Unternehmenszertifikate
Zertifikate als Basis für vertrauensvolle und sichere Unternehmensführung
Unternehmenszertifikate sind das Instrument, um den Level der Cyber- und Informationssicherheit innerhalb eines Unternehmens zu gewährleisten und nach außen hin darzustellen. Zertifiziert werden meist Managementsysteme, die Umsetzung von Compliance-Anforderungen oder Technische Richtlinien. Die Realisierung erfolgt durch die Umsetzung von technischen, organisatorischen und personellen Sicherheitsmaßnahmen. Neben dem Unternehmen schließen diese aufgrund der vernetzten Wirtschaft zunehmend auch die Zulieferer ein, um die gesamte Lieferkette abzusichern.
Durch erfolgreiche Zertifizierungen können sich Unternehmen Wettbewerbsvorteile sichern, in manchen Branchen werden sie für Partnerunternehmen aber auch bereits grundsätzlich vorausgesetzt. Beispielsweise ist in der Automobilbranche TISAX eine grundlegende Anforderung, während von Dienstleistern im IT-Sektor häufig eine Zertifizierung nach ISO 27001 erwartet wird. Zudem können die geforderten Management- und Prozessstrukturen auch zu Synergieeffekten mit anderen Unternehmensprozessen führen. So lassen sich etwa Qualitätsmanagement und Informationssicherheitsmanagement effizient kombinieren.
Die Zertifizierungsprozesse beinhalten i.d.R. eine Dokumentationspflicht oder regelmäßige Vor-Ort-Audits. Das Erlangen des Zertifikats bescheinigt dem Unternehmen einen spezifischen Sicherheitslevel in einem festgelegten Geltungsbereich. Dieser kann das gesamte Unternehmen, einen Teilbereich oder nur einzelne Prozesse oder Fachaufgaben beinhalten. Beispielsweise kann ein Unternehmen entscheiden, nur das Rechenzentrum oder die Entwicklungsabteilung zertifizieren zu lassen, wenn diese besonders sicherheitskritisch sind.
Zu den aktuellen Zertifikaten:
ISO 27001 -Zertifizierung auf Basis IT-Grundschutz
(—) Beschreibung
Zertifizierung nach VdS 10000
(—-) Beschreibung
TISAX Assessment
(—- ) Beschreibung
PCI DSS
( —- )Beschreibung
Zertifizierung nach ISO/IEC 27001
(—)Beschreibung
| Allgemeine Informationen | Zielgruppe | Prüfspezifika | Umsetzung | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Herausgeber | Relevante Normen und Gesetze |
Prüfinstanzen | Geltungsbereich / Anwendungsbereich |
Zielanwender/-branchen | Anerkennungsraum | Umsetzungsempfehlung / Verbindlichkeit |
Beschreibung | Prüfverfahren | Ergebnis | Gültigkeit | Rezertifizierung/erneuter Nachweis | Prüfschema | Vorbereitung | Dokumentations- und Implementierungsaufwand |
Aufrechterhaltung | Auditkosten | Anzahl der Umsetzungen |
| Bundesamt für Sicherheit in der Informationstechnik (BSI) | BSI-Standard 200-X IT-Grundschutz Kompendium ISO/IEC 27001:2022 ISO/IEC 270XX | BSI, Vom BSI zugelassene Prüfstellen | Managementsystem für Informationsicherheit (ISMS) für einen ausgewählten Teilbereich oder die gesamte Organisation. Neben der Zertifizierung nach Kern- oder Standardabsicherung wird auch ein Testat zum Nachweis der Basisabsicherung abgeboten. | Öffentliche Verwaltung, KRITIS | Deutschland, Teilweise EU | Empfohlen in der öffentlichen Verwaltung. Kann geeignet sein um Compliance-Vorgaben insb. im KRITIS-Sektor zu erfüllen. | Kombination der internationalen Norm ISO/IEC 27001 mit den spezifischen Sicherheitsanforderungen des BSI-Grundschutzes. | Zertifizierungsverfahren | Zertifikat, Testat/Attestierung | 3 Jahre | Re-Zertifizierungsaudit nach drei Jahren | *(nur Zertifizierung)
| Ausbau ISMS: Implementierung eines ISMS basierend auf der Grundschutzmethodik des BSI.
Risikoanalyse: Durchführung einer Schutzbedarfsfeststellung und Modellierung gemäß IT-Grundschutz.
Dokumentation: Erstellung und Pflege der notwendigen Richtlinien, Prozesse und Verfahrensdokumentationen.
Sensibilisierung: Sensibilisierung und Schulung der Mitarbeiter in Bezug auf IT-Grundschutz-Methodik.
Interne Prüfung: Vorbereitung auf das externe Audit durch interne Audits und Gap-Analysen. |
Sehr hoch
Umfasst umfangreiche ISMS-Dokumentationen, Sicherheitsprozesse, Schutzbedarfsfeststellung, Risikoanalysen, Sicherheitskonzepte, Maßnahmenumsetzung, interne Audits, Managementbewertungen, Schulungen und umfassende IS-Richtlinien. |
Jährliches Überwachungsaudit / interne Revision.
Kontinuierliche Verbesserung des ISMS.
Prüfung auf neue Bedrohungen und geänderte Rahmenbedingungen. |
Typischerweise zwischen 20.000 und 50.000€ |
Zwischen 100 und 250 (Deutschland) |
|
| VdS Schadenverhütung GmbH (Vertrauen durch Sicherheit) | VdS 10000 (ISMS für KMU) VdS 10002 (Zertifizierung von Managementsystemen) VdS 100XX ISO/IEC 27001:2022 |
VdS, VdS-akkreditierte Auditoren | Managementsystem für Informationsicherheit (ISMS) für einen ausgewählten Teilbereich oder die gesamte Organisation |
Alle (KMU) | Deutschland | Einsteigerfreundliche Zertifizierung für KMU, die ihre Informationssicherheit erhöhen möchten. | Praxisnaher Standard für KMU mit Fokus auf grundlegende Maßnahmen zur Absicherung von Unternehmens-IT. | Zertifizierungsverfahren | Zertifikat | 3 Jahre | Re-Zertifizierungsaudit nach drei Jahren | Selbstbewertung (Optional): Interne Prüfung der Sicherheitsmaßnahmen. Phase 1 (Dokumentenprüfung): Kontrolle der dokumentierten Risikoanalysen und Sicherheitsrichtlinien. Phase 2 (Umsetzungsprüfung): Bewertung der tatsächlichen Umsetzung der Sicherheitsmaßnahmen Vor-Ort. Auditbericht: Zusammenfassung der Ergebnisse und eventueller Nachbesserungen. Zertifikatsausstellung: Nach erfolgreichem Auditbericht. | Ausbau ISMS: Entwicklung eines leichtgewichtigen ISMS, speziell für KMU. Risikoanalyse: Identifikation und Bewertung von Risiken im Unternehmen. Dokumentation: Erarbeitung und Pflege einer übersichtlichen und praxisnahen Dokumentation. Sensibilisierung: Schulungen und Awareness-Maßnahmen für Mitarbeiter zu den grundlegenden Sicherheitsanforderungen. Interne Prüfung: Durchführung eines internen Checks zur Bewertung der Maßnahmen. |
MittelUmfasst kompakte und praxisorientierte ISMS-Dokumentation, Sicherheitsprozesse, Risikoanalysen und Maßnahmenpläne. | Jährliches Überwachungsaudit / interne Revision. Kontinuierliche Verbesserung des ISMS. Prüfung der Effektivität der implementierten Maßnahmen. |
Typischerweise zwischen 5.000 und 15.000€ | Zwischen 100 und 250 (Deutschland) |
| International Organisation for Standardization (ISO), International Electrotechnical Comission (IEC) | ISO/IEC 27001:2022 ISO/IEC 270XX |
Akkreditierte Zertifizierungsstellen, *(Internationale Akkreditierungsstellen) | Managementsystem für Informationsicherheit (ISMS) für einen ausgewählten Teilbereich oder die gesamte Organisation | Alle, IT und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Automobilindustrie, KRITIS | International | Der DeFacto Standard in der Informationssicherheit. Ist oft eine Voraussetzung in öffentlichen Ausschreibungen. | International anerkannte Norm für die Implementierung, den Betrieb und die kontinuierliche Verbesserung eines ISMS. | Zertifizierungsverfahren | Zertifikat | 3 Jahre | Re-Zertifizierungsaudit nach drei Jahren | Vor-Audit (Optional): Bewertung des ISMS und Identifikation von Schwachstellen. Phase 1 (Dokumentenprüfung): Überprüfung der ISMS-Dokumentation, Risikoanalysen und Maßnahmenpläne. Phase 2 (Umsetzungsprüfung): Vor-Ort-Audit zur Kontrolle der implementierten Maßnahmen. Auditbericht: Zusammenfassung der Ergebnisse und Empfehlung zur Zertifikatsvergabe. Zertifikatsausstellung: Nach erfolgreichem Auditbericht. | Ausbau ISMS: Aufbau eines international anerkannten ISMS gemäß ISO/IEC 27001. Risikoanalyse: Identifikation und Bewertung von Risiken und Entwicklung eines Risikobehandlungsplans. Dokumentation: Erstellung von Richtlinien, Prozessen und Nachweisen für die Informationssicherheit. Sensibilisierung: Sensibilisierung der Mitarbeiter für die Anforderungen der ISO/IEC 27001. Interne Prüfung: Regelmäßige interne Audits zur Vorbereitung auf die externe Zertifizierung. | Hoch Umfasst ISMS-Dokumentationen, Sicherheitsprozesse, Risikoanalysen, Risikobehandlungspläne, Maßnahmenumsetzungen, interne Audits, Managementbewertungen und umfassende IS-Richtlinien. | Jährliches Überwachungsaudit / interne Revision. Kontinuierliche Verbesserung des ISMS. Prüfung auf neue Bedrohungen und geänderte Rahmenbedingungen. | Typischerweise zwischen 15.000 und 40.000€ | Zwischen 1.000 und 2.000 (Deutschland) Zwischen 15.000 und 50.000 (EU) Über 50.000 (International) |
| International Organisation for Standardization (ISO), International Electrotechnical Comission (IEC) | ISO/IEC 27001:2022 ISO/IEC 27017 ISO/IEC 270XX" | Akkreditierte Zertifizierungsstellen, *(Internationale Akkreditierungsstellen) | Cloud-Dienste und -Prozesse, einschließlich Anbieter- und Kundenschnittstellen | Alle, Gesundheit, Finanz- und Versicherungswesen | International | Dieses Zertifikat wird branchenspezifisch manchmal zusätzlich zur ISO 27001 Zertifizierung gefordert. | Ergänzung zu ISO/IEC 27001 mit spezifischen Richtlinien und Maßnahmen für Anbieter und Kunden von Cloud-Diensten. | Zertifizierungsverfahren | Zertifikat | 3 Jahre | Re-Zertifizierungsaudit nach drei Jahren | Phase 1 (Dokumentenprüfung): Überprüfung der Cloud-spezifischen Richtlinien und Nachweise. Phase 2 (Umsetzungsprüfung): Kontrolle der Umsetzung der Cloud-Sicherheitsmaßnahmen. Auditbericht: Erstellung eines Berichts mit Prüfungsergebnissen. Zertifikatsausstellung: Nach erfolgreichem Auditbericht. |
Erweiterung des ISMS: Ergänzung des bestehenden ISMS um spezifische Sicherheitsmaßnahmen für Cloud-Dienste. Risikomanagement: Identifikation und Management von Cloud-spezifischen Risiken. Cloud-Dokumentation: Erstellung von Dokumentationen, die die Cloud-spezifischen Anforderungen und Kontrollen beschreiben. Dienstleisterbewertung: Prüfung und Bewertung von Cloud-Anbietern im Hinblick auf Sicherheitsanforderungen. Interne Prüfung: Durchführung eines Cloud-spezifischen Sicherheitsaudits. |
Mittel Umfasst Ergänzungen der ISMS-Dokumentation, sicherhe Cloud-Architekturen, Vertragsanforderungen und geteilte Verantwortlichkeiten. |
Jährliches Überwachungsaudit / interne Revision. Kontinuierliche Verbesserung des ISMS. Überprüfung von SLAs und geteilten Verantwortlichkeiten mit Cloud-Anbietern. |
Typischerweise zwischen 5.000 und 15.000€, (zusätzlich zur ISO 27001-Zertifizierung) | - |
| International Organisation for Standardization (ISO) International Electrotechnical Comission (IEC) |
ISO/IEC 27001:2022 ISO/IEC 27002 ISO/IEC 27017 | Akkreditierte Zertifizierungsstellen, *(Internationale Akkreditierungsstellen) | Cloud-Dienste und Anbieter, die personenbezogene Daten verarbeiten | Finanz- und Versicherungswesen, Gesundheit, Handel und Dienstleistungen, IT und Telekommunikation | International | Dieses Zertifikat wird branchenspezifisch manchmal zusätzlich zur ISO 27001 Zertifizierung gefordert. | Ergänzung zu ISO/IEC 27001 mit spezifischen Anforderungen für den Schutz personenbezogener Daten in der Cloud. | Zertifizierungsverfahren | Zertifikat | 3 Jahre | Re-Zertifizierungsaudit nach drei Jahren | Phase 1 (Dokumentenprüfung): Kontrolle der Datenschutzrichtlinien und Nachweise. Phase 2 (Umsetzungsprüfung): Bewertung der Umsetzung von Datenschutzmaßnahmen. Auditbericht: Zusammenfassung der Ergebnisse. Zertifikatsausstellung: Nach erfolgreichem Auditbericht. | Erweiterung des ISMS: Anpassung des ISMS auf Datenschutzanforderungen für personenbezogene Daten in der Cloud. Risikomanagement: Bewertung der Risiken im Umgang mit personenbezogenen Daten in Cloud-Umgebungen. Datenschutzrichtlinien: Entwicklung von Richtlinien und Verfahren für den Schutz personenbezogener Daten. Sensibilisierung: Schulung der Mitarbeiter zu Datenschutz und Cloud-spezifischen Anforderungen. Interne Prüfung: Überprüfung der Cloud-Lösungen auf Datenschutzkonformität. | Mittel Umfasst Datenschutzrichtlinien für personenbezogene Daten, Datenschutzmaßnahmen, Rechte der Betroffenen, Verschlüsselung und Verfahren bei Datenschutzverletzungen. | Jährliches Überwachungsaudit / interne Revision. Kontinuierliche Verbesserung des ISMS. Aktualisierung der Richtlinien und Verfahren bei Änderungen der Cloud-Nutzung. | Typischerweise zwischen 5.000 und 15.000€, (zusätzlich zur ISO 27001-Zertifizierung) | - |
| International Organisation for Standardization (ISO), International Electrotechnical Comission (IEC) | ISO/IEC 27001:2022 ISO/IEC 27002 ISO/IEC 27701 DSGVO CCPA | Akkreditierte Zertifizierungsstellen, *(Internationale Akkreditierungsstellen) | Datenschutzmanagementsysteme (PIMS) für die gesamte Organisation oder spezifische Bereiche | Finanz- und Versicherungswesen, Gesundheit, Handel und Dienstleistungen, IT und Telekommunikation | International | Dieses Zertifikat wird branchenspezifisch manchmal zusätzlich zur ISO 27001 Zertifizierung gefordert. | Erweiterung von ISO/IEC 27001 und ISO/IEC 27002 mit Fokus auf Datenschutzmanagement nach DSGVO und anderen Datenschutzgesetzen. | Zertifizierungsverfahren | Zertifikat | 3 Jahre | Re-Zertifizierungsaudit nach drei Jahren | Vor-Audit (Optional): Überprüfung des bestehenden ISMS auf Datenschutzkonformität. Phase 1 (Dokumentenprüfung): Kontrolle der PIMS-Dokumentation, z. B. Verzeichnis der Verarbeitungstätigkeiten. Phase 2 (Umsetzungsprüfung): Vor-Ort-Bewertung der Datenschutzmaßnahmen und Prozesse. Auditbericht: Detaillierte Ergebnisse und Empfehlungen. Zertifikatsausstellung: Nach erfolgreichem Auditbericht. | PIMS-Erweiterung: Implementierung eines Datenschutz-Informationsmanagementsystems (PIMS) basierend auf ISO/IEC 27701. Datenschutzbewertung: Analyse und Bewertung von Datenschutzrisiken. Dokumentation: Erstellung von Datenschutzrichtlinien, Datenflussanalysen und anderen relevanten Dokumenten. Sensibilisierung: Sensibilisierung der Mitarbeiter für Datenschutzanforderungen. Interne Prüfung: Interne Audits zur Sicherstellung der Einhaltung der PIMS-Anforderungen. | Hoch Umfasst die Erweiterung der ISMS-Dokumentation, Verzeichnis von Verarbeitungstätigkeiten, Einwilligungserklärungen, Betroffenenrechte und Nachweise zur Einhaltung von Vorgaben. | Jährliches Überwachungsaudit / interne Revision. Kontinuierliche Verbesserung des ISMS. Nachweise über die Wirksamkeit des (PIMS). Aktualisierung des VVT und relevanter Dokumente. Prüfung auf neue regulatorische Anforderungen. | Typischerweise zwischen 10.000 und 30.000€, (zusätzlich zur ISO 27001-Zertifizierung) | - |
| Bundesamt für Sicherheit in der Informationstechnik (BSI) | B3S (Branchenspezifische Sicherheitsstandards) IT-Grundschutz (BSI-Standards 200-X) ISO/IEC 27001:2022 | BSI, Vom BSI zugelassene Prüfstellen | Kritische Infrastrukturen und damit zusammenhängende Informationssysteme und Prozesse | KRITIS (sektorspezifisch), Energie und Versorgung, Gesundheit, IT und Telekommunikation | Deutschland | Umsetzung eines geeigneten Sicherheitsstandards und die anschließenden Prüfung nach $8a nach BSIG sind gesetzlich vorgeschrieben. | Gesetzlich vorgeschriebene Prüfung von Sicherheitsmaßnahmen für Betreiber kritischer Infrastrukturen (KRITIS). | GesetzlichesPrüfverfahren | Prüfbericht | 2 Jahre | Prüfung muss alle zwei Jahre wiederholt werden. | Dokumentenprüfung: Analyse der Nachweise zur Erfüllung der BSIG-Anforderungen. Vor-Ort-Prüfung: Kontrolle der tatsächlichen Sicherheitsmaßnahmen und -prozesse. Prüfbericht: Erstellung eines Prüfberichts zur Vorlage beim BSI. | Anpassung des ISMS: Implementierung eines ISMS, das die Anforderungen des BSIG erfüllt. Risikomanagement: Durchführung einer Risikoanalyse für kritische Infrastrukturen (KRITIS). Dokumentation: Erstellung der Nachweise für IT-Sicherheitsmaßnahmen gemäß §8a BSIG. Sensibilisierung: Schulungen für Mitarbeiter zu KRITIS-spezifischen Sicherheitsanforderungen. Interne Prüfung: Durchführung einer Simulation der Prüfung zur Identifikation von Schwachstellen. | Hoch Umfasst Umsetzungsmanßnahmen, Risikoanalysen, Schutzkonzepte, Auditberichte, Meldungen und Dokumentation von Sicherheitsvorfällen. | Nachweise über die fortlaufende Erfüllung der Sicherheitsanforderungen. Dokumentation neuer Maßnahmen oder Veränderungen in der Infrastruktur. Aktualisierte Risikoanalysen und Prüfberichte. | Typischerweise zwischen 15.000 und 50.000€ | Zwischen 250 und 1.000 (Deutschland) |
| ENX Association (European Network Exchange Association), Verband der Automobilindustrie (VDA) | ISO/IEC 27001:2022 VDA-ISA (Information Security Assessment) ISO/IEC 270XX | ENX Association akkreditierte Prüfstellen | Informationssicherheit speziell für die Automobilindustrie, insb. Kommunikationsaustausch. Es wird zwischen Assessmentlevel 1-3 unterschieden, je nach Kritikalität der Informationen als Self-Assessment oder externes Assessment | Automobilindustrie | EU, International | Branchenübliches Label im Automobilsektor, dass für die meisten Zulieferer verpflichtend ist. | Branchenspezifisches Assessment für die Automobilindustrie, basierend auf ISO/IEC 27001 und ergänzt durch branchenspezifische Anforderungen. | SelfAssessment, ExternesAssessment | Label | 3 Jahre | Neues Assessment und Ausstellung eines neuen TISAX-Labels nach drei Jahren. | Selbstbewertung: Interne Überprüfung gemäß VDA-ISA. (AL 1-3) Vollständigkeits- und Plausibilitätsprüfung: der Selbstbewertung (AL 2-3) Vor-Ort-Überprüfung (AL 2-3) Vollständige Fernprüfung (AL 2,5) Assessment der Wirksamkeit und des Reifegrades des ISMS (AL 3) Assessmentbericht: Ergebnisse und mögliche Maßnahmen zur Verbesserung. TISAX-Label: Ausstellung des Labels nach erfolgreicher Prüfung. | Vorbereitung ISMS: Aufbau oder Erweiterung des ISMS basierend auf VDA-ISA. Risikomanagement: Identifikation und Bewertung der Risiken entlang der Lieferkette. Dokumentation: Erstellung der geforderten Nachweise und Dokumentationen gemäß TISAX-Katalog. Sensibilisierung: Schulungen der Mitarbeiter zu den Anforderungen von TISAX. Interne Prüfung: Simulation eines Assessments zur Identifikation und Behebung von Schwachstellen. | Mittel Umfasst die ISMS-Dokumentation gem. VDA-ISA, branchenspezifische Anforderungen, Sicherheitskontrollen, Nachweise zu Lieferkettenrisiken und Informationssicherheitsbewertungen." | Prüfung der Sicherheitsmaßnahmen und Aktualisierung bei neuen Risiken. Dokumentation über durchgeführte interne Assessments. | Typischerweise zwischen 10.000 und 25.000€ | Zwischen 2.500 und 5.000 (international) |
| PCI Security Standards Council (PCI SSC) | ISO/IEC 27001:2022 NIST Cybersecurity Framework PCI DSS | Zugelassene Qualified Security Assessors (QSAs) | IT-Systeme und Prozesse von Organisationen, die Karteninhaberdaten speichern, verarbeiten oder übertragen. Je nach Kritikalität der Prozesse und Informationen werden vier Assessment- bzw. Auditlevel angeboten. | Finanz- und Versicherungswesen, Handel und Dienstleistungen | International | Branchenübliches Testat im Finanzsektor, dass für die meisten Verarbeiter von Kreditkarteninformationen verpflichtend ist. | Sicherheitsstandard zur Gewährleistung des Schutzes von Kreditkarteninformationen bei Speicherung, Übertragung und Verarbeitung. | SelfAssessment, Audit | Testat/Attestierung | 1 Jahr | Erneuter jährlicher Nachweis durch Self-Assessment (SAQ) oder externes Audit. | Selbstbewertung: Unternehmen führen ein Self-Assessment (SAQ) durch Lvl 1 (Optional für Lvl 2-4) Qualified Security Assessor (QSA) Engagement (Verpflichtend für Lvl 1) Dokumentenprüfung: Kontrolle der dokumentierten Sicherheitsmaßnahmen und Prozesse. Technische Prüfung: Tests der technischen Maßnahmen, wie Firewalls, Verschlüsselung und Protokollierung (verpflichtend für Lvl 1 und größere Organisationen). Fernprüfung (Optional für Level 2–3) Auditbericht: Erstellung des Report on Compliance (RoC) durch einen Qualified Security Assessor (QSA). Compliance-Attestierung: Ausstellung der Attestierung nach erfolgreicher Prüfung. | Netzwerküberprüfung: Identifikation und Segmentierung der Netzwerke, die Kartendaten verarbeiten. Risikomanagement: Bewertung der Risiken im Umgang mit Karteninhaberdaten. Technische Maßnahmen: Implementierung von Maßnahmen wie Verschlüsselung, Zugangskontrollen und Protokollierung. Sensibilisierung: Schulung der Mitarbeiter zum sicheren Umgang mit Kartendaten. Compliance-Check: Durchführung eines Self-Assessments und/oder eines internen Audits. | Hoch Umfasst Netzwerksicherheit, Zugriffskontrollen, Verschlüsselung, Protokollierung, Sicherheitsüberprüfungen und detaillierte Nachweise über die Kartendatenspeicherung und -verarbeitung. | Nachweise über regelmäßige Tests der Sicherheitsmaßnahmen (z. B. Penetrationstests). Aktualisierung der Dokumentation zur Netzwerksicherheit und Zugriffskontrolle. | Typischerweise zwischen 10.000 und 50.000€ | - |
| Bundesamt für Sicherheit in der Informationstechnik (BSI) | European Cybersecurity Act IT-Grundschutz Kompendium ISO/IEC 17788:2014 (IT - Cloud Computing - Overview) ISO/IEC 27001:2017 (ISMS) ISO/IEC 27017:2015 (ISMS - Cloud Computing) ISAE 3402 | BSI, Vom BSI zugelassene Prüfstellen | Sicherheitsanforderungen für Cloud-Dienste, typischerweise für Anbieter von Cloud-Lösungen für die gesamte Cloudumgebung oder spezifische Dienstleistungen | Cloud-Anbieter | Deutschland, Teilweise EU | Optionales Testat zur Erhöhung der Sicherheit in von Cloud-Anbietern. | Der C5 (Cloud Computing Compliance Criteria Catalogue) stellt Anforderungen an Sicherheit, Datenschutz und Compliance für Cloud-Anbieter, um die Vertrauenswürdigkeit ihrer Services zu erhöhen. | Audit | Testat/Attestierung | 1 Jahr | Jährliche Überprüfung der Einhaltung der C5-Kriterien | Dokumentenprüfung: Überprüfung der Sicherheitsrichtlinien und Nachweise. Technische Prüfung: Kontrolle der Umsetzung der Sicherheitsmaßnahmen in der Cloud. Auditbericht: Erstellung eines Berichts über die Einhaltung der C5-Anforderungen. Testatausstellung: Ausstellung der Attestierung nach erfolgreicher Prüfung. | Anpassung der Cloud-Prozesse: Einführung von Sicherheitskontrollen für Cloud-Dienste gemäß C5. Risikomanagement: Bewertung von Risiken im Cloud-Bereich und Erstellung eines Risikobehandlungsplans. Dokumentation: Erstellung von Sicherheitsrichtlinien und Nachweisen für die Cloud-Umgebung. Sensibilisierung: Schulung der Mitarbeiter zu Cloud-spezifischen Sicherheitsanforderungen. Testlauf: Simulation eines Audits, um die Konformität mit C5 sicherzustellen. | Hoch Umfasst Implementierung der CS Anforderungen, Sicherheitsrichtlinien, Sicherheitsmaßnahmen und detaillierte Berichte zu Cloud-Betriebsmodellen. | Nachweise über die Wirksamkeit der Sicherheitsmaßnahmen in der Cloud. Aktualisierung der Dokumentation bei Änderungen in der Cloud-Umgebung. | Typischerweise zwischen 15.000 und 50.000€ | - |
Gib uns Feedback:
[email protected]
[email protected]
Marktplatz IT-Sicherheit: weitere Angebote
Beiträge IT-Sicherheit
News
IT-Sicherheit-News
Artikel
IT-Sicherheit-Artikel
Blog
IT-Sicherheit-Blogeinträge
Whitepaper
IT-Sicherheit-Whitepaper
Videos
ITS-Couch: IT-Sicherheit-Videos
Podcasts
ITS-Couch: IT-Sicherheit-Podcasts
Ratgeber IT-Sicherheit
Cyber-Risk-Check
Hilfestellungen IT-Sicherheit
IT-Sicherheitsstudien
IT-Sicherheit-Studien
Glossar
Glossar Cyber-Sicherheit
Buch Cyber-Sicherheit
Lehrbuch “Cyber-Sicherheit”
Datenschutz
Diskussionsforum
Penetrationstests
Diskussionsforum
NIS2
Diskussionsforum
Stand der Technik
Diskussionsforum
It-Supply Chain Security
Diskussionsforum
IT-Sicherheitstools
Interaktive Awareness-Schulung
Selbstlernangebot IT-Sicherheit
Tools für IT-Sicherheitschecks
Tools zu verschiedenen Aspekten
Interaktive Listen
IT-Notfall
Kontaktdaten von IT-Sicherheitsanbietern
Penetrationstests
Kontaktdaten von IT-Sicherheitsanbietern
Informationssicherheitsbeauftragter
Kontaktdaten von IT-Sicherheitsanbietern
Security Operations Center (SOC)
Kontaktdaten von IT-Sicherheitsanbietern
Zertifikate IT-Sicherheit
Personenzertifikate
Interaktive Liste
