From 5e1f1270f6d20d7c7c2e11e1bf919c1e1b94570b Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Fri, 4 Nov 2016 19:17:44 +0100 Subject: [PATCH] Generic commit --- document.tex | 16 ++-------------- 1 file changed, 2 insertions(+), 14 deletions(-) diff --git a/document.tex b/document.tex index 97f25ce..2da9d5c 100644 --- a/document.tex +++ b/document.tex @@ -137,7 +137,7 @@ Bietet ein Anbieter Cloud-Angebote an, so verfügt er über eine technische Infr Aus Perspektive eines Kunden von Cloud-Angeboten ergibt sich die Nutzung dieser Angebote oft aus dem Willen, Kosten einzusparen. Kostet die eigene IT-Infrastruktur in Verbindung mit der dafür nötigen IT-Compliance zu viel, so kann es sich lohnen, die benötigten Dienste durch ein Cloud-Angebot zu ersetzen. Hierbei ist jedoch kritisch, dass die benötigten Anforderungen an die Datensicherheit eingehalten werden. Möchte beispielsweise eine deutsche Versicherung ihre Kundendaten in die Cloud verschieben, so muss weiterhin darauf geachtet werden, dass das Bundesdatenschutzgesetz eingehalten wird. Des weiteren müssen die Kundendaten vertraulich bleiben, jederzeit verfügbar sein und nicht außerhalb von Deutschland gespeichert werden. Sucht ein Kunde nun international einen Anbieter mit diesen Kriterien, so ist es notwendig, dass der Anbieter diese Anforderungen belegbar erfüllen kann. \paragraph{Cloud-Angebote aus Sicht der Anbieter} -Aus Perspektive des Anbieters ergibt sich aus der Verpflichtung, alle Gesetze und Vorschriften der verschiedenen Länderstandorte zu erfüllen, eine sehr große Herausforderung. Je mehr Standorte sich in unterschiedlichen Ländern befinden, desto mehr Gesetze finden Anwendungen und die Komplexität steigt. IT-Compliance sichert an dieser Stelle die eigene Existenz des Unternehmens des Anbieters, da mit einer solchen Menge an Gesetzen viel mehr Risiken verbunden sind, dass diese nicht eingehalten werden können. +Aus Perspektive des Anbieters ergibt sich aus der Verpflichtung, alle Gesetze und Vorschriften der verschiedenen Län\-der\-stand\-or\-te zu erfüllen, eine sehr große Herausforderung. Je mehr Standorte sich in unterschiedlichen Ländern befinden, desto mehr Gesetze finden Anwendungen und die Komplexität steigt. IT-Compliance sichert an dieser Stelle die eigene Existenz des Unternehmens des Anbieters, da mit einer solchen Menge an Gesetzen viel mehr Risiken verbunden sind, dass diese nicht eingehalten werden können. Hinzu kommt, dass Kunden aus unterschiedlichen Ländern gegebenenfalls unterschiedliche Rechte genießen, mit denen die Angebote des Anbieters entsprechend übereinstimmen müssen. Da die Kunden oft auch Anforderungen an die Datensicherheit haben, muss der Anbieter die Einhaltungen dieser belegen können. Um Kunden zu gewinnen und zu überzeugen, möchte der Anbieter dementsprechend in der Lage sein, weltweit nachweisen zu können, dass sein Unternehmen einen bestimmten Grad an Datensicherheit gewährleisten kann. @@ -145,19 +145,7 @@ Hinzu kommt, dass Kunden aus unterschiedlichen Ländern gegebenenfalls unterschi \section{ISO 27001}\label{cpt:iso27001} \paragraph{Steckbrief: ISO 27001} -\begin{itemize} -\item \textbf{Internationaler Standard} aus dem Jahr 2005 (überholt in 2013) -\item Gehört zur Familie der ISO 2700X -\item Anforderungen an ein Information Security Management System (ISMS) -\begin{itemize} -\item Ähnlicher Ansatz zu Compliance Management System -\item Fokus auf Datensicherheit -\item $\rightarrow$ Bewahren der Vertraulichkeit, Integrität und Verfügbarkeit von Daten -\item Anwendung von Risikomanagementprozessen -\end{itemize} -\item Struktur und Aufbau abhängig von Unternehmensstruktur und Bedarf -\item Bonus: Man kann sich nach ISO 27001 zertifizieren lassen! -\end{itemize} +Die ISO 27001 ist ein internationaler Standard und wurde erstmals im Jahr 2005 definiert und später im Jahr 2013 überholt\cite{ISO27001}. Sie definiert Anforderungen an ein \emph{Information Security Management System} (ISMS), welches einen Ähnlichen Ansatz wie das Compliance Management System verfolgt. Der Fokus des ISMS liegt auf Datensicherheit; genauer dem Bewahren der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Anwendung von Risikomanagementprozessen. Je nach Struktur und Bedarf des Unternehmens sind Struktur und Aufbau des ISMS unterschiedlich. Im Vergleich zur regulären IT-Compliance bietet die ISO 27001 jedoch den Vorteil, dass man sich nach ihr zertifizieren lassen kann. \paragraph{Inhalte und Ziele der ISO 27001} \begin{itemize}