Verweis auf Übersichtsstandard DIN ISO/IEC 19086

Inhalt

Vorwort
Einleitung

1 Anwendungsbereich

2 Normative Verweise

3 Begriffe und Definitionen

4 Symbole und abgekürzte Begriffe

5 Beziehung zu anderen Teilen des SLA-Rahmens für Cloud Computing

5.1 Allgemeines
5.2 Konformität

6 Überblick

6.1 Allgemeines
6.2 Struktur dieses Dokuments

7 Komponenten der Informationssicherheit

7.1 Komponente Informationssicherheitspolitik

7.1.1 Beschreibung
7.1.2 Qualitative Ziele des Cloud-Dienstes
7.1.3 Leitfaden

7.2 Organisation der Informationssicherheitskomponente

7.2.1 Beschreibung
7.2.2 Qualitative Ziele des Cloud-Dienstes
7.2.3 Leitfaden

7.3 Komponente Vermögensverwaltung

7.3.1 Beschreibung
7.3.2 Ziele für die Cloud-Dienstebene
7.3.3 Qualitative Ziele für Cloud-Dienste
7.3.4 Leitfaden

7.4 Komponente Zugriffskontrolle

7.4.1 Beschreibung

7.4.2 Ziele für die Cloud-Dienstebene

7.4.2.1 Maximale Zeit für den Entzug des Benutzerzugangs
7.4.2.2 Erforderliche Zeit für den Entzug des Benutzerzugriffs bei einer bestimmten Verpflichtungsstufe

7.4.3 Qualitative Ziele für Cloud-Dienste

7.4.3.1 Benutzerregistrierung und -de-Registrierung
7.4.3.2 Überprüfung der Zugriffsmuster
7.4.3.3 Authentifizierungsmechanismus
7.4.3.4 Unterstützung der Authentifizierung von Drittanbietern
7.4.3.5 Unterstützung für starke Authentifizierung
7.4.3.6 Unterstützung für anonyme und pseudonyme Authentifizierung

7.4.4 Leitfaden

7.5 Kryptographie-Komponente

7.5.1 Beschreibung

7.5.2 Qualitative Ziele des Cloud-Dienstes

7.5.2.1 Kryptografische Kontrollen für Daten in Bewegung
7.5.2.2 Kryptografische Kontrollen für ruhende Daten
7.5.2.3 Kryptografische Kontrollen für Daten während der Ausführung
7.5.2.4 Richtlinien für die Schlüsselverwaltung

7.5.3 Leitfaden

7.6 Physische und umgebungsbezogene Sicherheitskomponente

7.6.1 Beschreibung

7.6.2 Qualitative Ziele des Cloud-Dienstes

7.6.2.1 Überwachung des Rechenzentrums
7.6.2.2 Sichere Entsorgung und Wiederverwendung von Geräten
7.6.2.3 Genehmigung von Einrichtungen

7.6.3 Leitfaden

7.7 Komponente Betriebssicherheit

7.7.1 Beschreibung

7.7.2 Ziele für die Cloud-Dienstleistungsebene

7.7.2.1 Intervall für die Meldung von Schwachstellen
7.7.2.2 Zeitraum für die Verfügbarkeit von Protokollen

7.7.3 Qualitative Ziele für Cloud-Dienste

7.7.3.1 Schutz vor Malware
7.7.3.2 Protokollierung und Überwachung
7.7.3.3 Verwaltung von Schwachstellen
7.7.3.4 Verfahren zur Meldung von Schwachstellen
7.7.3.5 Erklärung über die Auswirkungen von Schwachstellen

7.7.4 Leitfaden

7.8 Sicherheitskomponente Kommunikation

7.8.1 Beschreibung
7.8.2 Qualitative Ziele des Cloud-Dienstes
7.8.3 Leitfaden

7.9 Komponente Systembeschaffung, -entwicklung und -wartung

7.9.1 Beschreibung

7.9.2 Qualitative Ziele für Cloud-Dienste

7.9.2.1 Verfahren zur Systembeschaffung
7.9.2.2 Sichere Entwicklungsverfahren
7.9.2.3 Wartungsverfahren

7.9.3 Leitfaden

7.10 Komponente Lieferantenbeziehungen

7.10.1 Beschreibung
7.10.2 Qualitative Ziele des Cloud-Dienstes
7.10.3 Leitfaden

7.11 Komponente für das Management von Informationssicherheitsvorfällen

7.11.1 Beschreibung
7.11.2 Ziele für Cloud-Dienste
7.11.3 Qualitative Ziele für Cloud-Dienste
7.11.4 Leitfaden

7.12 Geschäftskontinuitätsmanagement-Komponente

7.12.1 Beschreibung
7.12.2 Qualitative Ziele für Cloud-Dienste
7.12.3 Leitfaden

7.13 Komponente Compliance

7.13.1 Beschreibung
7.13.2 Qualitative Ziele des Cloud-Dienstes
7.13.3 Leitfaden

8 Komponente Schutz von personenbezogenen Daten

8.1 Komponente Zustimmung und Wahlmöglichkeit

8.1.1 Beschreibung
8.1.2 Qualitative Ziele des Cloud-Dienstes
8.1.3 Leitfaden

8.2 Legitimation und Spezifikation des Zwecks - Komponente

8.2.1 Beschreibung

8.2.2 Qualitative Ziele des Cloud-Dienstes

8.2.2.1 Legitimität des Zwecks
8.2.2.2 Zugriffsliste für Dritte

8.2.3 Leitfaden

8.3 Komponente Datenminimierung

8.3.1 Beschreibung

8.3.2 Ziele der Cloud-Dienstebene

8.3.3 Qualitative Ziele für Cloud-Dienste

8.3.3.1 Minimierung des Zugriffs von Interessengruppen
8.3.3.2 Kryptografische Kontrollen zur Datenminimierung

8.3.4 Leitfaden

8.4 Komponente zur Beschränkung der Nutzung, Aufbewahrung und Offenlegung

8.4.1 Beschreibung
8.4.2 Qualitative Ziele des Cloud-Dienstes
8.4.3 Leitfaden

8.5 Komponente "Genauigkeit und Qualität

8.5.1 Beschreibung
8.5.2 Qualitative Ziele des Cloud-Dienstes
8.5.3 Leitfaden

8.6 Komponente Offenheit, Transparenz und Bekanntmachung

8.6.1 Beschreibung

8.6.2 Qualitative Ziele des Cloud-Dienstes

8.6.2.1 PII-Liste für Unterauftragnehmer
8.6.2.2 Erfordernis einer spezifischen Zustimmung

8.6.3 Leitfaden

8.7 Individuelle Teilnahme und Zugangskomponente

8.7.1 Beschreibung

8.7.2 Qualitative Ziele des Cloud-Dienstes

8.7.2.1 Beteiligung und Zugang von Personen mit personenbezogenen Daten
8.7.2.2 PII-Hauptzugriffsmöglichkeiten

8.7.3 Leitfaden

8.8 Komponente Rechenschaftspflicht

8.8.1 Beschreibung

8.8.2 Ziele der Cloud-Dienstebene

8.8.3 Qualitative Ziele für Cloud-Dienste

8.8.3.1 Benachrichtigung bei Datenverletzungen
8.8.3.2 Richtlinie zur Entsorgung von PII

8.8.4 Leitfaden

8.9 Komponente zur Einhaltung des Schutzes von PII

8.9.1 Beschreibung
8.9.2 Qualitative Ziele des Cloud-Dienstes
8.9.3 Leitfaden