IT-Compliance in der Microsoft Cloud

Begriffe wie “Infrastruktur als Service”, “Plattform als Service” und “Software als Service” sind in aktuellen Cloud Diskussionen allgegenwärtig. Doch wie sieht es mit IT-Compliance in aktuellen Cloud Angeboten aus?

Microsoft hat im November 2010 ein Dokument veröffentlicht, welches das Informations-Sicherheits-Management System in der Microsoft Cloud Infrastruktur beschreibt. Wenig überraschend dürfte die Tatsache sein, dass die ISO 27001 als Grundlage angewendet wird.

Folgende Standards werden aktuell von der Microsoft Cloud erfüllt:

  • ISO/IEC 27001:2005
  • Statement on Auditing Standards No. 70 (SAS 70) Type I and II
  • Sarbanes-Oxley (SOX)
  • Payment Card Industry Data Security Standard (PCI DSS)
  • Federal Information Security Management Act (FISMA)

image

Microsoft setzt für die Umsetzung ein Information Security Management Forum als Governance Programm ein, welches u.a. Risk und Compliance Management als integralen Bestandteil betrachtet:

image

Die Lagebesprechung im Bereich der Compliance erfolgt monatlich und betrachtet Themen wie die Aktualisierung von Richtlinien und Control Aktivitäten, Besprechung  von Problemen und Audits.

Die Risiko Lagebesprechung erfolgt vierteljährlich und beinhaltet u.a. das jährliche Risk Assessment, sowie die Bewertung der Gebäude- und Rechenzentrumrisiken. Im Rahmen dieser Lagebesprechung werden auch neue Sicherheitsvorfälle oder Verwundbarkeiten und bei Bedarf Business Impact Analysen durchgeführt.

Das Dokument kann hier geladen werden: http://www.globalfoundationservices.com/security/documents/InformationSecurityMangSysforMSCloudInfrastructure.pdf

Dieser Beitrag wurde unter Richtlinien veröffentlicht. Setze ein Lesezeichen auf den Permalink.