Der Dienstanbieter sollte über ein Security Governance-Rahmenwerk verfügen, das sein Management des Dienstes und der darin enthaltenen Informationen koordiniert und steuert. Alle technischen Kontrollen, die ausserhalb dieses Rahmens eingesetzt werden, werden grundsätzlich geschwächt sein.
Ein effektiver Governance-Rahmenwerk wird sicherstellen, dass Verfahrens- , Personal-, physische und technische Kontrollen während der gesamten Lebensdauer eines Dienstes weiterhin funktionieren. Es sollte auch auf Veränderungen im Dienstleistungsbereich, technologische Entwicklungen und das Auftreten neuer Bedrohungen reagieren.
Ziele
Sie sollten genügend Vertrauen haben, dass der Dienst über ein Governance-Rahmenwerk und Prozesse verfügt, die für Ihren Verwendungszweck geeignet sind.
Gute Governance bedeutet in der Regel:
- Ein klar identifizierter und benannter Vorstandsvertreter (oder eine Person mit der direkt delegierten Vollmacht), der für die Sicherheit des Cloud-Service verantwortlich ist. Dies ist in der Regel jemand mit der Bezeichnung „Chief Security Officer“, „Chief Information Officer“ oder „Chief Technical Officer“.
- Ein dokumentiertes Rahmenwerk für die Sicherheitsführung mit Richtlinien für die wichtigsten Aspekte der Informationssicherheit, die für den Dienst relevant sind.
- Sicherheit und Informationssicherheit sind Teil der finanziellen und operativen Risikoberichterstattungsmechanismen des Dienstanbieters und stellen sicher, dass der Verwaltungsrat über Sicherheits- und Informationsrisiken informiert wird.
- Prozesse zur Identifizierung und Sicherstellung der Einhaltung der geltenden gesetzlichen und regulatorischen Anforderungen.
Implementierungsansätze
http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/
17.11.2018