Diese Norm enthält Leitlinien zu den Aspekten der Informationssicherheit beim Cloud-Computing. Sie empfiehlt und unterstützt die Implementierung cloudspezifischer Informationssicherheitsmaßnahmen und ergänzt die Leitlinien in DIN EN ISO/IEC 27002 und anderen ISO/IEC 2700x-Normen.

Inhaltsverzeichnis

Nationales Vorwort
Europäisches Vorwort
Anerkennungsnotiz
Vorwort
Einleitung

1 Anwendungsbereich

2 Normative Verweisungen

• Identische Empfehlungen | Internationale Normen
• Zusätzliche Verweisungen

3 Begriffe und Abkürzungen

• An anderer Stelle definierte Begriffe
• Abkürzungen

4 Für den Cloud-Sektor spezifische Konzepte

• Übersicht
• Lieferantenbeziehungen bei Cloud-Diensten
• Beziehungen zwischen Cloud-Dienstleistungskunden und Cloud-Dienstleistern
• Umgang mit Informationssicherheitsrisiken bei Cloud-Diensten
• Gliederung dieser Norm

5 Informationssicherheitsrichtlinien

• Vorgaben der Leitung für Informationssicherheit
  • Informationssicherheitsrichtlinien
  • Überprüfung der Informationssicherheitsrichtlinien

6 Organisation der Informationssicherheit

• Interne Organisation
  • Informationssicherheitsrollen und -verantwortlichkeiten
  • Aufgabentrennung
  • Kontakt mit Behörden
  • Kontakt mit speziellen Interessensgruppen
  • Informationssicherheit im Projektmanagement
• Mobilgeräte und Telearbeit
  • Richtlinie zu Mobilgeräten
  • Telearbeit

7 Personalsicherheit

• Vor der Beschäftigung
  • Sicherheitsüberprüfung
  • Beschäftigungs- und Vertragsbedingungen
• Während der Beschäftigung
  • Verantwortlichkeiten der Leitung
  • Informationssicherheitsbewusstsein, -ausbildung und -schulung
  • Maßregelungsprozess
• Beendigung und Änderung der Beschäftigung
  • Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung

8 Verwaltung der Werte

• Verantwortlichkeit für Werte
  • Inventarisierung der Werte
  • Zuständigkeit für Werte
  • Zulässiger Gebrauch von Werten
  • Rückgabe von Werten
• InformationsklassifizierungUnterkapitel ausblenden
  • Klassifizierung von Information
  • Kennzeichnung von Information
  • Handhabung von Werten
• Handhabung von Datenträgern
  • Handhabung von Wechseldatenträgern
  • Entsorgung von Datenträgern
  • Transport von Datenträgern

9 Zugangssteuerung

• Geschäftsanforderungen an die Zugangsteuerung
  • Zugangssteuerungsrichtlinie
  • Zugang zu Netzwerken und Netzwerkdiensten
• Benutzerzugangsverwaltung
  • Registrierung und Deregistrierung von Benutzern
  • Zuteilung von Benutzerzugängen
  • Verwaltung privilegierter Zugangsrechte
  • Verwaltung geheimer Authentisierungsinformationen von Benutzern
  • Überprüfung von Benutzerzugangsrechten
  • Entzug oder Anpassung von Zugangsrechten
• Benutzerverantwortlichkeiten
  • Gebrauch geheimer Authentisierungsinformation
• Zugangssteuerung für Systeme und Anwendungen
  • Informationszugangsbeschränkung
  • Sichere Anmeldeverfahren
  • System zur Verwaltung von Kennwörtern
  • Gebrauch von Hilfsprogrammen mit privilegierten Rechten
  • Zugangssteuerung für Quellcode von Programmen

10 Kryptographie

• Kryptographische Maßnahmen
  • Richtlinie zum Gebrauch von kryptographischen Maßnahmen
  • Schlüsselverwaltung

11 Physische und umgebungsbezogene Sicherheit

• Sicherheitsbereiche
  • Physische Sicherheitsperimeter
  • Physische Zutrittssteuerung
  • Sichern von Büros, Räumen und Einrichtungen
  • Schutz vor externen und umweltbedingten Bedrohungen
  • Arbeiten in Sicherheitsbereichen
  • Anlieferungs- und Ladebereiche
• Geräte und Betriebsmittel
  • Platzierung und Schutz von Geräten und Betriebsmitteln
  • Versorgungseinrichtungen
  • Sicherheit der Verkabelung
  • Instandhaltung von Geräten und Betriebsmitteln
  • Entfernen von Werten
  • Sicherheit von Geräten, Betriebsmitteln und Werten außerhalb der Räumlichkeiten
  • Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln
  • Unbeaufsichtigte Benutzergeräte
  • Richtlinie für eine aufgeräumte Arbeitsumgebung und Bildschirmsperren

12 Betriebssicherheit

• Betriebsabläufe und -verantwortlichkeiten
  • Dokumentierte Betriebsabläufe
  • Änderungssteuerung
  • Kapazitätssteuerung
  • Trennung von Entwicklungs-, Test- und Betriebsumgebungen
• Schutz vor Schadsoftware
  • Maßnahmen gegen Schadsoftware
• Datensicherung
  • Sicherung von Information
• Protokollierung und Überwachung
  • Ereignisprotokollierung
  • Schutz der Protokollinformation
  • Administratoren- und Bedienerprotokolle
  • Uhrensynchronisation
• Steuerung von Software im Betrieb
  • Installation von Software auf Systemen im Betrieb
• Handhabung technischer Schwachstellen
  • Handhabung von technischen Schwachstellen
  • Einschränkungen von Softwareinstallation
• Audit von Informationssystemen
  • Maßnahmen für Audits von Informationssystemen

13 Kommunikationssicherheit

• Netzwerksicherheitsmanagement
  • Netzwerksteuerungsmaßnahmen
  • Sicherheit von Netzwerkdiensten
  • Trennung in Netzwerken
• Informationsübertragung
  • Richtlinien und Verfahren für die Informationsübertragung
  • Vereinbarungen zur Informationsübertragung
  • Elektronische Nachrichtenübermittlung
  • Vertraulichkeits- oder Geheimhaltungsvereinbarungen

14 Anschaffung, Entwicklung und Instandhaltung von Systemen

• Sicherheitsanforderungen an Informationssysteme
  • Analyse und Spezifikation von Informationssicherheitsanforderungen
  • Sicherung von Anwendungsdiensten in öffentlichen Netzwerken
  • Schutz der Transaktionen bei Anwendungsdiensten
• Sicherheit in Entwicklungs- und Unterstützungsprozessen
  • Richtlinie für sichere Entwicklung
  • Verfahren zur Verwaltung von Systemänderungen
  • Technische Überprüfung von Anwendungen nach Änderungen an der Betriebsplattform
  • Beschränkung von Änderungen an Softwarepaketen
  • Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme
  • Sichere Entwicklungsumgebung
  • Ausgegliederte Entwicklung
  • Testen der Systemsicherheit
  • Systemabnahmetest
• Testdaten
  • Schutz von Testdaten

15 Lieferantenbeziehungen

• Informationssicherheit in Lieferantenbeziehungen
  • Informationssicherheitsrichtlinie für Lieferantenbeziehungen
  • Behandlung von Sicherheit in Lieferantenvereinbarungen
  • Lieferkette für Informations- und Kommunikationstechnologie
• Steuerung der Dienstleistungserbringung von Lieferanten
  • Überwachung und Überprüfung von Lieferantendienstleistungen
  • Handhabung der Änderungen von Lieferantendienstleistungen

16 Handhabung von Informationssicherheitsvorfällen

• Handhabung von Informationssicherheitsvorfällen und -verbesserungen
  • Verantwortlichkeiten und Verfahren
  • Meldung von Informationssicherheitsereignissen
  • Meldung von Schwächen in der Informationssicherheit
  • Beurteilung von und Entscheidung über Informationssicherheitsereignisse
  • Reaktion auf Informationssicherheitsvorfälle
  • Erkenntnisse aus Informationssicherheitsvorfällen
  • Sammeln von Beweismaterial

17 Informationssicherheitsaspekte beim Business Continuity Management

• Aufrechterhalten der Informationssicherheit
  • Planung zur Aufrechterhaltung der Informationssicherheit
  • Umsetzung der Aufrechterhaltung der Informationssicherheit
  • Überprüfen und Bewerten der Aufrechterhaltung der Informationssicherheit
• Redundanzen
  • Verfügbarkeit von informationsverarbeitenden Einrichtungen

18 Compliance

• Einhaltung gesetzlicher und vertraglicher Anforderungen
  • Bestimmung der anwendbaren Gesetzgebung und der vertraglichen Anforderungen
  • Geistige Eigentumsrechte
  • Schutz von Aufzeichnungen
  • Privatsphäre und Schutz von personenbezogener Information
  • Regelungen bezüglich kryptographischer Maßnahmen
• Überprüfungen der Informationssicherheit
  • Unabhängige Überprüfung der Informationssicherheit
  • Einhaltung von Sicherheitsrichtlinien und -standards
  • Überprüfung der Einhaltung von technischen Vorgaben

A - Erweiterungssatz von Maßnahmen für Cloud-Dienste (normativ)

B - Verweisungen zum Informationssicherheitsrisiko im Zusammenhang mit Cloud Computing (normativ)

Literaturhinweise

Literaturhinweise (informativ)