KKaiser 10 Geschrieben 31. Januar 2012 Melden Teilen Geschrieben 31. Januar 2012 Hier kennt man sich anscheinend mit Zertifizierungen aus! Meine Frage geht zwar etwas in eine andere Richtung, aber ich versuche es trotzdem. Was bedeuten eigentlich diese Zertifizierungen: ISO27001, MoReq2, SAS 70 Typ II; Ich bin auf der Suche nach einer sicheren Business Cloud. Sagen diese nun etwas aus, oder sind diese Zertifizierungen nichtssagende Standards? Zitieren Link zu diesem Kommentar
Damian 1.533 Geschrieben 31. Januar 2012 Melden Teilen Geschrieben 31. Januar 2012 Hallo und willkommen on Board. :) Die einzelnen Zertifizierungen werden doch auf der Folio-Website erläutert. Wenn Dir das nicht reicht, musst Du dich notgedrungen in die einzelnen Themen etwas einlesen. ;) Damian Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 4. Januar 2014 Melden Teilen Geschrieben 4. Januar 2014 Ich habe den Link zu der fraglichen Webseite entfernt. Sah mir zu sehr nach Werbung aus... ;) Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 5. Januar 2014 Melden Teilen Geschrieben 5. Januar 2014 Oh mei, der Platz hier würde für eine qualifizierte Antwort kaum reichen. Grundsätzlich: Ein Unternehmen, welches eine Zertifizierung im Informationssicherheitsbereich durchgeführt hat, musste sich zumindest mal sehr intensiv mit seinen Risiken und deren Behandlung auseinandergesetzt haben. Außerdem muß ein IS-Management aufgesetzt sein. Über das tatsächliche Sicherheitsniveau sagen die meisten Zertifikate aber nichts aus. Speziell bei der ISO 27001 in der native Ausprägung kommt es nicht auf das Sicherheitsniveau an, sondern auf die Verwaltung der Risiken. Besser ist hier die Ausprägung nach ISO 27001 auf Basis IT-Grundschutz, weil hier zumindest die grundsätzlichen Sicherheitsmaßnahmen flächendeckend umgesetzt sein müssen und darauf die Verwaltung der "Restrisiken" aufbaut. Das wichtigste überhaupt, auf was bezieht sich das Zertifikat? Viele Blender zertifizieren ihre interne IT und lassen den Kundenbereich außen vor. Dann besagt so ein Zertifikat gleich null. Dann gibt es natürlich noch Zertifikate von Verbänden der Cloud-Industrie. Die Richtlinienwerke dahinter sind gut, ob diese wirklich umgesetzt sind würde ich bei einem Zertifikat eines Interessenverbands nicht beschwören wollen. Die SAS70-Zertifizierung macht nur bei der Auslagerung des Rechnungswesens in die Cloud einen Sinn. Und dann auch nur bei Verwendung der internationalen Rechnungswesen-Standards. Dreh den Spieß doch erst mal um. Was möchtet ihr eigentlich in die Cloud verlagern? Welche Sicherheitsanforderungen habt ihr an die Informationen welche ausgelagert werden sollen? Welche gesetzlichen Vorgaben sind zu berücksichtigen? Hilfreich hierfür wäre auch: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02251.html Aufgrund der vorherigen ermittelten Anforderungen lasst ihr euch von den Anbietern erläutern, wie diese Anforderungen denn von den Cloud-lern im Detail umgesetzt werden. Und nicht abspeisen lassen mit dem Hinweis "wir sind doch zertifiziert, da ist alle in Ordnung". Nicht vergessen, wenn ihr personenbezogene Daten in die Cloud auslagert, müsst ihr laut Gesetz auch regelmäßig vor Ort die Einhaltung der Sicherheitsbestimmungen prüfen. Cloud-Anbieter die sich hier zieren, könnt ihr schon mal aussortieren. Eine Zertifizierung, so sie sich auf die Cloud-Dienstleistung bezieht, ist nach jedem System hilfreich für eine Vorauswahl. Sie kann aber die Erstellung eines eigenen Sicherheitskonzeptes mit darauf folgendem Abgleich mit dem Cloud-Anbieter nicht ersetzen. Die Verantwortung für die Sicherheit (Haftung) eurer Informationen bleibt bei euch. Wenn der Cloud-Anbieter schlampt, ist das in erster Linie euer Problem. Genug für Heute, hth Pitti (der Audits für solche Zertifizierungen durchführt) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.