Über CI-Cloud Portal
Mit dem CI-Cloud-Portal für Microsoft 365 stellen wir unsere gesamte cloudfähige Produktpalette als Software as a Service zur Verfügung.
CI-Cloud ist eine zertifizierte webbasierte Cloud Plattform für die zentrale Steuerung rund um rechtssichere E-Mail-Kommunikation wie E-Mail Signaturen und Disclaimer, Abwesenheitsnotizen und E-Mail Archivierung.
CI-Cloud kann modular und genau für Ihre Bedürfnisse von Ihnen zusammengestellt werden.
Datenschutz
Datenschutz hat oberste Priorität. Bitte verwenden Sie diesen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO für die Nutzung von CI-Cloud Portal.
Datenschutzerklärung und Verträge: Datenschutzerklärung (ci-solution.com)
Infrastruktur & Sicherheit
Das CI-Cloud-Portal wird in der Microsoft Azure Cloud betrieben. Damit ist sichergestellt, dass E-Mails welche über unseren Service geroutet werden müssen niemals die Azure Plattform während der Verarbeitung verlassen. Über die Microsoft Azure Cloud Infrastruktur ist ein kontinuierlicher und skalierbarer Betrieb von CI-Cloud-Portal gewährleistet.
Wir sind ISO 27001 zertifiziert: Zertifikat
Erfüllte Anforderungen im Bereich der Informationssicherheit
Anforderung im Bereich der Informationssicherheit | Antwort |
---|---|
Existiert eine dokumentierte Information (Richtlinie), welche die Wichtigkeit der Informationssicherheit für die Organisation und deren Bedeutung, aus Sicht der Geschäftsführung, wiederspiegelt? | Ja |
Sind die Ziele der Informationssicherheit in den strategischen Zielen der Organisation verankert? | Ja |
Besteht eine dokumentierte vertragliche Verpflichtung der Mitarbeiter zur Geheimhaltung? | Ja |
Werden Mitarbeiter über aktuelle die Risiken der Informationssicherheit informiert und erfolgt eine regelmäßige Sensibilisierung zu den Gefahren für die Informationssicherheit? | Ja |
Sind die sensiblen Tätigkeitsbereiche innerhalb der Organisation ermittelt und die mit der Erfüllung von Arbeitsaufgaben, in diesen Bereichen, verbundenen Anforderungen in einem Stellenprofil dokumentiert? | Ja |
Werden Besucher namentlich erfasst und auf bestehende Sicherheitsbestimmungen hingewiesen? | Ja |
Sind Maßnahmen zur physischen und umgebungsbezogenen Sicherheit umgesetzt? (Einbruchsschutz, Feuer- und Rauchmelder, Kameraüberwachung der Außenbereiche, Sicht- und Einblickschutz) | Ja |
Ist sichergestellt, das ein unbefugtes Betreten der Geschäftsräume durch Dritte verhindern wird (Zugangsschutz/Zutrittskontrolle)? | Ja |
Ist sichergestellt, das Beschäftigte nur Zutritt zu den Geschäftsräumen haben, welche sie zur Erfüllung der an sie gestellten Arbeitsaufgaben betreten müssen (Zutrittskontrolle/Zonenkonzept)? | Ja |
Ist sichergestellt, dass Besucher und weitere Dritte (z.B. Servicetechniker) besonders schützbedürftige Bereiche der Organisation (z.B. Serverraum, Büro HR) nur in Begleitung betreten? | Ja |
Sind alle Vermögenswerte (Assets) der Organisation identifiziert und mindestens Assets der Kategorien Hard- und Software, im Rahmen des Asset-Managements, erfasst? | Ja |
Ist der Schutzbedarf aller Vermögenswerte (Assets) der Organisation festgestellt und klassifiziert, um geeignete Maßnahmen zum Schutz dieser Werte definieren und umsetzen zu können? | Ja |
Wird die Ausgabe von Assets an Beschäftigte dokumentiert und erfolgt eine dokumentierte Rücknahme dieser Assets (z.B. wegen Austausch von Geräten, bei Ende der Beschäftigung)? | Ja |
Sind alle im Rahmen der Geschäftstätigkeit verarbeiteten Informationen, entsprechend der Wertigkeit/Relevanz für die Organisation, klassifiziert? | Ja |
Sind der Informationsklassifizierung entsprechende Maßnahmen zur Handhabung von Informationsträgern definiert (z.B. Transport, Entsorgung), welche den Schutz der Vertraulichkeit von Informationen sicherstellen? | Ja |
Ist sichergestellt, das der Zugriff auf informationsverarbeitende Einrichtungen und Systeme nur für eindeutig und sicher identifizierte Personen (Authentifizierung) möglich ist? | Ja |
Erfolgte die Auswahl der Verfahren zur Benutzerauthentifizierung auf Basis einer Risikobewertung und entsprechen die eingesetzten Verfahren zur Benutzerauthentifizierung dem aktuellen Stand der Technik? | Ja |
Werden zur Authentifizierung von privilegierten Benutzerkonten höherwertige Verfahren (z.B. Privileged Access Management, 2-Faktor-Authentifizierung) eingesetzt? | Ja |
Ist ein Prozess zur Anlage, Änderung und Löschung (Life-Cycle) von Benutzerkonten umgesetzt und dokumentiert, welcher die Verwendung eindeutiger und personalisierter Benutzerkonten sicherstellt? | Ja |
Ist sichergestellt, das durch Hersteller vorgegebene Standardkonten und -Passwörter deaktiviert/geändert werden (z. B. durch Sperrung oder Änderung des Passworts)? | Ja |
Erfolgt die Vergabe von Zugriffsberechtigungen auf Basis eines Basis-Benutzerprofils, mit minimalen Zugriffsrechten und Funktionalitäten? | Ja |
Wird die Verwendung von Standard-Passworten technisch verhindert und sind Sperr- und Löschfristen für Benutzerkonten definiert? | Ja |
Findet eine regelmäßige Überprüfung von Benutzerkonten und ihnen zugewiesener Berechtigungen statt? | Ja |
Sind alle zur Übertragung von Informationen verwendeten Netzwerkdienste und am Informationsaustausch beteiligte Systeme identifiziert und erfasst? | Ja |
Sind Maßnahmen zur Trennung von Netzwerken (Segmentierung) und Maßnahmen zum Schutz von Netzsegmenten (z.B. Firewall, DMZ), bei der Anbindung an organisationsfremde Netze, umgesetzt? | Ja |
Sind im Rahmen der Nutzung organisationsfremder IT-Dienste (z.B. Cloud), Informationen vor unbefugtem Zugriff geschützt (z.B. Mandantentrennung) und ist das Trennungskonzept des Anbieters dokumentiert? | Ja |
Der elektronische Austausch von Informationen erfolgt, in Abhängigkeit der Informationsklassifizierung, durch Transport- und/oder Inhaltsverschlüsselung? | Ja |
Ist sichergestellt das im Rahmen des mobilen Arbeitens, ein Zugriff auf das Netzwerk der Organisation über eine gesicherte Verbindung (z.B. VPN) erfolgt und das mobile Datenträger geschützt sind (z.B. Verschlüsselung)? | Ja |
Sind, dem aktuellen Stand der Technik entsprechende, Maßnahmen zum Schutz vor Schadsoftware umgesetzt (z.B. Virenscanner) und ist sichergestellt, dass die Maßnahmen durch Benutzer nicht umgangen werden können? | Ja |
Sind von möglichen Ausnahmesituationen (z. B. Naturkatastrophen) betroffene Infrastrukturkomponenten (z.B. IT-Systeme) ermittelt und Maßnahmen zum Schutz vor dauerhaften Informationsverlust (z.B. Backup) umgesetzt? | Ja |
Werden Informationen über technische Schwachstellen eingesetzter IT-Systeme gesammelt (z. B. Information vom Hersteller) und risikominimierende Maßnahmen, im Rahmen des Patch-Managements, umgesetzt? | Ja |
Werden Ereignisprotokolle zentraler und besonders kritischer IT-Systeme regelmäßig, im Rahmen zulässiger gesetzlicher Bestimmungen, auf sicherheitsrelevante Auffälligkeiten/Vorkommnisse überprüft? | Ja |
Existiert ein formales Genehmigungsverfahren, zur Durchführung von Änderung von Geschäftsprozessen und IT-Systemen, welches eine Prüfung möglicher Auswirkungen auf die Informationssicherheit einschließt? | Ja |
Ist eine Vorgehensweise zur Behandlung sicherheitsrelevanter Ereignisse (speziell von IT-Sicherheitsvorfällen) etabliert, welche die Umsetzung von Maßnahmen zur Verhinderung des erneuten Auftretens einschließt? | Ja |
Wird mit für Ihre Organisation tätigen Auftragnehmern und Kooperationspartner die Pflicht zur Geheimhaltung von Informationen, in angemessenem Umgang, vertraglich geregelt (NDA)? | Ja |
Ist sichergestellt, dass die für Ihre Organisation geltenden Regelungen bzgl. der Informationssicherheit auch von den Kooperationspartnern Ihrer Auftragnehmer eingehalten werden? | Ja |
Liegen definierte und einzuhaltende Anforderungen, die Informationssicherheit betreffend, in dokumentierter Form (Sicherheitsrichtlinien) vor und werden diese regelmäßig auf ihre Aktualität und Wirksamkeit geprüft? | Ja |
Besteht eine dokumentierte vertragliche Verpflichtung der Mitarbeiter zur Einhaltung bestehender Regelungen auf dem Gebiet der Informationssicherheit und des Datenschutzes? | Ja |
Sind die Rollen zur Informationssicherheit (ISB) und zum Datenschutz (DSB) besetzt (intern oder extern) und stehen den Verantwortlichen ausreichend Ressourcen zur Wahrnehmung ihrer Aufgaben zur Verfügung? | Ja |
Werden bestehende Regelungen zur Informationssicherheit regelmäßig durch eine unabhängige Instanz überprüft (Audit) und werden Korrekturmaßnahmen für mögliche Abweichungen eingeleitet? | Ja |
Sollte Ihre Anforderung/Frage nicht in der Tabelle beantwortet werden, senden Sie uns diese zur Prüfung gerne an info@ci-solution.com
Wir werden die Tabelle stetig um weitere Anforderungen ergänzen.
Reseller / Betreuung durch Systemhaus
Wir bieten unsere Produkte gerne über Reseller an. Sprechen Sie Ihr Systemhaus darauf an. Bei Konten die mit dem Reseller verknüpft sind ist dieser IHR erster Ansprechpartner. Der Reseller kennt i.d.R. die vorhandene Infrastruktur und kann somit Fragen zielgerichtet beantworten und Sie jederzeit effizient unterstützen.
- Steigen Sie in CI-Cloud ein mit dem Schnellstart
- Zum CI-Cloud-Portal: cloud.ci-solution.com
- Weitere Informationen und Produktfeatures finden Sie auf der Produktübersicht