Compliance-Verpflichtung von One Identity

Ein Bericht nach SOC 2 Typ 2 ist ein Bericht über interne Kontrollmaßnahmen, in dem beschrieben wird, wie ein Unternehmen die Daten seiner Kunden schützt und wie gut diese Maßnahmen funktionieren. Diese Berichte werden von unabhängigen Auditoren ausgestellt, die besonders auf die Grundsätze der Sicherheit, Verfügbarkeit, Vertraulichkeit und des Datenschutzes achten.

Was ist das Hauptziel dieser Initiative?

Sie ermöglicht eine unabhängige Bewertung der Sicherheits- und Datenschutzkontrollmaßnahmen von One Identity. Die Bewertung umfasst eine Beschreibung der Kontrollmaßnahmen, der zu ihrer Beurteilung durchgeführten Tests, der Ergebnisse dieser Tests und eine Gesamtbeurteilung der Konzeption und der operativen Wirksamkeit der Kontrollmaßnahmen.

Was wird abgedeckt?

Der Bericht nach SOC 2 Typ 2 von One Identity deckt die Grundsätze und Kriterien der AICPA Trust Services für Sicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz ab. Der Bericht enthält auch eine Zuordnung der getesteten Kontrollmaßnahmen zu ISO/IEC 27001:2013 Anhang A und ISO/IEC 27002:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2014, den HIPAA-Sicherheitsanforderungen und den FFIEC-Prüfungsrichtlinien für die Informationssicherheit gemäß GLBA.

Wie häufig findet eine Bewertung/Auditierung statt?

Audits werden jährlich durchgeführt.

Wer ist die primäre Zielgruppe?

Kunden und relevante Dritte mit geschäftlichem Bedarf.

Die ISO-Norm 27018:2019 sieht bestimmte Ziele, Kontrollmaßnahmen und Richtlinien vor. One Identity hat im Rahmen der Erweiterung des Datenschutzprogramms seine bestehenden Datenschutzkontrollmaßnahmen an diese Norm angepasst. Diese Kontrollmaßnahmen werden im Rahmen des regelmäßigen Berichts nach SOC 2 Typ 2 getestet. Unsere Einhaltung dieser Norm wurde im Rahmen der jährlichen Audits gemäß unseres ISO 27001:2013-Zertifikats durch eine unabhängige Stelle auditiert.

Was ist das Hauptziel dieser Initiative?

Die ISO-Norm 27018:2019 sieht bestimmte Ziele, Kontrollmaßnahmen und Richtlinien vor. Durch die Anpassung an diese Norm bestätigt One Identity zusätzlich die Angemessenheit seines Datenschutzprogramms.

Was wird abgedeckt?

Das Datenschutzprogramm von One Identity und dessen Übereinstimmung mit den empfohlenen Zielen, Kontrollmaßnahmen und Richtlinien.

Wie häufig findet eine Bewertung/Auditierung statt?

Die Kontrollmaßnahmen nach ISO 27018:2019 werden im Rahmen der regelmäßigen Audits für den Bericht nach SOC 2 Typ 2 und für unsere ISO 27001:2013-Zertifizierung getestet.

Wer ist die primäre Zielgruppe?

Kunden und relevante Dritte mit geschäftlichem Bedarf.

Die ISO-Norm 27017:2015 sieht sowohl für die Anbieter als auch die Nutzer von Cloud-Services bestimmte Ziele, Kontrollmaßnahmen und Richtlinien vor. One Identity hat im Rahmen der Erweiterung des Sicherheitsprogramms seine bestehenden Sicherheitskontrollmaßnahmen an diese Norm angepasst. Diese Kontrollmaßnahmen werden im Rahmen des regelmäßigen Berichts nach SOC 2 Typ 2 getestet. Unsere Einhaltung dieser Norm wurde im Rahmen der jährlichen Audits gemäß unseres ISO 27001:2013-Zertifikats durch eine unabhängige Stelle auditiert.

Was ist das Hauptziel dieser Initiative?

Die ISO-Norm 27017:2015 sieht sowohl für die Anbieter als auch die Nutzer von Cloud-Services bestimmte Ziele, Kontrollmaßnahmen und Richtlinien vor. Durch die Anpassung an diese Norm bestätigt One Identity zusätzlich die Angemessenheit seines Sicherheitsprogramms.

Was wird abgedeckt?

Das Sicherheitsprogramm von One Identity und dessen Übereinstimmung mit den empfohlenen Zielen, Kontrollmaßnahmen und Richtlinien.

Wie häufig findet eine Bewertung/Auditierung statt?

Die Kontrollmaßnahmen nach ISO 27017:2015 werden im Rahmen der regelmäßigen Audits für den Bericht nach SOC 2 Typ 2 und für unsere ISO 27001:2013-Zertifizierung getestet.

Wer ist die primäre Zielgruppe?

Kunden und relevante Dritte mit geschäftlichem Bedarf.

Die ISO-Norm 27001:2013 unterstützt Unternehmen bei der Sicherung ihrer Informationsassets. Die Anwendung dieser Normen hilft One Identity bei der Wahrung der Sicherheit von Assets wie Finanzdaten, geistigem Eigentum, Mitarbeiterdaten und Informationen, die uns von Dritten anvertraut wurden. Eine unabhängige Stelle hat unsere Einhaltung dieser Norm auditiert und unser ISO 27001:2013-Zertifikat ausgestellt, das nur durch jährliche Audits verlängert werden kann.

Was ist das Hauptziel dieser Initiative?

Sie bietet eine unabhängige Bewertung und Zertifizierung des Informationssicherheits-Managementsystems (ISMS) von One Identity. Das ISMS umfasst alle Aspekte der Sicherheit und des Datenschutzes, die sowohl One Identity als auch seine Kunden betreffen.

Was wird abgedeckt?

Die ISO 27001:2013-Zertifizierung gilt für das ISMS, das die Verwaltung der Infrastruktur und der Services unterstützt, die für die Identity and Access Management-Lösung von One Identity eingesetzt werden.

Wie häufig findet eine Bewertung/Auditierung statt?

Alle drei Jahre wird ein umfassendes Zertifizierungsaudit durchgeführt. Jeweils 12 und 24 Monate nach einem umfassenden Audit werden außerdem Überwachungsaudits durchgeführt. Darüber hinaus führt One Identity gemäß ISO 27001:2013 jährlich ein internes Audit durch einen unabhängigen Dritten durch.

Wer ist die primäre Zielgruppe?

Kunden und relevante Dritte mit geschäftlichem Bedarf.

Skyhigh Networks führt objektive und gründliche Bewertungen der Unternehmenstauglichkeit von Cloud-Services auf der Grundlage eines detaillierten Kriterienkatalogs durch, der in Zusammenarbeit mit der Cloud Security Alliance (CSA) entwickelt wurde. Als Skyhigh Enterprise-Ready bezeichnete Services haben die höchste CloudTrust™-Bewertung erhalten und erfüllen somit die strengsten Anforderungen an Datenschutz, Identitätsprüfung, Servicesicherheit, Geschäftspraktiken und Rechtssicherheit.

Was ist das Hauptziel dieser Initiative?

Eine objektive Bewertung der Sicherheitsfunktionen von OneLogin auf der Grundlage von Kriterien, die in Zusammenarbeit mit der Cloud Security Alliance entwickelt wurden.

Was wird abgedeckt?

Die Sicherheitskontrollmaßnahmen von OneLogin werden anhand einer Reihe von Kriterien bewertet, die von Skyhigh Networks in Zusammenarbeit mit der Cloud Security Alliance entwickelt wurden.

Wie häufig findet eine Bewertung/Auditierung statt?

Eine Bewertung wird regelmäßig nach dem Ermessen von Skyhigh Network und bei Änderungen durch OneLogin durchgeführt.

Wer ist die primäre Zielgruppe?

Kunden und relevante Dritte mit geschäftlichem Bedarf.

One Identity begrüßt die DSGVO als eine wichtige und notwendige Weiterentwicklung der Datenschutzgesetze in der EU. Das Datenschutz- und Sicherheitsprogramm von One Identity erfüllt und übertrifft die höchsten Standards der Branche, einschließlich der Einhaltung der DSGVO.

Die Datenschutz-Grundverordnung („DSGVO“) hat die Datenschutzrichtlinie der Europäischen Kommission ersetzt und ist am 25. Mai 2018 in Kraft getreten. Ihr Ziel ist es, die Datenschutzbestimmungen der Europäischen Union zu vereinheitlichen und die personenbezogenen Daten der EU-Bürger sowohl innerhalb als auch außerhalb der EU besser zu schützen. Als Datenverarbeiter und -verantwortlicher stellt One Identity sicher, dass alle Anforderungen der DSGVO erfüllt werden, und wird dies auch weiterhin sicherstellen. Darüber hinaus stellen wir Ressourcen und Dokumente zur Verfügung, um unsere Kunden in ihrer Rolle als Datenverantwortliche zu unterstützen.

Bei One Identity hat der sichere und verantwortungsvolle Umgang mit allen Kundendaten höchste Priorität. Hier finden Sie einen Überblick darüber, was Sie von der DSGVO erwarten können, wie wir die Verordnung einhalten und wie wir unsere Kunden bei der Einhaltung unterstützen.

Was ist der Zweck der DSGVO?

Die DSGVO ist ein umfassendes Datenschutzgesetz, das zwei Zwecken dient:

1. Schutz der Daten von Einzelpersonen: Die DSGVO gibt in der EU ansässigen Personen die Kontrolle über ihre personenbezogenen Daten zurück und untersagt Unternehmen die Nutzung dieser Daten.

2. Richtlinien für Unternehmen: Die DSGVO vereinheitlicht das Datenschutzrecht im gesamten Binnenmarkt der EU. Sie bietet den Unternehmen einfachere gesetzliche Richtlinien, die von den Behörden leichter durchgesetzt werden können.

Für wen gilt die DSGVO?

Die DSGVO gilt für alle Unternehmen, die in der EU tätig sind, sowie für Unternehmen, die Waren oder Dienstleistungen für Kunden oder Unternehmen in der EU anbieten. Damit wird der Schutz der in der EU ansässigen Personen durch einen besseren Datenschutz erweitert.

Welche Auswirkungen hat die DSGVO auf mich?

Wenn Sie Ihren Wohnsitz in der EU haben, profitieren Sie vollumfänglich von der DSGVO. Die Europäische Union sorgt dafür, dass Ihre Daten sicher und angemessen verwendet werden.

Wenn Ihr Unternehmen Dienstleistungen innerhalb der EU anbietet, müssen Sie die DSGVO einhalten. Dies wirkt sich in verschiedener Hinsicht darauf aus, wie Sie Benutzerdaten speichern, verarbeiten und verwenden dürfen. Hier finden Sie einen Überblick über die wichtigsten Änderungen der DSGVO im Vergleich zur Datenschutzrichtlinie der Europäischen Kommission.

Recht auf Zugriff und Übertragbarkeit: Benutzer können eine Bestätigung darüber verlangen, ob, wo und zu welchem Zweck ihre personenbezogenen Daten verarbeitet werden. Darüber hinaus ist der Datenverantwortliche verpflichtet, eine kostenlose Kopie der personenbezogenen Daten in einem elektronischen Format zur Verfügung zu stellen.

Pflicht zur Meldung von Verstößen: Verstöße, die wahrscheinlich „zu einem Risiko für die Rechte und Freiheiten von Einzelpersonen führen“, müssen innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden.

Datenschutz von Anfang an: Unternehmen müssen den Datenschutz in den Entwurfsphasen aller Projekte sowie im Lebenszyklus des jeweiligen Datenprozesses berücksichtigen. Unternehmen müssen zudem den Datenschutz in den Entwurfsphasen aller Projekte sowie im Lebenszyklus des jeweiligen Datenprozesses berücksichtigen.

Recht auf Vergessenwerden: Unternehmen müssen es Benutzern ermöglichen, ihre personenbezogenen Daten zu löschen, die weitere Verbreitung der Daten zu unterbinden sowie gegebenenfalls die Verarbeitung der Daten durch Dritte unterbinden.

Diese Liste ist nicht erschöpfend. Ein Verstoß gegen eine dieser Vorschriften kann mit einer Geldstrafe von bis zu 4 % des Jahresumsatzes oder bis zu 20 Millionen Euro belegt werden.

Welche Schritte unternimmt One Identity zur Einhaltung der DSGVO?

One Identity ist ein globales Unternehmen, das Daten aus der ganzen Welt, einschließlich der EU, verarbeitet und verantwortet. Durch unsere bestehenden Zertifizierungen und unsere langjährige Verpflichtung im Bereich des Datenschutzes sind wir in mehrfacher Hinsicht auf die DSGVO vorbereitet.

• Um die Anforderungen der DSGVO zu erfüllen, müssen Unternehmen den Datenfluss darlegen und zeigen, wie der Datenschutz kontrolliert und aufrechterhalten wird. Mit unserem „Blank Page“-Ansatz bei der Neugestaltung unserer Datenflüsse und der Erstellung besonders detaillierter Datenzuordnungsdiagramme können wir dies erreichen.

• Aktualisierte Standard-MSA und Einwilligung zur Datenverarbeitung: Unternehmen müssen zudem ihre Vertragsbedingungen aktualisieren, um der durch die DSGVO vorgeschriebenen zusätzlichen Rechenschaftspflicht Rechnung zu tragen. Zu diesem Zweck nutzt One Identity Meldungen über Datenschutzverletzungen, setzt Unterauftragnehmer ein und informiert seine eigenen Datenverarbeitungsanbieter über ihre Pflichten.

• Datenschutzbeauftragter: One Identity hat einen unabhängigen externen Berater mit Sitz in der EU als Datenschutzbeauftragten ernannt.

Wie unterstützt One Identity seine Kunden bei der Einhaltung?

One Identity stellt seinen Kunden alle Ressourcen zur Verfügung, die sie zur Einhaltung der DSGVO benötigen. Dies wird wie folgt erreicht:

Recht auf Zugriff und Übertragbarkeit

• IT-Administratoren können mühelos einen Benutzer im System aufrufen und dessen Informationen ausdrucken, die in einem der Benutzerverzeichnisse gespeichert sind.
• Benutzerberechtigungen und Rollenzuweisungen in One Identity zeigen an, wo die Metadaten des Benutzers verwendet werden (d. h. alle Anwendungen, auf die der Benutzer Zugriff hat).

Pflicht zur Meldung von Verstößen

• Der Ereignis-Streaming-Service von One Identity kann beabsichtigte Sicherheitsverletzungen durch Korrelation mit weiteren Sicherheitsereignissen im Unternehmen deutlich schneller ermitteln.
• Nach der Identifizierung einer potenziellen Sicherheitsverletzung können Administratoren mithilfe des Ereignis-Dashboards und des Berichtstools von One Identity weitere Untersuchungen anstellen.

Recht auf Vergessenwerden

• One Identity ermöglicht die automatische Deprovisionierung von Benutzern aus anderen Systemen und externen Anwendungen.
• Administratoren können Benutzer sofort löschen, um sowohl dem Datenschutz als auch den Sicherheitsanforderungen des Unternehmens Rechnung zu tragen.
• Administratoren können provisionierte Anwendungen auch manuell auditieren.

Datenschutz von Anfang an: One Identity ist ein vertrauenswürdiger Partner
Datenschutz von Anfang an ist eine besondere Herausforderung, auf die wir als Anbieter jedoch gut vorbereitet sind.

• Der One Identity-Service hat schon immer Informationen verarbeitet, die geschützt werden müssen, sei es aufgrund von Datenschutzbestimmungen, Vorschriften der Kreditkartenbranche, ihrer Einstufung als Betriebsgeheimnis oder verschiedener anderer Datenschutzanforderungen.
• One Identity führt in regelmäßigen Abständen und als Teil des Entwicklungsprozesses für neue Funktionen entsprechende Datenschutz-Folgenabschätzungen durch.

Datenschutz von Anfang an: Eine bessere Architektur mit One Identity
Insbesondere als Architekt in der IT oder im Ingenieurwesen ist für Sie möglicherweise die Einhaltung der Datenschutzvorschriften nicht nur durch Dritte, sondern auch in Ihren eigenen Systemen relevant. Stellen Sie sich die potenziellen Vorteile einer Integration auf der Plattform von One Identity vor.

Viele der Herausforderungen bei der Einhaltung von Vorschriften sind das Ergebnis älterer Architekturen, die nur eine begrenzte Kontrolle über die Speicherung, Verwaltung und Verarbeitung von Daten ermöglichen. So war es beispielsweise früher durchaus üblich, dass Legacy-Anwendungen direkt auf das Unternehmensverzeichnis zugreifen konnten. Damit hatten diese Anwendungen in der Regel Zugriff auf alle Benutzerdaten und konnten diese bis auf wenige Einschränkungen verändern, zwischenspeichern oder speichern.

Seitdem hat sich jedoch viel verändert.

Nachfolgend werden zunächst einige Grundlagen beschrieben. Die Identitätsplattform von One Identity basiert auf modernen Protokollen wie SAML, OpenID Connect und SCIM. Diese modernen Protokolle verwenden sichere Token, Sicherheits-Assertions und automatisierte Provisionierung.

• Sichere Token: Der Benutzer meldet sich nie direkt bei einer Anwendung an. Stattdessen meldet sich der Benutzer immer sicher per Single Sign-On (SSO) über ein Portal an. Jede vertrauenswürdige Anwendung kann ein sicheres Token erhalten, das den Benutzer repräsentiert.
• Sicherheits-Assertions: Identitätsinformationen (z. B. Benutzername, Mitarbeiter-ID) werden von einer vertrauenswürdigen Partei, insbesondere einem Identitätsanbieter, digital signiert.
• Automatisierte Provisionierung/Deprovisionierung: Wenn einem Benutzer Zugriff auf eine Anwendung gewährt wird, werden dessen relevante Metadaten in die Anwendung übertragen. Wenn einem Benutzer der Zugriff entzogen wird, werden die entsprechenden Metadaten aus der Anwendung gelöscht.

Mit der Identitätsplattform von One Identity können Sie moderne Protokolle für praktisch jede Public Cloud oder private/benutzerdefinierte Anwendung nutzen.

Vorteile:

• Anwendungen authentifizieren die Benutzer nicht direkt, was die Sicherheit erhöht und den Datenschutz verbessert.
• Anwendungen haben keinen direkten Zugriff auf das Unternehmensverzeichnis und somit keine Lese-/Schreibberechtigung für die gesamte Benutzerbasis.
• Anwendungen erhalten nur die erforderlichen Benutzermetadaten, und zwar nur für Benutzer mit Zugriff auf die Anwendung. Der Benutzerzugriff kann dabei auch anonym erfolgen.
• Anwendungen können Rollen-/Berechtigungsinformationen ohne direkten Zugriff auf die Benutzerdaten erhalten.

Weitere Informationen zu unserer Umsetzung der DSGVO finden Sie in unserer Datenschutzerklärung.

Wenn Sie Fragen haben oder weitere Informationen benötigen, wenden Sie sich per E-Mail an privacy@onelogin.com.

Die EU-Standardvertragsklauseln sollen die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in andere Länder erleichtern und gleichzeitig angemessene Garantien für den Schutz personenbezogener Daten bieten. Diese Klauseln sind Teil unseres Zusatzes zur Datenverarbeitung und bieten eine Alternative zur Erfüllung der Angemessenheitsanforderungen. Somit stellen sie eine Alternative zum US-Datenschutzschild oder zu verpflichtenden Unternehmensregeln dar.

Was ist das Hauptziel dieser Initiative?

Sie bietet einen Mechanismus für Kunden im EWR, die als Datenverantwortliche gelten, um mit One Identity als Datenverarbeiter zusammenzuarbeiten, und verpflichtet beide Parteien dazu, personenbezogene Daten außerhalb des EWR nur unter angemessenen Sicherheitsvorkehrungen und in Übereinstimmung mit dem EU-Datenschutzrecht zu übermitteln.

Was wird abgedeckt?

Die Standardvertragsklauseln gelten für alle Datenverarbeitungsanbieter und dokumentieren die Verpflichtung des Anbieters zur Einhaltung des EU-Datenschutzrechts.

Wie häufig findet eine Bewertung/Auditierung statt?

Die EU-Standardvertragsklauseln werden nach Bedarf umgesetzt.

Wer ist die primäre Zielgruppe?

Kunden, die personenbezogene Daten aus dem EWR an One Identity übermitteln werden.

Penetrationstests für Anwendungen werden jährlich von unabhängigen Dritten durchgeführt. Mit diesen Tests stellen wir sicher, dass wir potenzielle Sicherheitsschwachstellen in unseren Anwendungen aufdecken und die Risiken der OWASP Top 10 und der SANS Top 25 vermeiden. Die Tester erhalten Zugriff auf ihr eigenes Konto und den zugrunde liegenden Quellcode.

Was ist das Hauptziel dieser Initiative?

Mit Penetrationstests kann One Identity potenzielle Sicherheitsschwachstellen in seinen Anwendungen aufdecken, die u. a. in den OWASP Top 10 und den SANS Top 25 aufgeführt sind.

Was wird abgedeckt?

Die Kernanwendungen werden bei jeder Bewertung abgedeckt. Zusätzliche Services wie mobile Anwendungen und Browser-Erweiterungen werden abwechselnd schwerpunktmäßig abgedeckt.

Wie häufig findet eine Bewertung/Auditierung statt?

Penetrationstests durch Dritte werden jährlich durchgeführt.

Wer ist die primäre Zielgruppe?

One Identity – nur zur internen Verwendung

Belohnungsprogramme für die Aufdeckung von Fehlern bieten Unternehmen eine weitere Möglichkeit, Schwachstellen in ihren Systemen aufzudecken, indem sie auf ein großes Netzwerk globaler Sicherheitsforscher zurückgreifen, die durch ein Belohnungssystem einen Anreiz zur verantwortungsvollen Veröffentlichung von Sicherheitslücken erhalten. Das Endergebnis ist einem von einem Anbieter durchgeführten Penetrationstest sehr ähnlich, aber die Anzahl der Forscher, die nach Fehlern suchen, ist sehr viel höher als bei einem typischen Penetrationstest. Zudem ist die Fehlersuche nicht zeitlich begrenzt.

Was ist das Hauptziel dieser Initiative?

Ähnlich wie bei unseren geplanten Penetrationstests kann OneLogin durch das Belohnungsprogramm für die Aufdeckung von Fehlern potenzielle Sicherheitsschwachstellen in seiner Anwendung aufdecken, die u. a. in den OWASP Top 10 und den SANS Top 25 aufgeführt sind.

Wie häufig findet eine Bewertung/Auditierung statt?

Es handelt sich um ein fortlaufendes Programm.

Wer ist die primäre Zielgruppe?

OneLogin – nur zur internen Verwendung

Mit dem Gramm-Leach-Bliley Act (GLBA) wurde 1999 erstmals eine Vorschrift zum Schutz der Finanzdaten von Verbrauchern eingeführt. Die durch den GLBA eingeführten Vorschriften zur Informationssicherheit für Finanzdienstleister verpflichten die Finanzinstitute in den Vereinigten Staaten zur Einführung eines Informationssicherheitsprogramms für den Schutz der Sicherheit, Vertraulichkeit und Integrität dieser Informationen. Der Federal Financial Institutions Examination Council (FFIEC) unterstützt diese Aufgabe durch die Bereitstellung umfassender, ständig weiterentwickelter Richtlinien zur Einhaltung der Vorschriften. OneLogin speichert keine Finanzdaten von Verbrauchern, hat aber seine Kontrollmaßnahmen an die FFIEC-Richtlinien angepasst, um die Einhaltung des GLBA im Bedarfsfall sicherzustellen. Diese Kontrollmaßnahmen werden im Rahmen des Berichts nach SOC 2 Typ 2 getestet.

Was ist das Hauptziel dieser Initiative?

Validierung der Fähigkeit von OneLogin zur Einhaltung der FFIEC-Richtlinien, die gemäß GLBA für den Schutz der Finanzdaten von Verbrauchern entwickelt wurden.

Was wird abgedeckt?

Die Sicherheitskontrollmaßnahmen von OneLogin wurden anhand der FFIEC-Richtlinien für die Prüfung der Einhaltung des GLBA bewertet.

Wie häufig findet eine Bewertung/Auditierung statt?

Die Sicherheitskontrollmaßnahmen gemäß FFIEC-Richtlinien für die Prüfung der Einhaltung des GLBA werden im Rahmen der regelmäßigen Audits für den Bericht nach SOC 2 Typ 2 getestet.

Wer ist die primäre Zielgruppe?

Kunden und relevante Dritte mit geschäftlichem Bedarf.

Das National Institute of Standards and Technology (NIST) hat das Framework zur Verbesserung der Cybersicherheit kritischer Infrastrukturen (NIST Cybersecurity Framework) als Reaktion auf Executive Order 13636 entwickelt. Das Framework ist in Zusammenarbeit von Regierung und Privatsektor entstanden und bietet einen gemeinsamen Ansatz zur kosteneffizienten Behandlung und Verwaltung von Cybersicherheitsrisiken, ohne Unternehmen zusätzliche Rechtsvorschriften aufzuerlegen. One Identity hat im Rahmen der Erweiterung des Sicherheitsprogramms seine bestehenden Sicherheitskontrollmaßnahmen an dieses Framework angepasst. Diese Kontrollmaßnahmen werden im Rahmen des regelmäßigen Berichts nach SOC 2 Typ 2 getestet.

Was ist das Hauptziel dieser Initiative?

Sie bietet einen zusätzlichen Bezugspunkt für die Entwicklung und Pflege des Sicherheitsprogramms von One Identity.

Was wird abgedeckt?

Das Framework besteht aus drei Teilen: Kern, Profil und Implementierungsstufen. Der Kern des Frameworks besteht aus einer Reihe von Cybersicherheitsaktivitäten, Ergebnissen und informativen Verweisen, die für alle Bereiche kritischer Infrastrukturen gelten und detaillierte Richtlinien für die Entwicklung individueller Organisationsprofile bieten. Durch die Verwendung der Profile hilft das Framework dem Unternehmen dabei, seine Cybersicherheitsaktivitäten mit seinen Geschäftsanforderungen, Risikotoleranzen und Ressourcen abzustimmen. Die Implementierungsstufen bieten Unternehmen eine Möglichkeit, die Merkmale ihres Ansatzes zur Verwaltung von Cybersicherheitsrisiken darzustellen und zu verstehen.

Wie häufig findet eine Bewertung/Auditierung statt?

Die Sicherheitskontrollmaßnahmen gemäß Kern des NIST Cybersecurity Framework werden im Rahmen der regelmäßigen Audits für den Bericht nach SOC 2 Typ 2 getestet.

Wer ist die primäre Zielgruppe?

Kunden und relevante Dritte mit geschäftlichem Bedarf.

Organisationen des öffentlichen Sektors im Vereinigten Königreich und unabhängige Stellen können über den Digital Marketplace Cloud-basierte Services erwerben. Dazu müssen die Lieferanten dem G-Cloud-Framework zustimmen und dieses einhalten. OneLogin nimmt an diesem Programm teil.

Was ist das Hauptziel dieser Initiative?

Bereitstellung von OneLogin-Servicedaten für Organisationen und unabhängige Einrichtungen des öffentlichen Sektors im Vereinigten Königreich gemäß G-Cloud-Framework.

Was wird abgedeckt?

Das G-Cloud-Framework erfordert eine Lieferantenerklärung mit Standarddatenelementen, mit denen Unternehmen Lieferanten anhand einheitlicher Kriterien bewerten können. Zu diesen Datenelementen gehören u. a. Informationen über die Unterstützung offener Standards, Onboarding und Offboarding, Provisionierung, Datenspeicherung, Schutz und Resilience von Assets, Schwachstellenmanagement und Incident Management.

Wie häufig findet eine Bewertung/Auditierung statt?

Jede Iteration des G-Cloud-Frameworks dauert in der Regel 12 Monate. Anschließend wird eine neue Iteration erstellt und die Anbieter müssen eine neue Erklärung auf der Grundlage der Anforderungen dieser Iteration abgeben.

Wer ist die primäre Zielgruppe?

Organisationen und unabhängige Einrichtungen des öffentlichen Sektors im Vereinigten Königreich.