Inhalt

    Nr. 8.5 – Einrichtung eines internen Kontrollsystems
    (Art. 24 DSGVO)

    Kriterium

    (1) Der Cloud-Anbieter überprüft die Umsetzung aller in diesem Katalog geprüften Kriterien regelmäßig in einem internen Revisionsverfahren. Hierfür legt der Cloud-Anbieter Kontrollverfahren und Zuständigkeiten fest.
    (2) Der Cloud-Anbieter stellt durch geeignete TOM sicher, dass bei der (Weiter-)Entwicklung oder Änderung des Cloud-Dienstes die in diesem Katalog geprüften Kriterien weiterhin eingehalten werden.

    Erläuterung

    Der Cloud-Anbieter hat sicherzustellen, dass die Maßnahmen zur Erfüllung der datenschutzrechtlichen Pflichten nach diesem Katalog nicht nur einmalig implementiert werden, sondern während der Gültigkeit eines Zertifikats aufrechterhalten werden.

    Umsetzungshinweis

    Der Cloud-Anbieter sollte vor allem die internen Audits des DSB zu Datenschutzfragen heranziehen. Des Weiteren wird auf die Umsetzungshinweise zur regelmäßigen Überprüfung durch die oberste Leitung beim Cloud-Anbieter nach ISO/IEC 27002 Ziff. 18.1 und 18.2. hingewiesen.
    Der Cloud-Anbieter sollte die Wirksamkeit der internen Kontrollaktivitäten regelmäßig überprüfen. Dazu gilt es zunächst zu definieren, wie die Wirksamkeit der internen Kontrollaktivitäten gemessen werden kann. Es ist empfohlen ein standardisiertes Vorgehensmodell (z. B. ITIL oder COBIT) für die IT-Prozesse des angebotenen Cloud-Dienstes zu definieren und einzuhalten. Wird ein interner Prüfer/Auditor eingesetzt, sollte er über eine geeignete Qualifikation verfügen, objektiv und unparteiisch und nicht an der Erstellung der Prüfobjekte beteiligt sein.
    Bei der Bereitstellung eines Cloud-Dienstes sollten Prozesse für ein sicheres Änderungs- und Release-Management etabliert werden. Im Rahmen dieser Prozesse sollte ein Cloud-Anbieter u.a. eine dokumentierte Eignungsprüfung und einen Abnahmeprozess bei der (Weiter-)Entwicklung und Änderung (insb. Patches und System-Updates) an seinem Dienst durchführen, um nachteilige Auswirkungen aufgrund der Änderungen zu vermeiden und die Konformität zur Datenschutz-Grundverordnung fortlaufend sicherzustellen. Die Geltungsbereiche, Rollen und Verbindlichkeiten im Rahmen des Änderungs- und Release-Managements sollten zwischen Cloud-Anbieter und -Nutzer klar definiert und aufeinander abgestimmt sein.
    Auf die Umsetzungshinweise im BSI C5 Anf. BEI-01 bis BEI-12 in Hinblick auf die Einbettung des Revisionsprozesses in das Change-Management sowie Anf. SPN-01 bis SPN-03, COM-02 und COM-3 wird hingewiesen.
    Auf die Umsetzungshinweise der ISO/IEC 27002 Ziff. 5.1.2, 9.2.5, 14.2.3, 15.2.1 und ISO/IEC 27701 Ziff. 5.7, 6.9.7, 6.15.2 wird hingewiesen.

    Nachweis

    Der Cloud-Anbieter legt Dokumentationen zur Durchführung von Revisionen vor (z.B. TOM, Verfahrensverzeichnisse, Verfahrensanweisungen, Richtlinien, Rollenbeschreibungen, Revisions- und Ergebnisprotokolle oder Terminpläne für interne Revisionen). Ob interne Kontrollen durchgeführt werden, kann durch Befragungen des DSB, der zuständigen Mitarbeiter und des Managements im Rahmen eines Audits nachgewiesen werden. Dabei sollte insbesondere auch nachgewiesen werden, dass Mitarbeiter um ihre zugeteilte und dokumentierte Verantwortlichkeit wissen und ihre Aufgaben im Hinblick auf die Durchführung von Kontrollverfahren wahrnehmen.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

    © 2024 AUDITOR. Built using WordPress and Mesmerize Theme.