[ Zertifizierung nach ISO 27001 | IT-Sicherheitsrichtlinie | ToM | Öffentliche Aufträge in der Cloud ]

Zertifizierung nach ISO 27001

IT- Sicherheit ist ein immer aktuelles, komplexes und dynamisches Thema mit vielen Spezialbereichen, die alle IT-Komponenten betreffen. Sich laufend verändernde Rahmenbedingungen verlangen zusätzlich eine kontinuierliche Anpassung und Optimierung. Hinzu kommen juristische Fragestellungen und zu berücksichtigende Standards.

Gerade kleine und mittelständische Unternehmen fühlen sich aufgrund objektiv beschränkter Ressourcen in Sachen IT-Sicherheit oft überfordert. Die Nutzung der Datacenter-Ressourcen von managedhosting.de ist der richtige Weg, diese Lücke zu schliessen.

Nur ganzheitliche, präventive Sicherheitslösungen verbunden mit einer nach innen und aussen gerichteten, hochperformanten Netzwerkinfrastruktur führen zu optimaler IT-Funktionssicherheit und decken sowohl logische als auch physikalische Aspekte ab. So verfügen unsere Datacenter über eine Vielzahl technischer Vorkehrungen und fest etablierter Prozesse, um Ausfällen oder Einschränkungen auf Server-, System- und Netzwerkebenen wirksam vorzubeugen.

Aktuelle Umfragen zum Thema Cloud Computing ergaben, daß viele Kunden aufgrund verschiedener Bedenken zögern, auf Cloud-Infrastruktur umzusteigen. Diesen Bedenken begegnet managedhosting.de mit dem Einsatz spezieller für die Cloud entwickelten Sicherheits- und Compliance-Lösungen von VMware und einem zertifizierten IT-Sicherheitsmanagement.

Die managedhosting.de GmbH hat ihre gesamten Rechenzentrumsdienstleistungen gemäß ISO / IEC 27001 vom TÜV InterCert Saar vollständig zertifizieren lassen. Somit ist die Konformität bezüglich der Norm von unabhängiger Seite fachlich festgestellt. Damit sind wir einer der ersten VMware Hybrid Cloud und IaaS zertfizierten Service Provider in Deutschland, der diese Zertifizierung für seine VMware basierte Cloud-Infrastruktur erhalten hat.

Unseren Kunden garantiert die Zertifizierung größtmögliche Sicherheitsvorkehrungen und höchste technische Standards. Gleichzeitig ermöglicht unsere Zertifizierung nach ISO/IEC 27001:2013 unseren Kunden eine kostengünstigere Umsetzung der gesetzlich vorgeschriebenen Mindest-anforderungen an das Risikomanagement für den eigenen IT-Betrieb.

Mit vom Kunden bei der managedhosting.de GmbH durchgeführten Audits entsteht unweigerlich Aufwand. Die Vorhaltung entsprechender Verfahren, zusätzliche personelle Ressourcen für die Bearbeitung der Anfragen, ebenso wie die mit der Beantwortung der Fragebögen, Besichtigungen etc. einhergehenden Aufwände müssen berücksichtigt werden. Daher wird die auf Anfrage vom Kunden durchgeführte Bearbeitung von Audits bzw. Fragebögen zur ISO27001- Zertifizierung, ToM oder dem Abschluss einer Zusatzvereinbarung zur Auftragsverarbeitung nach effektivem Aufwand mit dem üblichen Tagessatz „Systemadministrator / Ingenieurpersonal“ gemäß aktueller Preisliste in Rechnung gestellt.

Bitte beachten Sie, dass eine uneingeschränkte Einsichtnahme von Unterlagen im Rahmen eines Kundenaudits nicht möglich ist, und überdies alle gewünschten Einsichtnahmen vorab zum Zweck der Prüfung schriftlich angezeigt werden müssen. Insbesondere streng vertrauliche Unterlagen, wie zum Beispiel die SOA-Richtlinie, unterliegen in Hinblick auf die Informationssicherheit einem erhöhten Schutzstatus und sind somit grundsätzlich von einem Kundenaudit ausgeschlossen.

Zertifizierung nach ISO/IEC 27001:2013

Dokumente

Datenschutzbeauftragter

Ingenieurbüro für Datenschutz & Datensicherheit
Dipl.-Ing. Pierre-Gerard Große
Reichenbrander Str. 40
09117 Chemnitz

Telefon: +49 371 8579094
Telefax: +49 371 8579095
E-Mail: pierre.grosse@datenschutz-grosse.de

IT-Sicherheitsbeauftragter

Gesa Lütje
Die Strategisten GmbH
Kurze Mühren 1
20095 Hamburg

E-Mail: isms@managedhosting.de

IT-Sicherheitsrichtlinie der managedhosting.de GmbH

Präambel

Gegenstand des Unternehmens ist Erbringung von Informations- und Kommunikationsdienstleistungen in Rechenzentren (Managed Hosting), die Datenbe- und -verarbeitung einschließlich Datenbanken und Herstellung von Datenverarbeitungsprogrammen, der Handel mit Hard- und Software und allen sonstigen Dienstleistungen, die den vorgenannten Tätigkeiten dienlich sind.

Bedingt durch den Geschäftsgegenstand des Unternehmens ist die managedhosting.de GmbH bei der Erbringung Ihrer Dienstleistungen für gewerbliche Kunden in entscheidendem Maße auf die korrekte Funktion und die Verfügbarkeit der von Ihr betriebenen Informations- und Kommunikationstechnik (IT) angewiesen.

Somit hat die ständige Gewährleistung der IT-Sicherheit einen sehr hohen unternehmerischen Stellenwert.

Aus diesem Grund hat die Geschäftsführung der managedhosting.de GmbH, in Zusammenarbeit mit dem IT-Sicherheitsbeauftragten der managedhosting.de GmbH einen IT-Sicherheitsprozess für den Umgang mit den IT-Einrichtungen eingeführt.

Die Leitlinie zur IT-Sicherheit soll deshalb für alle Mitarbeiter und Kunden Aufforderung und Verpflichtung zu verantwortungsbewusstem und gesetzeskonformen Umgang mit der IT- Infrastruktur der managedhosting.de GmbH sein.

Die managedhosting.de GmbH schützt durch die Sicherung ihrer Arbeitsfähigkeit der von ihr betriebenen IT-Infrastruktur ihr Ansehen und ihre unternehmerischen Interessen in der Öffentlichkeit sowie ihre Vertrauenswürdigkeit für Auftraggeber und Partner.

Die Gewährleistung der allgemeinen IT-Sicherheitsanforderungen Verfügbarkeit, Vertraulichkeit, Integrität und als erweitertes Schutzziel der Authentizität von Informationen ist deshalb wichtiger Bestandteil der Unternehmensphilosophie der managedhosting.de GmbH.

Der IT-Sicherheitsprozess ist Gegenstand eines eigenen IT-Sicherheitskonzeptes. Dieser IT-Sicherheitsprozess orientiert sich an dem Grundschutzstandard des Bundesamtes für Informationssicherheit (BSI).

Das Management und die Mitarbeiter verpflichten sich auf die Einhaltung und Umsetzung der Ziele und Maßnahmen.

Definition

Unter IT-Sicherheit ist der Schutz der von der managedhosting.de GmbH für gewerbliche Kunden betriebenen IT-Infrastruktur vor Störung, Missbrauch und Manipulation zu verstehen.

Ein Ausfall der IT soll insgesamt kurzfristig kompensiert werden können, wobei der Geschäftsablauf durch Sicherheitsmängel nicht stark beeinträchtigt werden darf. Alle Sicherheitsmaßnahmen werden so ausgewählt, dass sie geeignet und angemessen sind. Sie sollten also einerseits das Risiko bestmöglich minimieren und andererseits in geeignetem Verhältnis zu im Schadensfall entstehenden Kosten stehen.

Die Daten unserer Kunden sowie die für unsere Kunden betriebenen IT-Systeme werden in ihrer Verfügbarkeit so gesichert, dass die zu erwartenden Stillstandszeiten im Rahmen des vom Kunden beauftragten SLA toleriert werden können.

Stellenwert im Unternehmen

Die IT-Sicherheit hat – bedingt durch den Geschäftsgegenstand des Unternehmens – einen sehr hohen unternehmerischen Stellenwert. Fehlfunktionen und Unregelmäßigkeiten in Daten und IT-Systemen sind nur in geringem Umfang und nur in Ausnahmefällen akzeptabel. An die Sicherstellung der Vertraulichkeit von Firmendaten stellen wir die höchsten Ansprüche.

Aus diesem Grund hat die Geschäftsführung der managedhosting.de GmbH, in Zusammenarbeit mit dem IT-Sicherheitsbeauftragten der managedhosting.de GmbH einen IT-Sicherheitsprozess für den Umgang mit den IT-Einrichtungen eingeführt.

Die Leitlinie zur IT-Sicherheit soll deshalb für alle Mitarbeiter, Dienstleister und Kunden Aufforderung und Verpflichtung zu verantwortungsbewusstem und gesetzeskonformen Umgang mit der IT-Infrastruktur der managedhosting.de GmbH sein.

Zielsetzung

Die managedhosting.de GmbH schützt durch die Sicherung ihrer Arbeitsfähigkeit der von ihr betriebenen IT-Infrastruktur ihr Ansehen und ihre unternehmerischen Interessen in der Öffentlichkeit sowie ihre Vertrauenswürdigkeit für Auftraggeber und Partner.

Die Gewährleistung der allgemeinen IT-Sicherheitsanforderungen Verfügbarkeit, Vertraulichkeit, Integrität und als erweitertes Schutzziel der Authentizität von Informationen ist deshalb wichtiger Bestandteil der Unternehmensphilosophie der managedhosting.de GmbH.

Folgende Ziele sollen durch die konsequente und kontinuierliche Umsetzung der Leitlinie zur IT-Sicherheit erreicht werden:

  • Die managedhosting.de GmbH gewährleistet die Verfügbarkeit der zur Erbringung ihrer Dienstleistungen notwendigen IT-Infrastruktur und unterstützt damit die Kontinuität der Arbeitsabläufe ihrer Kunden.
  • IT-Dienstleistungen für Kunden der managedhosting.de GmbH sollen im Rahmen der jeweiligen vertraglichen Vereinbarungen und des durch den Kunden gewählten SLA stets in der geforderten Qualität und ohne Beeinträchtigungen durch Störungen erbracht werden. Daten werden – soweit möglich und mit dem Kunden vertraglich vereinbart – vor Verlust geschützt.
  • Die managedhosting.de GmbH stellt den Schutz von Daten und Arbeitsergebnissen vor unberechtigter Kenntnisnahme sicher. Besonders schützenswerte Daten (personenbezogene Daten, Betriebsgeheimnisse) werden im Rahmen einer gesonderten Vereinbarung mit dem Kunden behandelt.
  • Die managedhosting.de GmbH schützt die zur Erbringung ihrer Dienstleistungen notwendigen IT-Infrastruktur und Daten vor Verfälschung bzw. unberechtigter Veränderung
  • Die managedhosting.de GmbH schützt die zur Erbringung ihrer Dienstleistungen notwendigen IT-Infrastruktur und Daten vor Manipulation und Missbrauch, d.h. vor zweckwidriger Nutzung oder Nutzung durch Unbefugte.
  • Die managedhosting.de GmbH schützt ihr IT-Netzwerk nach dem Stand Technik gegen unbefugten Zugriff.
  • Die managedhosting.de GmbH und ihre Mitarbeiter halten die einschlägigen Gesetze und sonstigen rechtlichen Bestimmungen zum Betrieb von IT-Infrastruktur ein.
  • Die managedhosting.de GmbH wahrt die Persönlichkeitsrechte ihrer Mitarbeiter

Sicherheitsniveau

Die Leitlinie zur IT-Sicherheit der managedhosting.de GmbH und die im einzelnen getroffenen Maßnahmen zu deren Umsetzung bezieht sich auf für gewerbliche Kunden der managedhosting.de GmbH betriebene IT-Infrastruktur mit normalem Schutzbedarf. Ein normaler Schutzbedarf ist gegeben, wenn durch den Verlust an Vertraulichkeit, Integrität und Verfügbarkeit der betroffenen Komponenten

  • nur ein geringfügiger Verstoß gegen Vorschriften und Gesetze möglich ist,
  • eine Beeinträchtigung des informationellen Selbstbestimmungsrechts des Einzelnen nicht möglich ist oder für diesen tolerabel bleibt,
  • eine Beeinträchtigung der persönlichen Unversehrtheit des Einzelnen nicht möglich ist,
  • die Aufgabenerfüllung der betroffenen Komponente nur geringfügig beeinträchtigt ist,
  • nur eine geringe Ansehens- und Vertrauensbeeinträchtigung zu befürchten ist und
  • der finanzielle Schaden im Rahmen der normalen Geschäftstätigkeit unerheblich bleibt.

Diese Richtlinien stellen für Komponenten der IT-Infrastruktur mit hohem oder sehr hohem Schutzbedarf eine Grundsicherung dar, reichen aber möglicherweise nicht alleine zur Sicherung aus. Hier müssen ergänzende Maßnahmen auf Basis einer differenzierten Sicherheitsanalyse ergriffen werden.

Verantwortlichkeiten

Die Verantwortung für die Umsetzung und Einhaltung der Leitlinie zur IT-Sicherheit liegt bei der Geschäftsführung der managedhosting.de GmbH. Die Geschäftsführung überträgt die Umsetzung der Leitlinie zur IT-Sicherheit und die Kontrolle über deren Einhaltung an den IT- Sicherheitsbeauftragten der managedhosting.de GmbH. Die Einhaltung der IT-Sicherheitsmaßnahmen durch Mitarbeiter wird im Rahmen des Disziplinarprozesses kontrolliert.

Der IT-Sicherheitsbeauftragte der managedhosting.de GmbH nimmt seine Aufgaben in enger Zusammenarbeit mit dem Datenschutzbeauftragten wahr.

Die Geschäftsleitung der managedhosting.de GmbH kann Mitglieder der Geschäftsleitung selbst, Mitarbeiter des Unternehmens oder externe Dienstleister zum IT-Sicherheitsbeauftragten sowie Datenschutzbeauftragten bestimmen.

Prozess zur Umsetzung

Die Umsetzung der Leitlinie zur IT-Sicherheit in einen im Unternehmen laufend angewendeten IT-Sicherheitsprozess ist Gegenstand eines eigenen IT-Sicherheitskonzeptes. Dieses IT-Sicherheitskonzept orientiert sich an dem Grundschutzstandard des Bundesamtes für Informationssicherheit (BSI). Prozessverantwortlicher ist der IT-Sicherheitsbeauftragte der managedhosting.de GmbH.

Strategie, Maßnahmen und deren Umsetzung

Zur Gewährleistung der Umsetzung und Einhaltung der Leitlinie zur IT-Sicherheit im Sinne der genannten Ziele werden werden folgende Maßnahmen in der managedhosting.de GmbH umgesetzt:

  • Bereitstellung der technischen und personellen Ressourcen zur Umsetzung der getroffenen Maßnahmen
  • Betreuung der Kunden der managedhosting.de GmbH im Umgang mit der für sie bereitgestellten IT-Infrastruktur bezüglich sicherheitsrelevanter Aspekte
  • Abstimmung zwischen Mitarbeitern und IT-Sicherheitsbeauftragten über Sicherheitsaspekte neuer Kundenprojekte
  • Berücksichtigung der IT-Sicherheitsanforderungen in der Zusammenarbeit mit Partnern und externen Dienstleistern
  • Festlegung von Konsequenzen bei Verstößen gegen IT-Sicherheitsregelungen durch Mitarbeiter
  • Planung und Überwachung der Realisierung von IT-Sicherheitsmaßnahmen im technischen, organisatorischen, personellen und infrastrukturellen Bereich durch den IT-Sicherheitsbeauftragten der managedhosting.de GmbH
  • Verabschiedung einer Informationsschutzrichtlinie als flankierende Maßnahme zum IT-Sicherheitsprozess
  • Regelmäßige Schulung der Mitarbeiter in IT-Sicherheit

Dokument als PDF- Datei herunterladen ...

Technisch-organisatorische Maßnahmen der managedhosting.de GmbH

Bei Abschluss eines Vertrags zur Auftragsverarbeitung sind auch die technischen und organisatorischen Maßnahmen mit denen der Auftragnehmer die Einhaltung der vertraglichen Verfplichtungen sicherstellt, schriftlich festzulegen. Dazu werden hiermit durch folgende technische und organisatorische Maßnahmen verbindlich festgelegt.

Dokument als PDF- Datei herunterladen ...

Öffentliche Aufträge in der Cloud

Der IT-Planungsrat des Bundes und das BSI haben Handlungsanweisungen und Mindeststandards für die Vergabe öffentlicher Aufträge an Cloud Service Provider (CSP) festgelegt:

Dementsprechend kann die managedhosting.de GmbH als Cloud Service Provider Dienstleistungen der Kategorie 1 (Private Cloud) sowie Dienstleistungen der Kategorie 3 (Managed Cloud kommerzieller deutscher Anbieter) für öffentliche Auftraggeber erbringen. Die Erfüllung der sich aus den Handlungsempfehlungen ableitenden Anforderungen an Betrieb und IT-Sicherheit wird im diesen Artikel anhängenden Dokument kriterien_cloud_anbieter.pdf erläutert.

Dokument als PDF- Datei herunterladen ...