarbeitung und Speicherung von Patientendaten genutzt werden kann. Das Whitepaper Creating HIPAA-Compliant Medical Data Applications with AWS zeigt auf, wie Unternehmen AWS einsetzen können, um die Compliance mit HIPAA and Health Information Technology for Economic and Clinical Health (HITECH) zu unterstützen. Seite 8 von 146

9 Kunden können jeden AWS-Service in einem Konto nutzen, das als HIPAA-Konto ausgewiesen ist, sie sollten PHI jedoch nur in den HIPAA-konformen Services speichern und übertragen, die in den BAA definiert sind. Es gibt derzeit sechs HIPAA-konforme Services: Amazon EC2, Amazon EBS, Amazon S3, Amazon Redshift, Amazon Glacier und Amazon Elastic Load Balancer. AWS befolgt ein standardbasiertes Risikomanagementprogramm, um sicherzustellen, dass die HIPAA-konformen Services die spezifischen Sicherheits-, Kontroll- und Verwaltungsprozesse unterstützen, die gemäß HIPAA erforderlich sind. Indem unsere Kunden diese Services nutzen, um PHI zu speichern und zu verarbeiten, können sie und AWS die HIPAA-Anforderungen erfüllen, die für unser dienstprogrammbasiertes Betriebsmodell gelten. AWS gibt je nach Kundennachfrage neuen konformen Services Vorrang bzw. fügt diese hinzu. ISO 9001 AWS hat eine ISO 9001-Zertifizierung erhalten. Die ISO 9001-Zertifizierung von AWS unterstützt direkt diejenigen Kunden, die ihre qualitätsgeprüften IT-Systeme in der AWS-Cloud entwickeln, migrieren und betreiben. Kunden können die Compliance-Berichte von AWS als Beleg für ihre eigenen Programme gemäß ISO 9001 und branchenspezifischen Qualitätsprogrammen nutzen, etwa GxP in Biowissenschaften, ISO für medizinische Geräte, AS9100 in Luft- und Raumfahrt und ISO/TS im Automobilsektor. AWS-Kunden, die für ihr Qualitätssystem keine Anforderungen zu erfüllen haben, profitieren dennoch von der zusätzlichen Gewissheit und Transparenz, die eine Zertifizierung gemäß ISO 9001 bietet. Die ISO 9001-Zertifizierung deckt das Qualitätsmanagementsystem über einen festgelegten Umfang von AWS-Services und -Betriebsregionen (siehe unten) sowie Services hinweg ab. Dazu gehören: AWS Cloud Formation AWS Cloud-Hardware-Sicherheitsmodul (HSM) AWS CloudTrail AWS Direct Connect Amazon DynamoDB Amazon EC2 VM Import/Export AWS Elastic Beanstalk Amazon Elastic Block Store (EBS) Amazon Elastic Cloud Compute (EC2) Elastic Load Balancing (ELB) Amazon Elastic MapReduce (EMR) Amazon ElastiCache Amazon Glacier AWS Identity and Access Management (IAM) Amazon Redshift Amazon Relational Database Service (RDS) AWS Route 53 Amazon SimpleDB Amazon Simple Storage Service (S3) AWS Storage Gateway Amazon Simple Workflow Service (SWF) Amazon Virtual Private Cloud (VPC) Die zugrunde liegende physische Infrastruktur und die AWS-Verwaltungsumgebung Die Zertifizierung gemäß ISO 9001 von AWS gilt für diese AWS-Regionen: USA Ost (Nord-Virginia), USA West (Oregon), USA West (Nordkalifornien), AWS GovCloud (USA), Südamerika (São Paulo), EU (Irland), Asien-Pazifik (Singapur), Asien- Pazifik (Sydney) und Asien-Pazifik (Tokio). Seite 9 von 146

10 ISO 9001:2008 ist eine weltweite Norm für das Qualitätsmanagement von Produkten und Dienstleistungen. Die Norm 9001 umreißt ein Qualitätsmanagementsystem auf der Grundlage von acht Prinzipien, die vom technischen Ausschuss für Qualitätsmanagement und Qualitätssicherung der Internationalen Organisation für Normung (International Organization for Standardization ISO) definiert wurde. Dazu gehören die Folgenden: Kundenorientierung Führerschaft Einbeziehung von Personen Prozessorientierte Verfahrensweise Systemorientierter Managementansatz Kontinuierliche Verbesserung Sachbezogene Entscheidungsfindung Lieferantenbeziehungen zum gegenseitigen Nutzen DIN ISO/IEC AWS hat die ISO Zertifizierung seines s-managementsystems (ISMS) erreicht, das Infrastruktur, Rechenzentren und Services von AWS abdeckt. Dazu gehören: AWS CloudFormation AWS CloudTrail Amazon DynamoDB AWS Elastic Beanstalk Amazon Elastic Block Store (EBS) Amazon Elastic Cloud Compute (EC2) AWS Direct Connect Amazon EC2 VM Import/Export AWS Cloud-Hardware-Sicherheitsmodul (HSM) Elastic Load Balancing (ELB) Amazon Elastic MapReduce (EMR) Amazon ElastiCache Amazon Glacier AWS Identity and Access Management (IAM) Amazon Redshift Amazon Relational Database Service (RDS) AWS Route 53 Amazon SimpleDB Amazon Simple Storage Service (S3) Amazon Simple Workflow Service (SWF) AWS Storage Gateway Amazon Virtual Private Cloud (VPC) Die zugrunde liegende physische Infrastruktur (einschließlich GovCloud) und die AWS-Verwaltungsumgebung Seite 10 von 146

11 DIN ISO/IEC 27001/ISO ist ein weit verbreiteter globaler Sicherheitsstandard, der Anforderungen und bewährte Methoden für eine systematische Vorgehensweise zur Verwaltung von Unternehmens- und Kundendaten beschreibt und auf regelmäßigen Risikobewertungen basiert, die an sich ständig ändernde Bedrohungsszenarien angepasst sind. Um die Zertifizierung zu erhalten, muss ein Unternehmen zeigen, dass es über einen systematischen und kontinuierlichen Ansatz für den Umgang mit srisiken verfügt, die die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmens- und Kundendaten bedrohen. Diese Zertifizierung unterstreicht das Engagement von Amazon, Sicherheitskontrollen und -praktiken transparent zu machen. Die Zertifizierung von AWS nach DIN ISO/IEC umfasst alle AWS-Rechenzentren in allen Regionen weltweit. Außerdem hat AWS ein formelles Programm eingeführt, um die Zertifizierung zu bestätigen. AWS bietet auf seiner Website weitere Informationen und Antworten auf häufig gestellte Fragen zur Zertifizierung nach DIN ISO/IEC ITAR Die AWS GovCloud (US)-Region unterstützt die Einhaltung der US International Traffic in Arms Regulations (ITAR, Regelungen des internationalen Waffenhandels). Als Teil der Verwaltung eines umfangreichen Programms zur Einhaltung von ITAR müssen Unternehmen, die den Exportregelungen von ITAR unterliegen, unbeabsichtigte Exporte kontrollieren, indem der Zugriff auf geschützte Daten auf Personen aus den USA und der physische Standort dieser Daten auf die USA beschränkt wird. Die von AWS GovCloud (USA) bereitgestellte Umgebung befindet sich physisch in den USA. Der Zugriff durch AWS-Personal ist auf Personen aus den USA beschränkt. Daher können qualifizierte Unternehmen durch ITAR geschützte Artikel und Daten übertragen, verarbeiten und speichern. Die Umgebung AWS GovCloud (USA) wurde durch einen unabhängigen Dritten geprüft, um sicherzustellen, dass die ordnungsgemäßen Kontrollen zur Unterstützung der Exportregelungsprogramme von Kunden vorhanden sind. PCI DSS Level 1 AWS erfüllt die Anforderungen von "Level 1" des PCI (Payment Card Industry) DSS (Data Security Standard), dem Datensicherheitsstandard der Zahlungs- und Kreditkartenbranche. Kunden können ihre Anwendungen auf unserer PCIkonformen Technologieinfrastruktur für die Speicherung, Verarbeitung und Übermittlung von Kreditkartendaten in der Cloud ausführen. Im Februar 2013 hat das PCI Security Standards Council die PCI DSS Cloud Computing Guidelines herausgegeben. Diese Leitlinien bieten Kunden, die eine Datenumgebung für Karteninhaber betreiben, Anleitungen zum Einrichten von PCI DSS-Kontrollen in der Cloud. AWS hat die PCI DSS Cloud Computing-Leitlinien in das AWS PCI- Compliance-Paket für Kunden integriert. Das AWS PCI Compliance-Paket umfasst die AWS PCI Attestation of Compliance (AoC), die bestätigt, dass AWS die Standards für Dienstanbieter der Stufe 1 gemäß PCI DSS Version 3.0 erfüllt, und die AWS PCI Responsibility Summary, in der erläutert wird, wie sich AWS und seine Kunden die Zuständigkeiten für Compliance in der Cloud teilen. Für folgende Services gilt PCI DSS der Stufe 1: AWS Auto Scaling AWS CloudHSM AWS CloudTrail AWS Direct Connect Amazon DynamoDB (DDB) Amazon Elastic Block Store (EBS) Amazon Elastic Compute Cloud (EC2) Elastic Load Balancing (ELB) Amazon Elastic MapReduce (EMR) Amazon Glacier AWS Identity and Access Management (IAM) Amazon Redshift Seite 11 von 146

12 Amazon Relational Database Service (RDS) Amazon Route 53 Amazon SimpleDB (SDB) Amazon Simple Storage Service (S3) Amazon SQS Amazon SWF Amazon Virtual Private Cloud (VPC) Welche Services aktuell unter die AWS PCI DSS-Zertifizierung der Stufe 1 fallen, kann hier eingesehen werden: Häufige Fragen zu PCI DSS der Stufe 1. SOC 1/SSAE 16/ISAE 3402 Amazon Web Services veröffentlicht den Bericht "Service Organization Controls 1 (SOC 1), Type II". Die dieser Berichterstattung zugrunde liegende Prüfung wird in Übereinstimmung mit den Standards "Statement on Standards for Attestation Engagements No. 16 (SSAE 16)" und "International Standards for Assurance Engagements No (ISAE 3402)" durchgeführt. Dieser zwei Standards abdeckende Bericht hat zum Ziel, eine breite Palette finanzieller Prüfanforderungen von Prüfstellen in den USA und internationalen Prüfstellen zu erfüllen. Der SOC 1-Bericht bescheinigt, dass die Kontrollziele von AWS angemessen ausgearbeitet wurden und die einzelnen zum Schutz der Kundendaten definierten Kontrollen effektiv umgesetzt werden. Dieser Bericht ersetzt den Prüfbericht "Statement on Auditing Standards Nr. 70 (SAS 70) Type II". Die AWS SOC 1-Kontrollziele werden hier erläutert. Im Bericht selbst sind die Kontrollaktivitäten, die alle diese Ziele unterstützen, sowie die Ergebnisse der Testverfahren der einzelnen Kontrollen des unabhängigen Prüfers angegeben. Zielbereich Sicherheitsorganisation Amazon- Benutzerzugriff Logische Sicherheit Sicherer Umgang mit Daten Physische Sicherheit und Schutzvorkehrungen für die Umgebung Änderungsmanagement Integrität, Verfügbarkeit und Redundanz von Daten Umgang mit Vorfällen Zielbeschreibung Durch Kontrollen wird in angemessener Weise sichergestellt, dass Richtlinien für die in Kraft gesetzt und in der gesamten Organisation vermittelt wurden. Durch Kontrollen wird in angemessener Weise sichergestellt, dass Verfahren so eingerichtet wurden, dass Amazon-Benutzerkonten zeitgerecht hinzugefügt, geändert und gelöscht sowie regelmäßig überprüft werden. Durch Kontrollen wird in angemessener Weise sichergestellt, dass unerlaubter Zugriff auf die Daten von interner und externer Stelle beschränkt wird und dass der Zugriff auf die Daten eines Kunden vom Zugriff auf die Daten anderen Kunden getrennt ist. Durch Kontrollen wird in angemessener Weise sichergestellt, dass die Datenverarbeitung zwischen dem Ausgangspunkt des Kunden und dem Speicherort von AWS sicher und ordnungsgemäß zugeordnet ist. Durch Kontrollen wird in angemessener Weise sichergestellt, dass der physische Zugriff auf das Betriebsgebäude von Amazon und die Rechenzentren auf autorisiertes Personal beschränkt ist und dass Verfahren zum Minimieren der Auswirkungen einer Fehlfunktion oder eines physischen Ausfalls der Computer- und Rechenzentrumsanlagen in Kraft sind. Durch Kontrollen wird in angemessener Weise sichergestellt, dass Änderungen (einschließlich bei Notfällen/Abweichungen von der Routine und Konfigurationen) an den vorhandenen IT-Ressourcen protokolliert, autorisiert, getestet, genehmigt und dokumentiert werden. Durch Kontrollen wird in angemessener Weise sichergestellt, dass die Datenintegrität in allen Phasen von der Übermittlung über die Speicherung bis hin zur Verarbeitung gewährleistet ist. Durch Kontrollen wird in angemessener Weise sichergestellt, dass Systemvorfälle aufgezeichnet, untersucht und behoben werden. Seite 12 von 146

13 Bei den SOC 1-Berichten liegt der Schwerpunkt auf Kontrollen einer Serviceorganisation, die bei einer Überprüfung der Bilanzen eines Unternehmens voraussichtlich relevant sind. Da der Kundenstamm von AWS ebenso breit gefächert ist wie die Nutzung von AWS-Services, hängt die Anwendbarkeit von Kontrollen von Kundenbilanzen vom jeweiligen Kunden ab. Deshalb deckt der AWS SOC 1-Bericht bestimmte wichtige Kontrollen ab, die während einer Bilanzprüfung voraussichtlich erforderlich sind. Zugleich wird eine breite Palette allgemeiner IT-Kontrollen abgedeckt, um eine Vielzahl von Nutzungs- und Prüfszenarien zu berücksichtigen. Dies ermöglicht Kunden die Nutzung der AWS-Infrastruktur zum Speichern und Verarbeiten kritischer Daten einschließlich derjenigen, die für den Bilanzberichtsprozess wesentlich sind. AWS analysiert regelmäßig die Auswahl dieser Kontrollen neu, um Kundenfeedback und die Nutzung dieses wichtigen Prüfberichts zu berücksichtigen. AWS arbeitet weiter am SOC 1-Bericht und wird den Prozess regelmäßiger Prüfungen fortsetzen. Der SOC 1-Bericht umfasst Folgendes: SOC 2 AWS CloudFormation AWS CloudHSM AWS CloudTrail AWS Direct Connect Amazon DynamoDB Amazon EC2 VM Import/Export Amazon Elastic Beanstalk Amazon Elastic Block Store (EBS) Amazon ElastiCache Amazon Elastic Compute Cloud (EC2) Amazon Elastic Load Balancing (ELB) Amazon Elastic MapReduce (EMR) Amazon Glacier AWS Identity and Access Management (IAM) Amazon Redshift Amazon Relational Database Service (RDS) Amazon Route 53 Amazon SimpleDB Amazon Simple Storage Service (S3) Amazon Simple Workflow (SWF) AWS Storage Gateway Amazon Virtual Private Cloud (VPC) Zusätzlich zum SOC 1-Bericht (Service Organization Controls) veröffentlicht AWS einen SOC-Bericht, Typ II. Der SOC 2- Bericht ist ähnlich wie der SOC 1-Bericht eine Bescheinigung, für die die Bewertung der Kontrollfunktionen auf die Kriterien der American Institute of Certified Public Accountants (AICPA) Trust Services Principles ausgeweitet wird. Diese Grundsätze bestimmen für Serviceanbieter wie AWS maßgebliche Kontrollfunktionen für die Praxis hinsichtlich Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz. Der AWS SOC 2-Bericht ist eine Bewertung der Entwurfs- und Betriebseffektivität von Kontrollfunktionen, die die Kriterien der Sicherheitsgrundsätze in den Trust Services Principles-Kriterien der AICPA erfüllen. Dieser Bericht bietet mehr Transparenz hinsichtlich der AWS- Sicherheitseinstellungen basierend auf einem vordefinierten Branchenstandard für bewährte Methoden und unterstreicht ferner den unbedingten Willen von AWS, Kundendaten zu schützen. Der SOC 2-Bericht deckt die gleichen Services ab wie der SOC 1-Bericht. Erläuterungen zu den abgedeckten Services finden Sie oben in der SOC 1-Beschreibung. Seite 13 von 146

14 SOC 3 AWS veröffentlicht einen Bericht "Service Organization Controls 3 (SOC 3)". Der SOC 3-Bericht ist eine öffentlich zugängliche Zusammenfassung des SOC 2-Berichts und bietet das Sicherheitssiegel AICPA SysTrust Security Seal. Der Bericht umfasst die Auffassung des externen Auditors hinsichtlich des Einsatzes der Kontrollen (basierend auf den im SOC 2-Bericht eingeschlossenen AICPA s Security Trust Principles ), die Aussage der AWS-Führung bezüglich der Wirksamkeit der Kontrollen und einen Überblick über die AWS-Infrastruktur und -Services. Der AWS SOC 3-Bericht schließt alle AWS-Rechenzentren weltweit ein, deren Services diesen Vorschriften unterliegen. Dieser Bericht ermöglicht Kunden eine Bestätigung, dass AWS eine externe Prüfbescheinigung erhalten hat, ohne den Prozess der Beantragung eines SOC 2- Berichts durchlaufen zu müssen. Der SOC 3-Bericht deckt die gleichen Services ab wie der SOC 1-Bericht. Erläuterungen zu den abgedeckten Services finden Sie oben in der SOC 1-Beschreibung. Den AWS SOC 3-Bericht können Sie hier anzeigen: Sonstige bewährte Methoden zur Compliance Die Flexibilität und Benutzerfreundlichkeit der AWS-Plattform erlaubt die Bereitstellung von Lösungen, die branchenspezifischen Zertifizierungsanforderungen genügen. CSA: AWS hat den Fragenkatalog der Cloud Security Alliance (CSA) Consensus Assessments Initiative beantwortet. Dieser von der CSA veröffentlichte Fragenkatalog bietet eine Möglichkeit zur Bezugnahme und Dokumentation, welche Sicherheitsvorkehrungen in der IaaS-Infrastruktur von AWS geboten werden. Der Fragebogen (CAIQ) umfasst 140 Fragen, die ein Cloud-Nutzer und Cloud-Auditor einem Cloud-Anbieter eventuell stellen möchten. In Anhang A dieses Dokuments finden Sie den von AWS ausgefüllten Fragenkatalog der CSA Consensus Assessments Initiative. MPAA: Die Motion Picture Association of America (MPAA) hat bewährte Methoden für die sichere Speicherung, Verarbeitung und Bereitstellung geschützter Medien und Inhalte erarbeitet (http://www.fightfilmtheft.org/facility-security-program.html). Medienunternehmen nutzen diese bewährten Methoden als Möglichkeit zum Bewerten von Risiken und Sicherheit ihrer Inhalte und Infrastruktur. AWS hat die Befolgung bewährter Methoden von MPAA unter Beweis gestellt und die AWS-Infrastruktur erfüllt sämtliche geltenden MPAA-Infrastrukturkontrollen. Wenngleich die MPAA keine "Zertifizierung" bietet, können Kunden aus der Medienbranche AWS MPAA-Dokumentation zur Verbesserung ihrer Risikoanalyse und Überprüfung von MPAA-Inhalten in AWS benutzen. In Anhang B dieses Dokuments finden Sie Informationen über die Ausrichtung von AWS am Content Security Model der Motion Picture of America Association (MPAA). Seite 14 von 146

15 Wichtige Compliance-Fragen und AWS In diesem Abschnitt werden allgemeine AWS-spezifische Fragen zur Compliance beim Cloud Computing behandelt. Diese allgemeinen Compliance-Fragen sind ggf. bei der Überprüfung des Betriebs in einer Cloud Computing-Umgebung von Interesse und können die Anstrengungen von AWS-Kunden beim Kontrollmanagement unterstützen. Punkt Fragen zum Cloud- Informationen zu AWS Computing 1 Zuständigkeit für Kontrollen. Wer ist für welche Kontrollen in der Infrastruktur zuständig, die in der Cloud bereitgestellt ist? 2 Überprüfung der IT. Wie kann eine Überprüfung des Cloud- Anbieters erfolgen? 3 Compliance mit Sarbanes- Oxley (SOX). Wie wird SOX- Compliance erreicht, wenn SOX unterliegende Systeme in der Umgebung des Cloud- Anbieters bereitgestellt werden? 4 Compliance mit HIPAA. Können bei einer Bereitstellung in der Umgebung des Cloud- Anbieters HIPAA-Vorgaben erfüllt werden? Für den in AWS bereitgestellten Teil kontrolliert AWS die physischen Komponenten der jeweiligen Technologie. Der Kunde übernimmt die Zuständigkeit und Kontrolle für alle anderen Komponenten, einschließlich Verbindungspunkte und Übertragungen. Um Kunden besser zu veranschaulichen, welche Kontrollen vorhanden sind und wie effektiv diese sind, veröffentlicht AWS einen SOC 1 Type II-Bericht zu den für EC2, S3 und VPC definierten Kontrollen sowie detaillierte Angaben zu den Kontrollen der physischen Sicherheit und Umgebung. Diese Kontrollen sind mit einem hohen Grad an Spezifität definiert, der die Anforderungen der meisten Kunden erfüllen sollte. AWS-Kunden, die eine Vertraulichkeitsvereinbarung mit AWS unterzeichnet haben, können ein Exemplar des SOC 1 Type II-Berichts anfordern. Die Überprüfung der meisten Ebenen und Kontrollen oberhalb der physischen Kontrollen liegt weiter in der Zuständigkeit des Kunden. Die Definition der von AWS definierten logischen und physischen Kontrollen ist im SOC 1 Type II-Bericht dokumentiert (SSAE 16). Dieser Bericht steht Audit- und Compliance-Teams zur Prüfung zur Verfügung. Die AWS-Zertifizierung nach DIN ISO/IEC und andere Zertifizierungen können ebenfalls von Prüfern geprüft werden. Wenn ein Kunde Finanzdaten in der AWS-Cloud verarbeitet, stellen Prüfer des Kunden ggf. fest, dass einige AWS-Systeme den Sarbanes-Oxley (SOX)- Vorschriften unterliegen. Die Prüfer des Kunden müssen selbständig bestimmen, ob SOX-Vorschriften gelten. Da die meisten logischen Zugriffskontrollen vom Kunden verwaltet werden, ist der Kunde am ehesten in der Lage zu bestimmen, ob seine Kontrollmaßnahmen geltende Normen erfüllen. Wenn die SOX-Prüfer spezifische Informationen zu den physischen Kontrollen von AWS wünschen, können sie Bezug auf den SOC 1 Type II-Bericht von AWS nehmen, in dem die Kontrollen von AWS detailliert beschrieben werden. HIPAA-Vorschriften gelten für den AWS-Kunden und unterliegen seiner Zuständigkeit. Die AWS-Plattform lässt die Bereitstellung von Lösungen zu, die branchenspezifische Zertifizierungsvorgaben wie HIPAA erfüllen. Kunden können AWS-Services nutzen, um für einen Sicherheitsgrad zu sorgen, der die Vorschriften zum Schutz elektronischer Patientenakten auf jeden Fall erfüllt. Kunden haben in AWS beispielsweise Anwendungen für das Gesundheitswesen erstellt, die den Sicherheits- und Datenschutzregeln von HIPAA entsprechen. AWS bietet auf seiner Website weitere Informationen zur Compliance mit HIPAA, so z. B. ein Whitepaper zu diesem Thema. Seite 15 von 146

16 Punkt Fragen zum Cloud- Computing 5 Compliance mit GLBA. Können bei einer Bereitstellung in der Umgebung des Cloud- Anbieters GLBA- Zertifizierungsvorgaben erfüllt werden? 6 Compliance mit US- Bundesvorschriften. Kann eine US-Bundesbehörde bei einer Bereitstellung in der Umgebung des Cloud- Anbieters Sicherheits- und Datenschutzvorschriften erfüllen? 7 Speicherort der Daten. Wo sind Kundendaten gespeichert? 8 E-Discovery. Erfüllt der Cloud- Anbieter die Anforderungen des Kunden hinsichtlich E- Discovery-Verfahren und - Vorgaben? 9 Rechenzentrumsbesuche. Lässt der Cloud-Anbieter Besuche von Rechenzentren zu? Informationen zu AWS Die meisten GLBA-Vorgaben unterliegen der Kontrolle des AWS-Kunden. AWS bietet Kunden Möglichkeiten zum Schützen von Daten, Verwalten von Berechtigungen und Erstellen GLBA-konformer Anwendungen in der AWS- Infrastruktur. Wenn Kunden sich vergewissern möchten, ob physische Sicherheitskontrollen effektiv arbeiten, können sie den Anforderungen entsprechend Bezug auf den AWS SOC 1 Type II-Bericht nehmen. US-Bundesbehörden können eine Reihe von Standards einhalten wie z. B. den Federal Information Security Management Act (FISMA) von 2002, Federal Risk and Authorization Management Program (FedRAMP sm ), den Federal Information Processing Standard (FIPS) Publication und die International Traffic in Arms Regulations (ITAR). Je nach Vorgaben im jeweiligen Regelwerk ist auch die Einhaltung weiterer Gesetze und Vorschriften möglich. AWS-Kunden geben an, in welcher Region sich ihre Daten und Server physisch befinden sollen. Die Datenreplikation für S3-Datenobjekte erfolgt innerhalb des regionalen Clusters, in dem die Daten gespeichert sind, und die Daten werden nicht in andere Rechenzentrums-Cluster in anderen Regionen repliziert. AWS-Kunden geben an, in welcher Region sich ihre Daten und Server physisch befinden sollen. AWS verschiebt Daten von Kunden nicht ohne vorherige Benachrichtigung des Kunden aus den ausgewählten Regionen, es sei denn, dies ist erforderlich, um Gesetze oder Vorschriften einzuhalten. Derzeit gibt es neun Regionen: USA Ost (Nord-Virginia), USA West (Oregon), USA West (Nordkalifornien), AWS GovCloud (USA) (Oregon), EU (Irland), Asien- Pazifik (Singapur), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney) und Südamerika (São Paulo). AWS stellt die Infrastruktur. Die Kunden verwalten alle anderen Komponenten einschließlich Betriebssystem, Netzwerkkonfiguration und installierte Anwendungen. Es liegt in der Zuständigkeit des Kunden für den Fall eines Rechtsverfahrens, elektronische Dokumente, die in AWS gespeichert oder verarbeitet werden, zu bestimmen, zu sammeln, zu verarbeiten, zu analysieren und vorzulegen. Auf Antrag arbeitet AWS ggf. mit Kunden zusammen, die bei Rechtsverfahren die Unterstützung durch AWS benötigen. Nein. Aufgrund der Tatsache, dass in unseren Rechenzentren viele Kunden gehostet werden, lässt AWS keine Rechenzentrumsbesuche durch Kunden zu, da damit das Risiko besteht, dass eine dritte Partei physischen Zugriff auf die Daten vieler Kunden hat. Zur Erfüllung dieser Kundenanforderung überprüft ein unabhängiger und kompetenter Prüfer das Vorhandensein und den Einsatz von Kontrollen als Teil unseres SOC 1 Type II-Berichts (SSAE 16). Durch diese weitreichend akzeptierte Bescheinigung durch einen Dritten erhalten Kunden eine unabhängige Sicht auf die Wirksamkeit der vorhandenen Kontrollen. AWS-Kunden, die eine Vertraulichkeitsvereinbarung mit AWS unterzeichnet haben, können ein Exemplar des SOC 1 Type II-Berichts anfordern. Unabhängige Prüfungen der physischen Sicherheit von Rechenzentren gehören zum ISO Audit, der PCI-Bewertung, dem ITAR-Audit und den Testprogrammen der FedRAMP sm. Seite 16 von 146

17 Punkt Fragen zum Cloud- Computing 10 Zugriff durch Dritte. Dürfen Dritte auf die Rechenzentren des Cloud-Anbieters zugreifen? 11 Privilegierte Aktionen. Werden privilegierte Aktionen überwacht und kontrolliert? 12 Zugriff durch Unternehmensangehörige. Wie geht der Cloud-Anbieter mit dem Risiko eines unangemessenen Zugriffs durch Unternehmensangehörige auf Kundendaten und - anwendungen um? 13 Mehrere Mandanten. Ist die Trennung der Daten verschiedener Kunden sicher umgesetzt? 14 Hypervisor-Schwachstellen. Hat der Cloud-Anbieter bekannte Hypervisor- Schwachstellen beseitigt? Informationen zu AWS AWS kontrolliert streng den Zugriff auf Rechenzentren, selbst bei internen Mitarbeitern. Dritte erhalten nur Zutritt zu AWS-Rechenzentren, wenn dies explizit durch den zuständigen Manager des jeweiligen AWS-Rechenzentrums gemäß der AWS-Zutrittsrichtlinie genehmigt ist. Im SOC 1 Type II-Bericht finden Sie die für den physischen Zutritt und die Zutrittsgenehmigung für Rechenzentren geltenden Kontrollen sowie weitere Kontrollen. Vorhandene Kontrollen begrenzen den Zugriff auf Systeme und Daten und sorgen dafür, dass der Zugriff auf Systeme und Daten eingeschränkt ist und überwacht wird. Darüber hinaus sind Kundendaten und Server-Instances standardmäßig logisch von anderen Kunden isoliert. Die Zutrittskontrolle für berechtigte Benutzer wird von einem unabhängigen Auditor im Rahmen der SOC 1-, ISO , PCI-, ITAR- und FedRAMP sm -Audits bei AWS überprüft. AWS hat bestimmte SOC 1-Kontrollen eingerichtet, die sich auf das Risiko eines unangemessenen Zugriffs durch Unternehmensangehörige beziehen, und die öffentlichen Zertifizierungs- und Compliance-Initiativen, die in diesem Dokument behandelt werden, befassen sich mit dem Zugriff durch Unternehmensangehörige. Bei sämtlichen Zertifizierungen und Bescheinigungen durch Dritte werden präventive und nachträglich aufdeckende Kontrollen des logischen Zugriffs überprüft. Darüber hinaus konzentrieren sich regelmäßige Risikobewertungen darauf, wie der Zugriff durch Unternehmensangehörige kontrolliert und überwacht wird. Die AWS-Umgebung ist eine virtualisierte Umgebung für mehrere Mandanten. AWS hat Sicherheitsverwaltungsprozesse, PCI-Kontrollen und andere Sicherheitskontrollen eingerichtet, mit deren Hilfe die Daten der einzelnen Kunden voneinander getrennt werden. AWS-Systeme sind so konzipiert, dass Kunden daran gehindert werden, auf physische Hosts oder Instances zuzugreifen, die ihnen nicht zugewiesen sind, indem eine Filterung durch die Virtualisierungssoftware erfolgt. Diese Architektur wurde von einem unabhängigen PCI Qualified Security Assessor (QSA) bestätigt und hält alle Anforderungen der im November 2013 veröffentlichten PCI DSS Version 3.0 ein. Beachten Sie, dass AWS auch Einzelmandantenoptionen bietet. Dedicated Instances sind Amazon EC2-Instances, die innerhalb Ihrer Amazon Virtual Private Cloud (Amazon VPC) gestartet werden und nur zur Ausführung der Hardware eines einzigen Kunden dienen. Mithilfe von Dedicated Instances kommen Sie in den vollen Genuss der Vorteile der Amazon VPC und AWS-Cloud, während Ihre Amazon EC2-Instances auf Hardware-Ebene isoliert werden. Amazon EC2 nutzt derzeit eine stark angepasste Version des Xen-Hypervisors. Der Hypervisor wird regelmäßig von internen und externen Expertenteams auf neue und vorhandene Schwachstellen und Angriffsmöglichkeiten geprüft und eignet sich gut für die Aufrechterhaltung einer strikten Trennung zwischen virtuellen Gastmaschinen. Im Verlauf von Begutachtungen und Überprüfungen wird der Xen-Hypervisor von AWS regelmäßig von unabhängigen Prüfern beurteilt. Im AWS-Whitepaper zur Sicherheit finden Sie weitere Informationen zum Xen-Hypervisor und zur strikten Trennung von Instances. Seite 17 von 146

18 Punkt Fragen zum Cloud- Computing 15 Umgang mit Schwachstellen. Werden Patches ordnungsgemäß in Systeme eingespielt? 16 Verschlüsselung. Unterstützen die bereitgestellten Services eine Verschlüsselung? 17 Rechte an Daten. Welche Rechte werden dem Cloud- Anbieter an Kundendaten eingeräumt? 18 Datenisolierung. Trennt der Cloud-Anbieter Kundendaten auf angemessene Weise? 19 Zusammengesetzte Services. Bietet der Cloud-Anbieter seinen Service im Zusammenspiel mit Cloud- Services anderer Anbieter an? 20 Physische und Umgebungskontrollen. Werden diese Kontrollen vom angegebenen Cloud-Anbieter übernommen? 21 Schutz auf Client-Seite. Erlaubt der Cloud-Anbieter Kunden die Absicherung und Verwaltung des Zugriffs von Clients wie PCs und mobilen Geräten? 22 Serversicherheit. Erlaubt der Cloud-Anbieter Kunden die Absicherung ihrer virtuellen Server? Informationen zu AWS AWS ist zuständig für das Einspielen von Patches in Systeme, die für die Bereitstellung von Services für die Kunden genutzt werden, z. B. Hypervisor und Netzwerkdienste. Dies erfolgt gemäß AWS-Richtlinien sowie DIN ISO/IEC , NIST- und PCI-Vorgaben. Kunden obliegt die Kontrolle ihrer eigenen Gastbetriebssysteme, Software und Anwendungen. Sie sind demzufolge für das Einspielen von Patches in ihre eigenen Systeme selbst verantwortlich. Ja. AWS erlaubt Kunden die Nutzung ihrer eigenen Verschlüsselungsmethoden für nahezu sämtliche Services, einschließlich S3, EBS, SimpleDB und EC2. IPsec- Tunnel zu VPC sind auch verschlüsselt. Amazon S3 bietet Kunden auch als Option die serverseitige Verschlüsselung. Kunden können auch Verschlüsselungsmethoden anderer Anbieter nutzen. Weitere Informationen finden Sie im AWS-Whitepaper zur Sicherheit. Kontrolle und Besitz der eigenen Daten verbleiben bei den AWS-Kunden. AWS geht beim Schutz der Kundendaten auf Nummer Sicher und achtet sorgfältig darauf, welche gesetzlichen Vorschriften einzuhalten sind. AWS zögert nicht, Verfügungen von Strafverfolgungsbehörden anzufechten, wenn das Unternehmen der Meinung ist, die Verfügungen seien ohne solide Grundlage. Für alle von AWS im Auftrag von Kunden gespeicherten Daten gibt es strenge Sicherheits- und Kontrollfunktionen zum Gewährleisten der strikten Trennung von Kundendaten. Amazon S3 bietet erweiterte Datenzugriffskontrollen. Weitere Informationen zur Sicherheit bestimmter Datenservices finden Sie im AWS-Whitepaper zur Sicherheit. AWS arbeitet nicht mit anderen Cloud-Anbietern zusammen, um Kunden AWS-Services zu bieten. Ja. Siehe hierzu den entsprechenden Abschnitt im SOC 1 Type II-Bericht. Zudem sind aufgrund weiterer von AWS unterstützter Zertifikate, wie ISO und FedRAMP sm, bewährte Methoden für physische und Umgebungskontrollen erforderlich. Ja. AWS erlaubt Kunden die Verwaltung von Client- und mobilen Anwendungen entsprechend ihren Anforderungen. Ja. AWS erlaubt Kunden die Implementierung ihrer eigenen Sicherheitsarchitektur. Im AWS-Whitepaper zur Sicherheit finden Sie weitere Informationen zur Server- und Netzwerksicherheit. Seite 18 von 146

19 Punkt Fragen zum Cloud- Computing 23 Identitäts- und Zugriffsverwaltung. Bietet der Service Funktionen für die Identitäts- und Zugriffsverwaltung? 24 Geplante Ausfallzeiten für Wartungen. Wird der Kunde benachrichtigt, wenn Systeme zu Wartungszwecken heruntergefahren werden? 25 Skalierbarkeit. Erlaubt der Anbieter Kunden eine Skalierung, die über den Ursprungsvertrag hinausgeht? 26 Verfügbarkeit von Services. Verpflichtet sich der Anbieter zu einem hohen Grad an Verfügbarkeit? 27 DDoS-Angriffe (Distributed Denial Of Service). Welche Schutzvorkehrungen bietet der Anbieter gegen DDoS- Angriffe? 28 Portierbarkeit von Daten. Können die bei einem Service- Anbieter gespeicherten Daten auf Kundenwunsch exportiert werden? 29 Aufrechterhaltung des Geschäftsbetriebs durch den Service-Anbieter. Bietet der Service-Anbieter ein Programm zur Aufrechterhaltung des Geschäftsbetriebs? 30 Betriebskontinuität auf Kundenseite. Erlaubt der Service-Anbieter Kunden die Implementierung eines Plans zur Betriebskontinuität? Informationen zu AWS AWS bietet verschiedene Funktionen für die Identitäts- und Zugriffsverwaltung, die Kunden das Verwalten von Benutzeridentitäten, das Zuweisen von Anmeldeinformationen, das Organisieren von Benutzern in Gruppen und das Verwalten von Benutzerberechtigungen zentral ermöglichen. Auf der AWS-Website finden Sie weitere Informationen. AWS muss Systeme für regelmäßige Wartungs- und System-Patch-Aufgaben nicht offline schalten. Die internen Wartungs- und System-Patch-Vorgänge bei AWS haben in der Regel keine Auswirkungen auf Kunden. Die Wartung der Instances selbst ist Aufgabe des Kunden. Die AWS-Cloud zeichnet sich durch Verteilung, hohe Sicherheit und Ausfallsicherheit aus und bietet Kunden ein enormes Skalierungspotenzial. Kunden können ihre Bereitstellung vergrößern oder verkleinern und zahlen stets nur, was sie nutzen. In seinen Service Level Agreements (SLA) verpflichtet sich AWS zu hohen Verfügbarkeitsgraden. Für Amazon EC2 verpflichtet sich AWS beispielsweise zu einer Betriebszeit von 99,95 % im Jahr der Serviceleistung. Bei Amazon S3 beträgt die mindestens zugesagte Betriebszeit 99.9 %. Sollten diese Verfügbarkeitszeiten nicht eingehalten werden, erfolgen Servicegutschriften. Das AWS-Netzwerk bietet umfassenden Schutz vor üblichen Netzwerk- Sicherheitsproblemen. Darüber hinaus kann der Kunde zusätzliche Sicherheitsmaßnahmen implementieren. Im AWS-Whitepaper zur Sicherheit finden Sie weitere Informationen zu diesem Thema und auch eine Erläuterung von DDoS-Angriffen. AWS ermöglicht Kunden das Verschieben von Daten zwischen ihrem eigenen und AWS-Speicher den Anforderungen entsprechend. Der AWS Import/Export- Service für S3 beschleunigt das Verschieben großer Datenmengen in und aus AWS mithilfe tragbarer Speichergeräte für den Transport. AWS bietet ein Programm zur Aufrechterhaltung des Geschäftsbetriebs. Ausführliche Informationen finden Sie im AWS-Whitepaper zur Sicherheit. AWS bietet Kunden die Möglichkeit der Implementierung eines zuverlässigen Plans zur Betriebskontinuität, einschließlich häufiger Sicherungen von Server- Instances, Replikation zur Datenredundanz und sich über mehrere Regionen/Availability Zones erstreckender Bereitstellungsarchitekturen. Seite 19 von 146

20 Punkt Fragen zum Cloud- Computing 31 Lebensdauer von Daten. Bestimmt der Service die Lebensdauer von Daten? 32 Sicherungskopien. Ermöglicht der Service Sicherungen auf Band? 33 Preisanstiege. Darf der Service-Anbieter seine Preise unangemeldet erhöhen? 34 Nachhaltigkeit. Bietet der Service-Anbieter ein langfristiges Nachhaltigkeitspotenzial? Informationen zu AWS Amazon S3 bietet eine Speicherinfrastruktur mit hoher Beständigkeit. Objekte werden auf mehreren Geräten an mehreren Standorten einer Amazon S3-Region redundant gespeichert. Nach der Speicherung bewahrt Amazon S3 die Beständigkeit von Objekten durch schnelle Erkennung und Behebung etwaiger Redundanzverluste. Amazon S3 überprüft auch regelmäßig die Integrität der gespeicherten Daten anhand von Prüfsummen. Wenn Datenbeschädigungen festgestellt werden, erfolgt eine Reparatur mittels redundanter Daten. In S3 gespeicherte Daten sind auf eine Beständigkeit von 99, % und eine Verfügbarkeit von Objekten von 99,99 % über einen Zeitraum von einem Jahr ausgelegt. AWS erlaubt Kunden das Anlegen eigener Sicherungen auf Band über ihren eigenen Service-Anbieter für Bandsicherungen. AWS bietet allerdings keinen Bandsicherungsservice an. Der Amazon S3-Service ist mit einer Wahrscheinlichkeit von Datenverlusten auf nahezu 0 % ausgelegt. Die Beständigkeit von Datenobjektkopien an mehreren Standorten wird mittels redundanter Datenspeicherung erreicht. Informationen zur Beständigkeit und Redundanz von Daten finden Sie auf der AWS-Website. AWS zeichnet sich durch häufige Preissenkungen aus, da die Kosten zum Bereitstellen dieser Services mit der Zeit sinken. In den vergangen Jahren hat AWS seine Preise stets reduziert. AWS ist ein führender Cloud-Anbieter und ein langfristiges Strategieprojekt von Amazon.com. AWS hat ein sehr hohes langfristiges Nachhaltigkeitspotenzial. Kontakt mit AWS Kunden können die von unseren externen Auditoren erstellten Berichte und ausgestellten Zertifizierungen sowie weitere Informationen über AWS Compliance anfordern, indem sie sich an AWS Sales and Business Development wenden. Der Vertreter leitet Kunden je nach Art ihrer Anfrage an das entsprechende Team weiter. Weitere Informationen zur AWS-Compliance finden Sie auf der Website zur AWS-Compliance oder senden Sie Fragen direkt an Seite 20 von 146

Amazon Web Services Risiko und Compliance Juli 2012

Amazon Web Services Risiko und Compliance Juli 2012 Amazon Web Services Risiko und Compliance Juli 2012 (Die aktuelle Version finden Sie unter http://aws.amazon.com/security.) 1 Dieses Dokument bietet Informationen, mit deren Hilfe AWS-Kunden AWS in ihr

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

DBaaS - Amazon AWS, Microsoft Azure und Oracle Cloud im Vergleich. Gerd Schoen Abbecons UG (haftungsbeschränkt) Dortmund

DBaaS - Amazon AWS, Microsoft Azure und Oracle Cloud im Vergleich. Gerd Schoen Abbecons UG (haftungsbeschränkt) Dortmund DBaaS - Amazon AWS, Microsoft Azure und Oracle Cloud im Vergleich Gerd Schoen Abbecons UG (haftungsbeschränkt) Dortmund Abbecons UG (haftungsbeschränkt) gegründet 1.10.2015 Gerd Schoen, Berater > 40 Jahre

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Microsoft Azure Sicherheit, Datenschutz & Compliance

Microsoft Azure Sicherheit, Datenschutz & Compliance Sicherheit, Datenschutz & Compliance Daniel R. Bösel Microsoft Deutschland GmbH Technologietrend: Cloud Einführung VORTEILE Cloud Trend: 70% Tempo 2 Wochen für den neuen Service im Gegensatz zu 6-12 Monate

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

Die Bausteine der AWS Web Services

Die Bausteine der AWS Web Services Die Bausteine der AWS Web Chris Schlaeger Director, Kernel and Operating Systems Managing Director, Amazon Development Center Germany GmbH Amazon Development Center Germany Gegründet im März 2013 Niederlassungen

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen D-TRUST GmbH Kommandantenstraße 15 10969 Berlin für den Zertifizierungsdienst D-TRUST SSL Class 3 CA die Erfüllung

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Cloud Governance in deutschen Unternehmen eine Standortbestimmung

Cloud Governance in deutschen Unternehmen eine Standortbestimmung Cloud Governance in deutschen Unternehmen eine Standortbestimmung ISACA Fokus Event Meet & Explore IT Sicherheit & Cloud Aleksei Resetko, CISA, CISSP PricewaterhouseCoopers AG WPG 2015 ISACA Germany Chapter

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Die Sicherheit von VMware vcloud Air TECHNISCHES WHITE PAPER

Die Sicherheit von VMware vcloud Air TECHNISCHES WHITE PAPER Die Sicherheit von VMware vcloud Air TECHNISCHES WHITE PAPER Das gemeinsame Sicherheitsmodell für vcloud Air Die End-to-End-Sicherheit von VMware vcloud Air (der Service ) wird zwischen VMware und dem

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Management von Beschwerden und Einsprüchen

Management von Beschwerden und Einsprüchen Management von Beschwerden und Einsprüchen für die für Wald & Holz-Zertifizierung Bureau Veritas Certification Verfahrensweise - TQR I&F Division V2-0 - Februar 2015 Move Forward with Confidence 1. EINLEITUNG

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Risikofragebogen Cyber-Versicherung

Risikofragebogen Cyber-Versicherung - 1 / 5 - Mit diesem Fragebogen möchten wir Sie und / oder Ihre Firma sowie Ihren genauen Tätigkeitsbereich gerne kennenlernen. Aufgrund der von Ihnen gemachten Angaben besteht für keine Partei die Verpflichtung

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Qualitätsmanagement in Gesundheitstelematik und Telemedizin: Sind ISO 9001 basierte Managementsysteme geeignet?

Qualitätsmanagement in Gesundheitstelematik und Telemedizin: Sind ISO 9001 basierte Managementsysteme geeignet? DGG e.v. PRE-WORKSHOP TELEMED BERLIN 2009 Qualitätsmanagement in Gesundheitstelematik und Telemedizin: Sind ISO 9001 basierte Managementsysteme geeignet? Dr. med. Markus Lindlar Deutsches Zentrum für Luft-

Mehr

CeSeC Certified Secure Cloud

CeSeC Certified Secure Cloud CeSeC Certified Secure Cloud - Der sichere Weg in die Cloud - 1 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015 Was macht der Bayerische IT-Sicherheitscluster e.v.? Bündelung der IT-Sicherheits-Kompetenz

Mehr

Sicherheit in der Cloud

Sicherheit in der Cloud y Sicherheit in der Cloud Professionelles Projektmanagement mit InLoox now! Ein InLoox Whitepaper Veröffentlicht: Juli 2013 Aktuelle Informationen finden Sie unter http://www.inloox.de Die in diesem Dokument

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Ändern von IP Adressen beim ISA Server (intern/extern)

Ändern von IP Adressen beim ISA Server (intern/extern) Ändern von IP Adressen beim ISA Server (intern/extern) Version: 1.0 / 25.12.2003 Die in diesem Whitepaper enthaltenen Informationen stellen die behandelten Themen aus der Sicht von Dieter Rauscher zum

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

Payment Card Industry (PCI) Datensicherheitsstandard. Änderungsübersicht von PCI-DSS Version 3.0 auf 3.1

Payment Card Industry (PCI) Datensicherheitsstandard. Änderungsübersicht von PCI-DSS Version 3.0 auf 3.1 Payment Card Industry (PCI) Datensicherheitsstandard Änderungsübersicht von PCI-DSS Version 3.0 auf 3.1 April 2015 Einleitung Dieses Dokument enthält eine Übersicht über die Änderungen von PCI-DSS Version

Mehr

Ließe sich Ihre Druckumgebung sicherer und effizienter gestalten?

Ließe sich Ihre Druckumgebung sicherer und effizienter gestalten? HP Access Control Ließe sich Ihre Druckumgebung sicherer und effizienter gestalten? Welche sind Ihre Sicherheits- und Compliance- Richtlinien? Wo in Ihrer Organisation werden vertrauliche oder geschäftskritische

Mehr

Energieeffiziente IT

Energieeffiziente IT EnergiEEffiziente IT - Dienstleistungen Audit Revision Beratung Wir bieten eine energieeffiziente IT Infrastruktur und die Sicherheit ihrer Daten. Wir unterstützen sie bei der UmsetZUng, der Revision

Mehr

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN EINFÜHRUNG KURZE EINFÜHRUNG IN DIE ERSTELLUNG UND VERWALTUNG VON

Mehr

Payment Card Industry (PCI) Datensicherheitsstandard

Payment Card Industry (PCI) Datensicherheitsstandard Payment Card Industry (PCI) Datensicherheitsstandard Konformitätsbescheinigung für Selbstbeurteilungs-Fragebogen B Version 3.0 Februar 2014 1. Abschnitt: Informationen zur Beurteilung Anleitung zum Einreichen

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

I. Für Benutzer mit Wohnsitz in den Vereinigten Staaten von Amerika gelten die Bestimmungen dieses Absatzes I:

I. Für Benutzer mit Wohnsitz in den Vereinigten Staaten von Amerika gelten die Bestimmungen dieses Absatzes I: Datenschutz- und Sicherheitsrichtlinien Schutz und Sicherheit von personen- und gesundheitsbezogenen Daten haben für Outcome Sciences, Inc. d/b/a Outcome ( Outcome ) höchste Priorität. Outcome behandelt

Mehr

PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses. Version 3 2012-2013

PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses. Version 3 2012-2013 PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses Version 3 2012-2013 Erklärung des Vorstands Die Herausforderung ist es, eine langfristige und nachhaltige

Mehr

(Oracle) BPM in der Cloud

(Oracle) BPM in der Cloud ti&m seminare (Oracle) BPM in der Cloud Integration, Chancen und Risiken Alexander Knauer Architect ti&m AG Version 1.0 28. Januar 2013 ti&m AG Buckhauserstrasse 24 CH-8048 Zürich Belpstrasse 39 CH-3007

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

Fall 7: Outsourcing falsch behandelt

Fall 7: Outsourcing falsch behandelt Fall 7: Outsourcing falsch behandelt Andreas Toggwyler Partner KPMG, Genf und Zürich Outsourcing falsch behandelt (1/2) Es ist unklar, inwiefern die externen Ressourcen zur IT bezüglich der Anforderungen

Mehr

Data Overwrite Kit. Optional Data Overwrite Kit GP-1050 für e-studio230/280 e-studio350/450 GP-1060 für e-studio520/600/720/850 e-studio281c/351c/451c

Data Overwrite Kit. Optional Data Overwrite Kit GP-1050 für e-studio230/280 e-studio350/450 GP-1060 für e-studio520/600/720/850 e-studio281c/351c/451c Toshibas Sicherheitslösung für MFP Daten Optional GP-1050 für e-studio230/280 e-studio350/450 GP-1060 für e-studio520/600/720/850 e-studio281c/351c/451c Einführung Digitale multifunktionale Peripheriegeräte

Mehr

Überwachung und Überprüfung privilegierter Benutzer mit IBM Tivoli Compliance Insight Manager

Überwachung und Überprüfung privilegierter Benutzer mit IBM Tivoli Compliance Insight Manager Lösungen für Security Information and Event Management Zur Unterstützung Ihrer Geschäftsziele Überwachung und Überprüfung privilegierter Benutzer mit IBM Tivoli Compliance Insight Manager Unbefugte Aktivitäten

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

QI SERVICES. QI RISK.

QI SERVICES. QI RISK. QI SERVICES. QI RISK. 3/7/2014 1 Agenda QI Services Qi Risk Rechtliches Umfeld QI Risk Audit Auf einen Blick Ihr Nutzen Risk Scan 3/7/2014 2 QI Services Mit der Produktgruppe QI Services unterstützen wir

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Wichtige Technologietrends Schutz der Daten (vor Diebstahl und fahrlässiger Gefährdung) ist für die Einhaltung von Vorschriften und

Mehr

Payment Card Industry (PCI) Datensicherheitsstandard

Payment Card Industry (PCI) Datensicherheitsstandard Payment Card Industry (PCI) Datensicherheitsstandard Konformitätsbescheinigung für Selbstbeurteilungs-Fragebogen P2PE-HW Version 3.0 Februar 2014 Abschnitt 1: Beurteilungsinformationen Anleitung zum Einreichen

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SIZ Informatikzentrum der Sparkassenorganisation GmbH Simrockstraße 4 53113 Bonn für die Software Sicherer

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Payment Card Industry (PCI) Datensicherheitsstandard

Payment Card Industry (PCI) Datensicherheitsstandard Payment Card Industry (PCI) Datensicherheitsstandard Konformitätsbescheinigung für Selbstbeurteilungs-Fragebogen A-EP Version 3.0 Februar 2014 1. Abschnitt: Informationen zur Beurteilung Anleitung zum

Mehr

Preise und Details zum Angebot

Preise und Details zum Angebot Die SAP Business One Cloudplattform auf SQL und HANA Preise und Details zum Angebot Dezember 2015 v2 www.cloudiax.de Cloudiax Preisliste Detaillierte Informationen zum Angebot finden Sie auf den nachfolgenden

Mehr

Informationsblatt Zertifizierung nach der DIN EN ISO 9001

Informationsblatt Zertifizierung nach der DIN EN ISO 9001 Informationsblatt Zertifizierung nach der DIN EN ISO 9001 Die DIN EN ISO 9001 ist ein weltweit anerkannter Standard, der Anforderungen an ein wirksames Qualitätsmanagement definiert. Er wurde branchenneutral

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

Bewertung. Vorgespräch. Interne Vorbereitung. Zertifizierungsaudit. Wiederholungsaudit. Überwachungsaudit

Bewertung. Vorgespräch. Interne Vorbereitung. Zertifizierungsaudit. Wiederholungsaudit. Überwachungsaudit Bewertung,62=HUWLIL]LHUXQJ Vorgespräch Interne Vorbereitung 0RQDWH Zertifizierungsaudit Wiederholungsaudit DOOH-DKUH Überwachungsaudit MlKUOLFK Wenn eine Organisation ein,62ãã=huwlilndw anstrebt, so muss

Mehr

Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland

Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland Cloud Computing. Marktsituation in Deutschland. 30% 65% 90% Marktwachstum von 2015 auf 2016 Interviewte Personen:

Mehr

Technische Universität München

Technische Universität München Technische Universität München Lehrstuhl für Sport & Gesundheitsförderung Studiengang Gesundheits- und Pflegewissenschaften Dozent: Dr. Franz Schweiger Modul: Management im Gesundheitswesen I (Qualitätsmanagement)

Mehr

CON.ECT Informunity. Rudolf Kochesser Krzysztof Müller, CISA, CISSP 21.02.2008

CON.ECT Informunity. Rudolf Kochesser Krzysztof Müller, CISA, CISSP 21.02.2008 IT in Balance - Bedeutung von Risikomanagement und Compliance CON.ECT Informunity Rudolf Kochesser Krzysztof Müller, CISA, CISSP 21.02.2008 Management In Balance ROI Organization Business Quality Compliancy

Mehr

Änderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000

Änderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000 Änderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000 Dr. Martin Czaske Sitzung der DKD-FA HF & Optik, GS & NF am 11. bzw. 13. Mai 2004 Änderung der ISO/IEC 17025 Anpassung der ISO/IEC 17025 an ISO 9001:

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für die Firewall- und Serverinstallation SmartHome Backend und

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Rund um Sorglos. Information Communication Technology Ebner e.u. für Home Office oder Small Office. [Datum einfügen]

Rund um Sorglos. Information Communication Technology Ebner e.u. für Home Office oder Small Office. [Datum einfügen] Information Communication Technology Ebner e.u. für Home Office oder Small Office [Datum einfügen] Ingeringweg 49 8720 Knittelfeld, Telefon: 03512/20900 Fax: 03512/20900-15 E- Mail: jebner@icte.biz Web:

Mehr

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de ISO9001 2015 Hinweise der ISO Organisation http://isotc.iso.org/livelink/livelink/open/tc176sc2pub lic Ausschlüsse im Vortrag Angaben, die vom Vortragenden gemacht werden, können persönliche Meinungen

Mehr

Reporting Services Dienstarchitektur

Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur In Reporting Services wird ein Berichtsserver als ein Windows - Dienst implementiert, der aus unterschiedlichen Featurebere i-

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Datenschutz- und IT-Sicherheitsaudit

Datenschutz- und IT-Sicherheitsaudit Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze Agenda 54. GMDS-Jahrestagung Essen, 2009-09-09 1. 2. M&M a) b) Audit

Mehr

CA Access Control for Virtual Environments

CA Access Control for Virtual Environments HÄUFIG GESTELLTE FRAGEN for Virtual Environments Oktober 2011 Die zehn häufigsten Fragen 1. Was ist for Virtual Environments?... 2 2. Welche Vorteile bietet for Virtual Environments?... 2 3. Welche zentralen

Mehr

F 3.1 AUFBAU DES QUALITÄTSMANAGEMENTSYSTEMS

F 3.1 AUFBAU DES QUALITÄTSMANAGEMENTSYSTEMS Ökumenische Friedrichsdorf AUFBAU DES 1. EINFÜHRUNG Das Qualitätsmanagementsystem der Ökumenischen Friedrichsdorf dient der Unternehmensführung als Instrument zur Realisierung der stationsinternen Qualitätspolitik

Mehr

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT INHALT 1 Zweck und Anwendungsbereich 2 2 Begriffe / Definitionen 2 2.1 Definitionen 2 3 Zuständigkeiten 2 4 Verfahrensbeschreibung 3 4.1 Schematische Darstellung Fehler! Textmarke nicht definiert. 4.2

Mehr

Wie gewinnen Sie Vertrauen in eine Inspektionsstelle? Sollte diese nach ISO 9001 zertifiziert oder nach ISO/IEC 17020 akkreditiert sein?

Wie gewinnen Sie Vertrauen in eine Inspektionsstelle? Sollte diese nach ISO 9001 zertifiziert oder nach ISO/IEC 17020 akkreditiert sein? Sollte diese nach ISO 9001 zertifiziert oder nach ISO/IEC 17020 akkreditiert sein? Worauf sollten Sie achten, wenn Sie eine Inspektion benötigen? 3 Wie gewinnen Sie Vertrauen in eine 4 Wie kann das Vertrauen

Mehr

Deutsche Übersetzung des IAF Dokumentes IAF MD 2:2007

Deutsche Übersetzung des IAF Dokumentes IAF MD 2:2007 IAF - Verbindliches Dokument für die Übertragung akkreditierter Zertifizierungen von Managementsystemen 71 SD 6 014 Revision: 1.1 20. August 2015 Deutsche Übersetzung des IAF Dokumentes IAF MD 2:2007 Die

Mehr

Payment Card Industry (PCI) Datensicherheitsstandard

Payment Card Industry (PCI) Datensicherheitsstandard Payment Card Industry (PCI) Datensicherheitsstandard Konformitätsbescheinigung für Vor-Ort-Beurteilungen - Händler Version 3.0 Februar 2014 1. Abschnitt: Informationen zur Beurteilung Anleitung zum Einreichen

Mehr

Skalierbare und elas.sche Cloud Services. Steffen Krause Technical Evangelist @AWS_Aktuell skrause@amazon.de

Skalierbare und elas.sche Cloud Services. Steffen Krause Technical Evangelist @AWS_Aktuell skrause@amazon.de Skalierbare und elas.sche Cloud Services Steffen Krause Technical Evangelist @AWS_Aktuell skrause@amazon.de U.lity Compu.ng U.lity Compu.ng Nach Bedarf Abrechnung nach Verbrauch Einheitlich Verfügbar U.lity

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

FIRMENPROFIL. Virtual Software as a Service

FIRMENPROFIL. Virtual Software as a Service FIRMENPROFIL Virtual Software as a Service WER WIR SIND ECKDATEN Die ViSaaS GmbH & Co. KG ist Ihr professioneller Partner für den Bereich Virtual Software as a Service. Mit unseren modernen und flexiblen

Mehr

Secure Cloud - "In-the-Cloud-Sicherheit"

Secure Cloud - In-the-Cloud-Sicherheit Secure Cloud - "In-the-Cloud-Sicherheit" Christian Klein Senior Sales Engineer Trend Micro Deutschland GmbH Copyright 2009 Trend Micro Inc. Virtualisierung nimmt zu 16.000.000 14.000.000 Absatz virtualisierter

Mehr

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework Einführung MSF MOF Microsoft Solutions Framework Microsoft Operations Framework Daniel Dengler CN7 Agenda Unterschied MSF - MOF Microsoft Solutions Framework Elementare Komponenten grundlegende Richtlinien

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Informationssicherheitsmanagement in der betrieblichen Praxis Anforderungen nach ISO/IEC 27001:2013 und das Zusammenwirken mit dem Qualitätsmanagement ISO 9001 IKS Service

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

4. Einführung eines Qualitätsmanagementsystems

4. Einführung eines Qualitätsmanagementsystems Einführung eines Qualitätsmanagementsystems 14 4. Einführung eines Qualitätsmanagementsystems Ein Qualitätsmanagementsystem ist ein Managementsystem zum Lenken und Leiten eines Unternehmens bezüglich der

Mehr

Magento goes into the cloud Cloud Computing für Magento. Referent: Boris Lokschin, CEO

Magento goes into the cloud Cloud Computing für Magento. Referent: Boris Lokschin, CEO Magento goes into the cloud Cloud Computing für Magento Referent: Boris Lokschin, CEO Agenda Über symmetrics Unsere Schwerpunkte Cloud Computing Hype oder Realität? Warum Cloud Computing? Warum Cloud für

Mehr

Whitepaper. EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit

Whitepaper. EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit Whitepaper EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit Funktionsumfang: Plattform: Verschlüsselung, Signierung und email-versand von EDIFACT-Nachrichten des deutschen Energiemarktes gemäß der

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

Preise und Details zum Angebot

Preise und Details zum Angebot Die SAP Business One Cloud Plattform auf SQL und HANA Preise und Details zum Angebot Mai 2016 Cloudiax Preisliste Detaillierte Informationen zum Angebot finden Sie auf den nachfolgenden Seiten. Preis im

Mehr

Veränderungen zur vorherigen Norm

Veränderungen zur vorherigen Norm Veränderungen zur vorherigen Norm Grundlegende Änderungen Kernnormen der ISO 9000 Normenreihe, in den grundlegend überarbeiteten Fassungen: DIN EN ISO 9000: 2000 Qualitätsmanagementsysteme - Grundlagen

Mehr

Addendum zum Lizenzvertrag für die BlackBerry-Lösung WatchDox Cloud by BlackBerry ( Addendum )

Addendum zum Lizenzvertrag für die BlackBerry-Lösung WatchDox Cloud by BlackBerry ( Addendum ) Addendum zum Lizenzvertrag für die BlackBerry-Lösung WatchDox Cloud by BlackBerry ( Addendum ) Wichtige Hinweise: Um auf diesen Cloud Service (im Sinne der nachfolgenden Definition) zuzugreifen bzw. um

Mehr