M 2.543 Aufrechterhaltung der Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Nach der erfolgreich abgeschlossenen Migration zu einem Cloud Service muss die Aufrechterhaltung der Informationssicherheit im laufenden Betrieb gewährleistet werden. Hierzu sind eine Reihe von Maßnahmen zu ergreifen, die im Folgenden näher beschrieben sind.

Die regelmäßige Aktualisierung von Dokumentationen und Richtlinien innerhalb der Institution ist sicherzustellen. Dies gilt beispielsweise für Betriebshandbücher, Nutzungsanweisungen oder Anleitungen.

Weiterhin ist sicherzustellen, dass regelmäßige Kontrollen durchgeführt werden, die sich über möglichst viele Bereiche der Cloud-Nutzung erstrecken. Es sind zumindest folgende Aspekte zu betrachten und in regelmäßige Kontrollen einzubeziehen:

Neben den bereits beschriebenen Maßnahmen bietet die Durchführung regelmäßiger Abstimmungsrunden zwischen Cloud-Diensteanbieter und nutzender Institution weitere Möglichkeiten zur Gewährleistung der Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb. In diesem Zusammenhang können Abstimmungen zu unterschiedlichen Themen von Interesse sein. Aktuelle Informationen bezüglich des Änderungsmanagements bieten sich beispielsweise ebenso an wie Änderungen hinsichtlich der Personalsituation aufseiten des Cloud-Diensteanbieters. Auch eine Diskussion über die Kundenzufriedenheit und mögliche Verbesserungspotenziale könnten Inhalt einer solchen Abstimmungsrunde sein.

Die Planung und Durchführung von Übungen und Tests leistet einen wichtigen Beitrag, um die Informationssicherheit aufrecht zu erhalten. Dabei ist, mit Schwerpunkt auf der Kommunikation zwischen Institution und Cloud-Diensteanbieter, vor allem die Reaktion auf Systemausfälle (Teilausfall und Totalausfall) zu planen und zu überprüfen. Weiterhin müssen Planungen hinsichtlich des Wiedereinspielens von Datensicherungen vorgenommen und dokumentiert werden. Generell sind Vorgaben zum Sicherheitsvorfallsmanagement bei Cloud-Nutzung festzuhalten.

Prüffragen: