Informationen zu regionalen IBM Cloud-Complianceprogrammen

Führungskräfte internationaler Unternehmen sind mit einer stetig zunehmenden Anzahl regionenspezifischer Compliancestandards konfrontiert, wenn sie ihre IT-Infrastrukturen in die Cloud migrieren. IBM Cloud™-Plattformservices unterstützen Sie dabei, diese regionalen Compliancestandards zu erfüllen.

Asien-Pazifik

FISC (Japan)

Das Center for Financial Industry Information Systems (FISC) wurde vom japanischen Finanzministerium ins Leben gerufen, um Forschungsarbeiten zu Themen im Zusammenhang mit Finanzinformationssystemen in Japan durchzuführen. FISC erstellte Richtlinien zur Verbesserung der Sicherheit von Informationssystemen in Bankwesen und Finanzwirtschaft. Diese FISC-Richtlinien werden, wenn auch nicht gesetzlich vorgeschrieben, von den meisten japanischen Finanzinstituten bei der Gestaltung und Pflege ihrer Informationssysteme anerkannt und verwendet.

IRAP (Australien)

Das Information Security Registered Assessors Program (IRAP) wurde vom Australian Signals Directorate ins Leben gerufen, um Regierungen qualitativ hochwertige Informations- und Kommunikationstechnologieservices zur Verbesserung der Sicherheit in Australien bereitzustellen. IRAP bietet den Rahmen zur Unterstützung von Einzelpersonen aus dem privaten und öffentlichen Sektor bei der Bereitstellung von Assessment-Services für Cybersicherheit für australische Regierungen.

K-ISMS (Südkorea)

Das Korea Information Security Management System (K-ISMS) ist eine von der koreanischen Regierung unterstützte Zertifizierung, die von der Korea Internet and Security Agency (KISA) finanziert wird. K-ISMS ist ein Zertifizierungssystem, das entwickelt wurde, um zu beurteilen, ob das Information Security Management System eines Unternehmens ordnungsgemäß eingerichtet, verwaltet und betrieben wird. Mit dieser Zertifizierung können IBM Cloud-Infrastrukturkunden in Südkorea leichter die Einhaltung lokaler gesetzlicher Bestimmungen zum Schutz wichtiger digitaler Informationsassets nachweisen und KISA-Compliancestandards erfüllen.

K-ISMS-Zertifikat für IBM Cloud-Infrastrukturservices in Englisch anzeigen (PDF, 317 KB)

K-ISMS-Zertifikat für IBM Cloud-Infrastrukturservices in Koreanisch anzeigen (PDF, 280 KB)

ISMS-Logo

MTCS (Singapur)

Multi-Tier Cloud Security (MTCS), auch bekannt als Singapore Standard SS 584, ist ein mehrstufiger Sicherheitsstandard für Cloud-Service-Provider, die in Singapur tätig sind.

Anforderung des IBM Cloud-Infrastrukturzertifikats: Kundenportal besuchen (Link befindet sich außerhalb von IBM)

My Number Act (Japan)

Das Social Security and Tax Number System (My Number Act) trat im Januar 2016 in Japan in Kraft. Im Rahmen dieses Gesetzes wird jedem Einwohner Japans, sei er Japaner oder Ausländer, eine eindeutige Nummer zugewiesen, die hauptsächlich für Steuerzwecke und die Sozialversicherung verwendet wird. Die Personal Information Protection Commission (PPC) erstellte Richtlinien, um Unternehmen bei ordnungsgemäßer Handhabung und ordnungsgemäßem Schutz ihrer My Number-Informationen zu helfen.

Logo von My Number Act

Europa und Großbritannien

BaFin (Deutschland)

Die BaFin, ehemals Bundesanstalt für Finanzdienstleistungsaufsicht, beaufsichtigt alle Finanzdienstleistungsunternehmen in Deutschland. Die BaFin hat eine Spezifikation für die rechtlichen Rahmenvorschriften für Cloud-Computing-Services veröffentlicht, die Finanzdienstleistern zur Verfügung gestellt werden.

C5 (Deutschland)

Der Cloud Computing Compliance Controls Catalog (C5), der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeführt wurde, ist ein cloudspezifisches Attestierungsschema. Dieses Schema umreißt die Anforderungen, die Cloud-Service-Provider erfüllen müssen, um für ihre Cloud-Services ein Mindestniveau an Sicherheit zu gewährleisten. Der C5 erweitert die Anforderungen an Cloud-Provider durch Kombination bestehender Sicherheitsstandards wie ISO 27001 mit zusätzlichen Anforderungen, um mehr Transparenz in der Datenverarbeitung zu erreichen.

Führen Sie einen der folgenden Schritte aus, um die C5-Attestierung für die IBM Cloud-Infrastruktur anzufordern: Besuchen Sie das Kundenportal (Link befindet sich außerhalb von IBM)
Kontaktieren Sie einen IBM Ansprechpartner

Europäische Bankenaufsicht – EBA (EU)

Die Europäische Bankenaufsicht (EBA) gibt im Rahmen ihrer Mission, in der gesamten EU einheitliche, effiziente und effektive Aufsichtsverfahren zu etablieren und eine einheitliche Anwendung von EU-Recht sicherzustellen, rechtliche Vorgaben und Empfehlungen in ihren Zuständigkeitsbereichen heraus.

Erfahren Sie, wie die IBM Cloud-Plattform EBA-Empfehlungen unterstützt (PDF, 1,5 MB)

ENISA IAF (EU)

Die Agentur der Europäischen Union für Cybersicherheit (ENISA) ist Herausgeberin des Information Assurance Framework (IAF). Dabei handelt es sich um eine Reihe von Versicherungskriterien, die darauf ausgerichtet sind, das Risiko der Nutzung von Cloud-Services zu bewerten, verschiedene Angebote von Cloud-Providern zu vergleichen, Zusicherungen der ausgewählten Cloud-Provider zu erhalten und ihre Zusicherungslast zu reduzieren.

ENS (Spanien)

Das nationale Sicherheitsframework Spaniens (ENS) ist eine Verordnung, die Bestimmungen in Bezug auf Sicherheit entwickelt und sie auf alle öffentlichen Verwaltungen in Spanien anwendet. Das ENS legt die Sicherheitsrichtlinien für E-Government-Services fest. Es legt die grundlegenden Prinzipien und Mindestanforderungen fest, um einen angemessenen Schutz für Informationen zu ermöglichen, die alle öffentlichen Verwaltungen zu befolgen haben.

ENS High-Zertifikat für die IBM Cloud-Infrastruktur anzeigen (PDF, 704 KB)

IBM Cloud-Plattform-Services mit einem ENS-High-Zertifikat umfassen:

IBM Cloud Bare Metal
IBM Cloud Block Storage
IBM Cloud Direct Link
IBM Cloud File Storage
IBM Cloud Hardware Security Module
IBM Cloud Object Storage (IaaS)
IBM Cloud Virtual Server

Zertifikat des ENS Spanien

EU-Modellklauseln

EU-Modellklauseln sind für Verantwortliche und Auftragsverarbeiter personenbezogener Daten von EU-Bürgern verfügbar. Diese Klauseln verpflichten Nicht-EU-Unternehmen, die durch die EU-Datenschutzrichtlinie vorgeschriebenen Gesetze und Verfahren an allen globalen Standorten zu befolgen. Die Klauseln enthalten Durchsetzungsrechte und eine Zusicherung für Unternehmen, die personenbezogene Daten aus der EU speichern, dass Anbieter außerhalb der EU Daten nur gemäß ihren Weisungen und in Übereinstimmung mit EU-Gesetzen verarbeiten. Im Mai 2018 wurde die EU-Datenschutzrichtlinie durch die Datenschutz-Grundverordnung (DSGVO) ersetzt.

Privacy Shield EU/USA

Die Privacy Shield Frameworks EU-USA und Schweiz-USA wurden vom US-Handelsministerium, der Europäischen Kommission und der Schweizer Regierung entworfen. Diese Frameworks bieten Unternehmen auf beiden Seiten des Atlantik einen Mechanismus, der sie dabei unterstützt, Anforderungen hinsichtlich Datenschutz zu erfüllen, wenn sie personenbezogene Daten aus der Europäischen Union (EU) und der Schweiz zur Unterstützung des transatlantischen Handels in die Vereinigten Staaten übertragen.

IBM Richtlinie und Liste der Privacy Shield-zertifizierten IBM Cloud-Services anzeigen

DSGVO (EU)

Im Rahmen der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) verstärkt IBM sein fortwährendes Engagement für Datenschutz durch Technikgestaltung. IBM arbeitet daran, die Datenschutzgrundsätze noch tiefer in die Geschäftsprozesse einzubetten. Diese Arbeit stärkt auch vorhandene Kontrollmechanismen, um den Zugriff auf personenbezogene Daten zu beschränken, einschließlich mobiler Anwendungen, die sich auf Standardeinstellungen stützen, um die Weitergabe personenbezogener Daten zu verhindern.

Informationen zum IBM DSGVO-Framework

G-Cloud (Großbritannien)

Die britische Regierung rief das G-Cloud-Framework ins Leben, um einen schnelleren und kostengünstigeren Prozess für britische Behörden zu ermöglichen, damit diese Einkaufsverträge mit Cloud-Providern abschließen können. G-Cloud-Services sind in drei Kategorien unterteilt: Cloud-Hosting, Cloud-Software und Cloud-Support.

Hébergeurs de Données de Santé – HDS; Health Data Hosting (Frankreich)

Hébergeurs de Données de Santé (HDS) beschreibt die Bedingungen, unter denen persönliche Gesundheitsdaten, die ursprünglich in Frankreich erhoben wurden, geschützt werden müssen. Das Datenhosting muss Sicherheitsmaßnahmen umfassen, die der kritischen Natur der Daten entsprechen.

Jede Person oder juristische Person, die in Frankreich erhobene persönliche Gesundheitsdaten hostet, muss zu diesem Zweck zugelassen oder zertifiziert werden.

HDS-Zertifikat für die IBM Cloud-Infrastrukturservices anzeigen (PDF, 448 KB)

IT-Grundschutz (Deutschland)

Das Ziel von IT-Grundschutz ist es, ein angemessenes Sicherheitsniveau für alle Arten von Informationen in einem Unternehmen zu erreichen. IT-Grundschutz verwendet dafür einen ganzheitlichen Ansatz und bietet Anweisungen für die Anwendung technischer, organisatorischer, personalbezogener und infrastruktureller Sicherheitsvorkehrungen.

NIS-Richtlinie (EU)

Die Richtlinie für Netz- und Informationssysteme (NIS) (EU 2016/1148) ist das erste Cybersicherheitsgesetz, das die gesamte Europäische Union abdeckt, und soll das gesamte Cybersicherheitsniveau für kritische Infrastrukturen in der EU verbessern.

IBM nutzt technische und organisatorische Standardmaßnahmen, die angemessen und verhältnismäßig sind, um die Risiken für die Sicherheit von Netz- und Informationssystemen zu verwalten. Dazu gehören ein Sicherheitsüberwachungsprogramm und ein globaler Prozess für die Fehlerbehebung, um auf Cybersicherheitsbedrohungen und -angriffe zu reagieren. Darüber hinaus nutzt IBM eine Kombination aus Online-Training, Schulungstools, Videos und anderen Sensibilisierungsinitiativen, um eine Kultur des Sicherheitsbewusstseins und der Verantwortung unter seinen Mitarbeitern zu fördern. Weitere Informationen zu diesen technischen und organisatorischen Maßnahmen finden Sie in IBM Zertifizierungen und Prüfberichten wie ISO 27001 und SOC 2.

 

USA

FERPA

Sicherheit ist von zentraler Bedeutung für die Einhaltung des Family Educational Rights and Privacy Act (FERPA), der den Schutz von Schülerdaten vor nicht autorisierter Offenlegung erfordert. Bildungseinrichtungen, die Cloud-Computing nutzen, benötigen vertraglich festgelegte Zusicherungen, dass ein Technologieanbieter sensible Daten von Auszubildenden angemessen verwalten wird.