Informationssicherheit

05.03.2020

Audits beim Hosting-/Cloud-Anbieter

Audit IT Services

Seit der DSGVO / GDPR wissen wir alle: Hosting- bzw. Cloud-Anbieter sind aufgrund ihrer Tätigkeit im Auftrag von Firmen vertraglich für die Datenbearbeitung einzubinden. Die Verträge sind mit den allermeisten relevanten Hosting-Anbieter möglich.

Nach Artikel 24 (1) kann die Überprüfung der Massnahmen erforderlich sein. Doch wie prüft man als Kunde, ob der Hosting- bzw. Cloud-Anbieter diesen vertraglichen Punkten nachkommt? Mit einem periodischen Audit.

Welche Hauptpunkte können in diesem Zusammenhang analysiert werden?

  • Existenz eines aktuellen Datensicherheitskonzeptes entsprechend der Lösung.
  • Mittels Besuch vor Ort: die technischen Massnahmen im Rechenzentrum stimmen mit der Vereinbarung überein.
  • Überprüfung der technischen Massnahmen zum Betrieb der Systeme.
  • Stichproben. Am Beispiel von ...
    ... Backups: Sind Datenbestände in Übereinstimmung mit den vertraglich geregelten Intervallen vorhanden?
    ... Zugangsberechtigungen: wer erhält welche Logins und welche Auskünfte?
    ... einem Data Breach: kennt der Anbieter den Informationsfluss und hält er die 72-Stunden-Regel ein?
  • Nachweis, welche Mitarbeiter/Abteilungen/Gruppen beim Anbieter welche Zugriffsrechte haben.
  • Aktualität der Liste der einbezogenen Dritten für die Erbringung der Dienstleistung.
Google+ aktivieren