Eliminate the Status Quo – Find your Blue Ocean

Checkliste
Kriterien zur Auswahl eines Cloud Computing Anbieter

INSIGHTS Paper Anal st! "en# $%st &'( August )*&)

INSIGHTS

+berblick
Cloud Computing Anbieter haben auf Unternehmen den grö ten !influss auf dem "eg in die Cloud. Da#u #$hlen die !igenschaften und der Chara%ter des Anbieters b#gl. des Umgangs mit seinen &unden und wie dieser arbeitet. Die grö te 'erausforderung stellt #udem die (ele%tion eines oder mehrerer Anbieter dar) um die Anspr*che des Unternehmens in +e#ug auf die ,ntegrationsmöglich%eiten) die Unterst*t#ung der -esch$ftspro#esse etc. so optimal wie möglich #u erf*llen. !ine Norm f*r die +ewertung und Auswahl eines Anbieters e.istiert der#eit noch nicht und es wird ebenfalls schwierig werden eine #u entwerfen) da die indi/iduelle (ituation /on Unternehmen #u Unternehmen sehr /ielf$ltig ist. (pe#iell die indi/iduelle (ituation in &ombination mit den Anspr*chen des Unternehmens f*hrt #u einer hohen &omple.it$t) was die (chwierig%eit erhöht) e.a%t den Anbieter #u finden) dessen Angebot und 0eistungen optimal #u dem Unternehmen passen. (chon eine %leine Auswahl /on Anbietern und ihren (er/ices #eigt) dass es sehr schwierig ist) einen dire%ten 1ergleich /or#unehmen. Auf den ersten +lic% sehen sich die meisten Angebote sehr $hnlich. !ine detaillierte +etrachtung legt aber offen) dass sich die 2eweiligen Angebote in +e#ug auf ihren Aufbau) den Umfang der Dienste und der 3reisstru%tur deutlich unterscheiden. Das stellt Unternehmen /or eine gro e 'erausforderung. 4*ssen sie #war heute nicht mehr f*r den Aufbau und die "artung der ,nfrastru%tur sorgen) hat die Auswahl der richtigen und passenden (er/ices 2edoch allerhöchste +edeutung. Da#u %ommen 5hemen wie Compliance) -o/ernance) Datenschut# usw. 6udem wird die Auswahl eines Anbieters immer sehr star% /on den eigenen +ed*rfnissen des Unternehmens beeinflusst. !in +eispiel sind (0As. Die (0As der gro en 3ublic Cloud Anbieter sind nicht sehr umfangreich und aussage%r$ftig. &ann die garantierte 1erf*gbar%eit nicht eingehalten werden) erstatten diese #war den +etrag #ur*c%) der in diesem 6eitraum #u entrichten war) eine #us$t#liche (trafe) wie sie in %lassischen (0As stehen) gibt es 2edoch nicht. !s e.istieren daher grundlegende 7ragen) die einem Anbieter) unabh$ngig in welchem Cloud Computing +ereich dieser t$tig ist) gestellt werden m*ssen. Dies sollte auf +asis eines 7ragen%atalogs /orgenommen werden) mit dem der Anbieter auf die grunds$t#lichen 7a%ten *berpr*ft wird. Dieser &atalog %ann /on 2edem Unternehmen /erwendet werden) das (er/ices /on einem Cloud Computing Anbieter /erwenden möchte. Da der &atalog generisch nur die 7ragen abbilden %ann) die f*r alle Unternehmen gleicherma en dieselbe (chnittmenge beinhalten) muss der &atalog /on dem 2eweiligen Unternehmen um die eigenen 7ragen und +ed*rfnisse) die wichtig sind) erweitert werden.

© 2012 NewAgeDisruption.com

Der Anbieterauswahl%atalog dient als eine 8rientierungshilfe) die Unternehmen nut#en %önnen) um einen Anbieter anhand /ordefinierter &riterien aus#uw$hlen. Auf -rund seiner Allgemeing*ltig%eit %ann der &atalog nicht die 2eweiligen spe#iellen +ed*rfnisse eines Unternehmens abbilden) sondern nur die &riterien als 3r*fgegenstand nehmen) die f*r 2edes Unternehmen gleicherma en gelten. An der einen oder anderen (telle wird der &atalog 0*c%en aufweisen) aber dennoch einen -esamt*berblic% #u den wichtigen +ereichen f*r die Auswahl eines Cloud Computing Anbieter geben.

© 2012 NewAgeDisruption.com

Inhalts,erzeichnis
1. 'intergrund 2. 5echnologie :. 1ertrag <. Abrechnung 9. Compliance ?. -o/ernance ;. Datenschut# =. (icherheit >. 8rganisation 10. 3ro#esse 11. 7inan#en 12. (onstiges 9 9 ; = > > 10 11 12 1: 1: 1:

© 2012 NewAgeDisruption.com

&( Hintergrund
Hintergrund – Reputation
Verfügt der Anbieter bereits über mehrere hunderte oder tausende Kunden? Nimmt die Anzahl der Kunden stetig zu? Verfügt der Anbieter bereits über mehrere Referenzprojekte? Stehen bereits Anwendungsfälle (Use Cases) zur Verfügung? Gibt es Aussagen/ Bewertungen von bestehenden Kunden? Stehen auf der Webseite Informationen bzgl. des Top Managements zur Verfügung? Wird über den Anbieter in traditioniellen Magazinen und Technology Blogs positiv berichtet? Betreibt der Anbieter aktiv einen eigenen Blog und Social Media Seiten?

J N

i.A.

Bemerkung

Hintergrund – Expertise
Hat der Anbieter Erfahrung mit dem Betrieb und der Verwaltung einer globalen, redundanten, hochverfügbaren und zuverlässigen Infrastruktur? Verfügt der Anbieter über ausreichend Rechenzentrumskapazitäten? Verfügt der Anbieter über eine unabhängige Zertifizierung?

J N

i.A.

Bemerkung

Hintergrund – Finanzen
Kann ein positiver Rückschluss auf die Finanzstärke des Anbieters geschlossen werden? Handelt es sich um ein börsennotiertes Unternehmen? Wird der Anbieter ggf. über seriöse Investoren finanziert? Konnte der Anbieter im vergangenen Geschäftsjahr einen Gewinn erzielen?

J N

i.A.

Bemerkung

Hintergrund – Sonstiges
Kann das Angebot zunächst während einer Testphase kostenlos evaluiert werden? Verfügt der Anbieter über eine physische Adresse sowie Kontaktdaten wie z.B. eine Telefonnummer?

J N

i.A.

Bemerkung

)( Technologie
Technologie – Standort
Werden die Daten und Anwendungen in mehreren geographisch voneinander getrennten Regionen gespeichert? Ist mehr als ein Rechenzentrum vorhanden? Wenn ja, wie viele gibt es und in welchen Ländern stehen diese? Stehen die Rechenzentren in einem durch eine Naturkatastrophe nicht bedrohtem Gebiet?

J N

i.A.

Bemerkung

Technologie – Infrastruktur & Dimensionierung
Kann der Zugriff auf die Services und Daten von überall aus stattfinden? Kann der Zugriff auf die genutzten Services und Daten beschränkt werden? Stehen ausreichend Rechen- und Speicherkapazitäten zur Verfügung? Können in einem kurzen Zeitraum weitere Kapazitäten hinzugefügt oder wieder entfernt werden? Stehen Methoden zur dynamischen Erhöhung und Verringerung, zur Indizierung, Durchsuchung und Verarbeitung zur Verfügung? Kann auf die Services des Anbieters mittels des Single Sign-On Verfahrens zugegriffen werden? Wird die <x> Speichertechnologie eingesetzt? Wird die <x> Virtualisierungstechnolgie eingesetzt? Steht das <x> Betriebssystem zur Verfügung? Ist die konstante Stromversorgung der Rechenzentren sichergestellt? Findet eine ordnungsgemäße Verwaltung der unterschiedlichen Typen von Anwendungen und Daten statt? Stehen Methoden für das Klonen von virtuellen Servern innerhalb der Cloud Umgebung zur Verfügung? Existieren Einschränkungen bzgl. der Größe des zu verwendenden Speicherplatzes? Kann eine Remote Verbindung mit der Cloud hergestellt werden? Wenn ja, welche Verbindungen stehen zur Verfügung? Stehen bereits fertige Betriebssystem-Templates für die Nutzung auf den virtuellen Servern zur Verfügung?

J N

i.A.

Bemerkung

© 2012 NewAgeDisruption.com

Technologie – Schnittstellen
Sind die Schnittstellen des Anbieters standardisiert? Handelt es sich bei den Schnittstellen um offene Standards? Existieren Schnittstellen für die Integration in die eigene, bestehende Infrastruktur? Ist der Zugriff auf die API des Cloud Anbieters möglich? Verursacht der Zugriff auf die API separate Kosten?

J N

i.A.

Bemerkung

Technologie – Kompatibilität & Integration
Ist die Kompatibilität zu anderen Cloud Services garantiert? Ist die Kompatibilität zur eigenen Infrastruktur gewährleistet? Ist ggf. die Kompatibilität zu vorhanden Applikationen gewährleistet? Können die benötigten Programmiersprachen selbst gewählt werden? Kann die benötigte Anwendungsplattform selbst ausgewählt werden? Stehen die bereits zuvor eingesetzten Betriebssysteme zur Verfügung? Stehen die bereits zuvor eingesetzten Anwendungsumgebungen zur Verfügung? Steht der bereits eingesetzte Technologiestack zur Verfügung? Kann ggf. die eigene Architektur auf der Infrastruktur genutzt werden? Stehen Mechanismen für die Automatisierung und die Orchestrierung zwischen der Cloud des Anbieters und der eigenen Infrastruktur zur Verfügung? Kann eine Integration mit anderen Anwendungen oder Cloud Services stattfinden? Wird die Integration mit anderen Systemen unterstützt? Wird ggf. die Integration von älteren Anwendungen unterstützt? Arbeitet der Anbieter mit Unternehmen zusammen, die sich auf die Integration von (Cloud)Anwendungen spezialisiert haben?

J N

i.A.

Bemerkung

Technologie – Service & Support
Stehen hinreichende Monitoringfunktionen zur Verfügung? Stehen hinreichende Reportingfunktionen zur Verfügung? Stellt der Anbieter Dokumentationen für die Nutzung der Infrastruktur bereit. Hilft der Anbieter dabei, seine Infrastruktur zu verstehen und bestmöglich zu nutzen? Verfügt der Anbieter über eine öffentliche und transparente Webseite, auf welcher der aktuelle Status der Services eingesehen werden kann? Wird auf der Status-Webseite über mögliche Probleme und Ausfälle berichtet? Steht eine Weboberfläche für die Verwaltung der Ressourcen zur Verfügung?

J N

i.A.

Bemerkung

Technologie – Backup & Disaster Recovery
Stehen Methoden zur Verfügung, mit denen ggf. Ausfallzeiten und Datenverluste innerhalb der Infrastruktur vorgebeugt werden können? Stehen ausreichend Speicherplatzressourcen zur Verfügung, mit denen die Backup- und Disaster Recovery Strategien umgesetzt werden können? Verfügt der Anbieter über ein Disaster Recovery und eine Business-Continuity Strategie? Arbeitet der Anbieter mit einem spezialisierten Unternehmen für die Datenrettung zusammen? Werden die Backup- und Disaster Recovery Strategien regelmäßig durchgeführt und einem Test unterzogen? Wenn ja, wie oft pro Jahr? Wird regelmäßig ein Backup der Unternehmensdaten vorgenommen? Wenn ja, wie oft wird das Backup durchgeführt? Werden die Daten auf zuverlässigen Datenträgern gespeichert? Findet eine regelmäßige Defragmentierung der Daten statt?

J N

i.A.

Bemerkung

Technologie – Migration & Export
Werden offene Formate für den Datenaustausch verwendet? Können die Daten ohne großen Aufwand exportiert und zu einem anderen Anbieter/ Service migriert werden? Stehen Migrationspfade zu anderen Cloud Computing Anbietern zur Verfügung? Können virtuelle Maschinen zwischen der Cloud des Anbieters und der eigenen Infrastruktur transferiert werden? Können alle Daten aus der Cloud in einem für das Unternehmen lesbaren Format exportiert werden? Können die Daten auf einem einfachen Weg exportiert und zu einem neuen Cloud Service migriert werden? Können die Daten in einem offenen Format wie z.B. XML oder JSON exportiert werden? Entstehen für den Export der Daten weitere Kosten?

J N

i.A.

Bemerkung

© 2012 NewAgeDisruption.com

Technologie – Expertise
Sind die Mitarbeiter entsprechend Ihrer Tätigkeiten geschult? Verfügen die Mitarbeiter über die <x> Zertifizierung? Sind ausreichend personelle Ressourcen vorhanden? Verfügt der Anbieter über strategische Partnerschaften zu seinen Technologieanbietern?

J N

i.A.

Bemerkung

Technologie – Netzwerk
Erfüllt die Zuverlässigkeit des Anbieternetzwerks die eigenen Ansprüche? Ist die globale Reichweite des Anbieternetzwerks ausreichend? Können den eigenen Kunden ggf. weltweit und zuverlässig Inhalte bereitgestellt werden? Verfügt der Anbieter über eine schnelle und stabile Internetanbindung? Verfügt der Anbieter über Mechanismen, um die Latenzen auf Grund langer Netzwerkverbindungen zum Kunden zu minimieren?

J N

i.A.

Bemerkung

Technologie – Sonstiges
Muss ggf. in die eigene Infrastruktur investiert werden, um den Cloud Service zu nutzen? Stehen Zusatzleistungen zur Verfügung, die bspw. ein anderer Anbieter nicht leistet?

J N

i.A.

Bemerkung

-( .ertrag
Vertrag – Form & Gestaltung
Wird der Vertrag in schriftlicher Form geschlossen? Wird der Vertrag online vereinbart?

J N

i.A.

Bemerkung

Vertrag – Subunternehmer
Ist die Auslagerung von Bereichen an einen Subunternehmer vertraglich festgehalten? Sind Regelungen vorhanden, die dem Subunternehmer, der möglicherweise zum Wettbewerb gehört, untersagen, Zugriff auf interne Unternehmensdaten zu erhalten?

J N

i.A.

Bemerkung

Vertrag – Service Level Agreement
Stellt der Anbieter ein Service Level Agreement (SLA) zur Verfügung? Handelt es sich dabei um ein Standard SLA? Sind die SLAs ausreichend? Sind die Leistungen in dem SLA hinreichend beschrieben? Bietet das SLA eine garantierte Verfügbarkeit von <x>% Ist der Anbieter bereit das SLA nach den eigenen Wünschen anzupassen? Wird beschrieben, wie der Anbieter die Einhaltung der SLAs sicherstellt?

J N

i.A.

Bemerkung

Vertrag – Anpassungen
Sind die Methoden zur Änderung der Leistungen festgehalten? Sind die Methoden zur Änderung der Qualitätsstandards festgehalten? Müssen die Verträge neu verhandelt werden, wenn sich die eigenen Anforderungen ändern?

J N

i.A.

Bemerkung

© 2012 NewAgeDisruption.com

Vertrag – Insolvenz & Vertragsende
Sind die Kündigungsrechte des Vertrags ausreichend flexibel gestaltet, so dass jederzeit vom Vertrag zurückgetreten werden kann? Ist die Rücknahme und der Export der Daten bei Vertragsende festgehalten? Sind vertragliche Regelungen festgehalten, die im Falle einer Insolvenz des Anbieters über den Schutz und der Verfügbarkeit der Daten entscheiden?

J N

i.A.

Bemerkung

Vertrag – Eigentumsregelung & Löschung
Ist das Eigentum sämtlicher Daten vertraglich geregelt? Ist vertraglich geregelt und gewährleistet, dass die Daten durch den Anbieter immer dann tatsächlich gelöscht werden, wenn der Kunde dieses wünscht bzw. selbst vornimmt? Ist vertraglich geregelt, dass die Daten nach Vertragsende gelöscht und Datenträger ggf. zurückgegeben werden?

J N

i.A.

Bemerkung

Vertrag – Haftung
Wird in dem Vertrag beschrieben, ob und wie der Anbieter den finanziellen Verlust ausgleicht, wenn das Unternehmen durch eine Nichterreichbarkeit geschäftsunfähig ist? Sind die Datenschutzbestimmungen vertraglich geregelt? Sind die Regelungen bzgl. des Geschäftsgeheimnisses festgehalten? Sind die Regelungen bzgl. des Bankgeheimnisses festgehalten? Ist die Gewährleistung vertraglich detailliert festgehalten? Ist die Haftung vertraglich detailliert festgehalten? Ist die Haftung gegenüber anderen Nutzern auf derselben Infrastruktur so geregelt, dass der Anbieter für die Nichteinhaltung von Sicherheitsstandards haftbar ist?

J N

i.A.

Bemerkung

Vertrag – Aufgabenverteilung
Sind die erforderlichen Rechte für die Überwachung im Vertrag festgehalten? Sind die jeweiligen Verantwortungen im Vertrag festgehalten? Sind die jeweiligen Zuständigkeiten im Vertrag festgehalten? Sind die jeweiligen Schnittstellen im Vertrag festgehalten? Ist vertraglich festgehalten, ob der Anbieter über einen Ausfall automatisch informiert? Ist die Berichterstattung im Vertrag vereinbart? Ist die Kontrolldichte im Vertrag vereinbart? Sind die Möglichkeiten der Skalierung vertraglich festgehalten?

J N

i.A.

Bemerkung

Vertrag – Sonstiges
Darf der Anbieter seiner Tätigkeit nachgehen? Sind die Lizenzmodelle der eingesetzten Software für den Einsatz im Bereich des Cloud Computing gültig? Verfügt das Unternehmen über andere Verträge, die der Nutzung des Cloud Computing im Wege stehen?

J N

i.A.

Bemerkung

'( Abrechnung
Abrechnung – Abrechnungsart
Erfolgt die Abrechnung der Services pauschal? Erfolgt die Abrechnung der Services abhängig vom Verbrauch? Erfolgt die Abrechnung der Services abhängig von <x>?

J N

i.A.

Bemerkung

Abrechnung – Anpassung & Kompatibilität
Kann das Bezahlmodell (z.B. über eine Kreditkarte) durch das Unternehmen umgesetzt werden? Ist das Bezahlmodell kompatibel zur Abrechnung der internen IT-Leistungen? Können Mengenrabatte bzw. spezielle Tarife auf Basis der garantiert genutzten Services ausgehandelt werden? Kann der Tarif ggf. bei der Änderung der Nutzung von Seiten des Kunden angepasst werden?

J N

i.A.

Bemerkung

Abrechnung – Sonstiges
Stellt der Anbieter Methoden bereit, mit denen das Unternehmen vor der unkontrollierten Nutzung geschützt wird? Entstehen für eine virtuelle Maschine und die von ihr genutzten Ressourcen auch dann Kosten, wenn diese nicht genutzt wird? Entstehen für die Lizenzen von Betriebssystemen und Anwendungen, die auf den virtuellen Ressourcen genutzt werden, weitere Kosten?

J N

i.A.

Bemerkung

© 2012 NewAgeDisruption.com

/( Compliance
Compliance – Allgemein
Wurde die Auslagerung von einem Wirtschaftsprüfer abgenommen? Erfüllt der Anbieter die rechtlichen Regelungen und Bestimmungen? Erfüllt der Anbieter die technischen Voraussetzungen für die rechtlichen Regelungen und Bestimmungen? Entspricht die Datenhaltung den unternehmenseigenen Richtlinien zur Aufbewahrungen von Dokumenten? Befindet sich der Rechtsstand im Ausland und ist das ggf. nicht mit den Unternehmensrichtlinien zu vereinbaren? Erhält das Unternehmen auf Grund von gerichtlichen Anfragen und Beschlüssen unverzüglich Zugriff auf die in der Anfrage relevanten Daten?

J N

i.A.

Bemerkung

Compliance – Zertifizierung
Ist Ist Ist Ist Ist der Anbieter nach SAS 70 Typ 1 zertifiziert? der Anbieter nach SAS 70 Typ 2 zertifiziert? der Anbieter nach SSAE-16 zertifiziert? der Anbieter nach ISO 27001 zertifiziert? der Anbieter PCI-Compliance zertifiziert?

J N

i.A.

Bemerkung

Compliance – Datenschutz
Hält sich der Anbieter an die gesetzlichen Regelungen und des Datenschutzes und sind diese dokumentiert? Kann der Anbieter nachweisen, dass er die Datenschutzrichtlinien einhält? Werden die Daten ggf. in einem für das Unternehmen nicht zulässigen Land gespeichert?

J N

i.A.

Bemerkung

Compliance – Transparenz
Darf eine Prüfung durch interne und externe Prüfer vorgenommen werden? Haben Computer-Forensiker möglicherweise unautorisierten Zugriff auf Daten um diese zu rekonstruieren? Gibt der Anbieter Auskunft darüber, wo die Daten und Anwendungen gespeichert und verarbeitet werden? Nennt der Anbieter die Standorte wie das Land und die Region? Gibt der Anbieter Auskunft darüber, wer Zugriff auf die Daten erhält? Gibt der Anbieter ggf. Auskunft über seine Subunternehmer? Legt der Anbieter transparent offen, welche Eingriffe er an den Daten der Kunden vornimmt? Gibt der Anbieter regelmäßige Auskünfte über Veränderungen wie neue oder entfernte Funktionen sowie neue Subunternehmer? Legt der Anbieter transparent offen, ob der Staat Zugriff auf die Daten erhält?

J N

i.A.

Bemerkung

0( Go,ernance
Governance – Kompatibilität
Kann zwischen der Cloud des Anbieters und der Unternehmensinfrastruktur eine konsistente und einheitliche Verbindung hergestellt werden? Kann mit der Nutzung der Cloud die Portabilität zu einer anderen Cloud sichergestellt werden?

J N

i.A.

Bemerkung

Governance – Sicherheitsmaßnahmen
Sind die jeweiligen Schnittstellen gegen Angriffe oder Ausfälle geschützt? Ist der Schutz vor internen Angreifern sichergestellt? Wird die Vertraulichkeit der Daten sichergestellt? Verfügt der Anbieter über Sicherheitsmanagement-Prozesse?

J N

i.A.

Bemerkung

Governance – Audit
Ist es dem Kunden gestattet, Audits beim Anbieter vorzunehmen? Stellt der Anbieter dem Kunden dazu ggf. entsprechende Schnittstellen zur Verfügung? Kann der Anbieter aktuelle und unabhängige Auditberichte vorweisen? Erhält der Kunde die Möglichkeit einen Penetrationstest beim Anbieter vorzunehmen?

J N

i.A.

Bemerkung

Governance – Sonstiges
Werden die Daten physisch in einem für das Unternehmen konformen Land gespeichert? Erhält der Kunde die Möglichkeit die SLAs zu überwachen, z.B. die Qualität der genutzen Services?

J N

i.A.

Bemerkung

© 2012 NewAgeDisruption.com

1( 2atenschutz
Datenschutz – Gesetzeskonformität
Handelt es sich um personenbezogene Daten? Werden die personenbezogenen Daten außerhalb der EU bzw. des EWR verarbeitet? Sind die Kunden über die Verarbeitung der Daten unter diesen Umständen informiert worden? Verfügt der Anbieter über einen Datenschutzbeauftragten? Kann der Anbieter nachweisen, dass seine Mitarbeiter über Datengeheimnis nach § 5 BDSG aufgeklärt wurden? Kann der Anbieter nachweisen, dass er die Bestimmungen des BDSG einhält? Verfügt der Anbieter über ein Konzept oder eine Dokumentation, in der er die Umsetzung der technischen und organisatorischen Maßnahmen bzgl. der Vergaben des Anhang zu § 9 BDSG nachweisen kann? Existieren in den Ländern, von denen der Anbieter aus seine Services bereitstellt, bestimmte Gesetze, die mit den Unternehmensrichtlinien nicht vereinbart werden können?

J N

i.A.

Bemerkung

Datenschutz – Audit
Erhält der Kunde oder eine durch den Kunden bevollmächtigte Personen beim Anbieter vor Ort das Recht Kontrollen vorzunehmen? Unterzieht sich der Anbieter regelmäßigen Kontrollen, Audits und Zertifizierungen, durch die der Anbieter bzgl. des Datenschutzes überprüft und zertifiziert wird?

J N

i.A.

Bemerkung

Datenschutz – Vertraulichkeit
Nimmt der Anbieter besondere Maßnahmen bei der Auswahl und der Einstellung seiner Mitarbeiter vor? Werden die Daten vollständig von den Systemen entfernt, wenn diese von dem Kunden über den Web Service gelöscht werden? Verwendet der Anbieter die Kundendaten, um damit das Unternehmen zu bewerben? Wertet der Anbieter die Daten aus, um damit Werbung zu betreiben? Verkauft der Anbieter seine Kundendaten sowie das Kundenverhalten an andere Unternehmen? Gibt der Anbieter bspw. im Falle der Strafverfolgung den Behörden Zugriff auf die Kundendaten?

J N

i.A.

Bemerkung

© 2012 NewAgeDisruption.com

3( Sicherheit
Sicherheit – Sicherheitsmanagement
Verfügt der Anbieter über ein IT-Sicherheitskonzept? Verfügt der Anbieter über eine Identitätsverwaltung? Verfügt der Anbieter über eine Zwei-Faktor-Authentisierung für seine Kunden? Hat der Anbieter das Vier Augen Prinzip für schwierige Administrationsaufgaben implementiert? Verfügen die Administratoren maximal nur über die Rechte, die sie für das Erledigen ihrer Aufgaben benötigen? Verfügen die Kunden maximal nur über die Rechte, die sie für die Nutzung der Cloud benötigen? Kann der Anbieter eine vollständige Überwachung, 24 Stunden am Tag und 7 Tage die Woche, seiner Cloud nachweisen? Ist der Anbieter in die CERT Strukturen sowie sein nationales IT Krisenmanagement involviert? Kann der Anbieter nachweisen, dass er interne Angriffe von Kunden auf andere Kunden erkennt? Kann der Anbieter nachweisen, dass er die Erfassung und Auswertung von Logdaten vornimmt? Verfügt der Anbieter über ein dauerhaft (24/7) erreichbares und funktionierendes Cloud Management sowie Troubleshooting? Kann der Anbieter die Realisierung eines Notfallmanagements nachweisen? Kann der Anbieter regelmäßige Übungen nachweisen? Kann der Zugriff auf Daten und Funktionen für spezielle Bereiche auf Basis einer Rechteverwaltung gesteuert und kontrolliert werden? Kann der Anbieter nachweisen, dass er feststellen kann, ob und wie eine Anwendungen angegriffen wurde? Können im Falle eines Angriffs detaillierte Informationen schnellstmöglich an das Unternehmen überstellt werden? Existiert eine bestimmte Aufbewahrungsfrist für die Daten?

J N

i.A.

Bemerkung

Sicherheit – Transparenz
Legt der Anbieter offen, welche Lösungen eingesetzt werden, um seine Cloud zu schützen? Wird das Löschen der nicht mehr benötigten Daten von dem Anbieter dokumentiert? Werden die nicht mehr benötigten Daten ggf. mit speziellen Verfahren von den Festplatten entfernt? Kann der Anbieter nachweisen, dass das Löschen von Daten von einem unabhängigen Unternehmen zertifiziert wird?

J N

i.A.

Bemerkung

Sicherheit – Kommunikation
Wird der Kunde von dem Anbieter regelmäßig über den Status seines IT Sicherheitszustands informiert? Nennt der Anbieter garantierte Reaktionszeiten, falls es zu einem Sicherheitsvorfall kommt?

J N

i.A.

Bemerkung

Sicherheit – Zertifizierung
Kann der Anbieter auf Basis von Zertifizierungen den aktuellen Stand seines Sicherheitslevels nachweisen? Verfügt der Anbieter über ein ISMS (Information Security Management System), z.B. ISO 27001 oder BSI-Standard 100-2 (IT-Grundschutz)? Verfügt der Anbieter über ein definiertes Vorgehensmodell seiner IT-Prozesse, z.B. ITIL und COBIT?

J N

i.A.

Bemerkung

© 2012 NewAgeDisruption.com

Sicherheit – Audit
Nimmt der Anbieter eine regelmäßige, unabhängige Prüfung seines IT Sicherheitszustands vor? Nimmt der Anbieter ständig umfassende Sicherheitstests an seiner Infrastruktur vor? Nimmt der Anbieter ständig umfassende Sicherheitstests an der Infrastruktur seiner Subunternehmer vor? Werden bei dem Anbieter ständig unabhängige Sicherheitsrevisionen vorgenommen? Werden bei den Subunternehmen des Anbieters ständig unabhängige Sicherheitsrevisionen vorgenommen?

J N

i.A.

Bemerkung

Sicherheit – Personal
Kann der Anbieter vertrauenswürdiges Personal nachweisen? Verfügt der Anbieter über gut ausgebildete Mitarbeiter? Erhalten die Mitarbeiter des Anbieters regelmäßige Schulungen? Sind die Mitarbeiter des Anbieters bzgl. der Datensicherheit und des Datenschutzes sensibilisiert? Wurden die Mitarbeiter hinsichtlich des Datenschutzes sowie der Einhaltung der Sicherheitsmaßnahmen und der vertraulichen Behandlung der Kundendaten verpflichtet?

J N

i.A.

Bemerkung

Sicherheit – Technologie
Kann der Anbieter mit der <x> Verschlüsselungsmethode angebunden werden? Werden die Daten mit der <x> Verschlüsselungsmethode beim Anbieter verschlüsselt? Verfügt der Anbieter über eine ganzheitliche Sicherheitsarchitektur? Kann der Anbieter die Rechenzentrumssicherheit nachweisen? Kann der Anbieter die Netzsicherheit nachweisen? Kann der Anbieter die Sicherheit der Host- und Servervirtualisierung nachweisen? Kann der Anbieter die Anwendungs- und Plattformsicherheit nachweisen? Kann der Anbieter ein Verschlüsselungs- und Schlüsselmanagement nachweisen? Kann der Anbieter die strikte Trennung seiner Mandanten innerhalb der Cloud nachweisen? Werden die Daten redundant gespeichert? Kann der Anbieter sein Netzwerk in virtuelle LANs segmentieren?

J N

i.A.

Bemerkung

4( 5rganisation
Organisation – Service & Support
Wie oft wird ein Upgrade der Anwendungen durch den Anbieter vorgenommen? Nehmen Upgrades direkten Einfluss auf die Nutzung der Anwendung? Welchen Zeitraum nimmt ein Upgrade in Anspruch? Stellt der Anbieter Möglichkeiten zur Verfügung, mit denen die Daten weiterhin bereitgestellt werden können, wenn der Anbieter insolvent sein sollte? Stellt der Anbieter den Kunden Möglichkeiten zur Verfügung, das Nutzungsverhalten auf Basis von Auswertungen und Statistiken zu überprüfen? Stellt der Anbieter die abgerechneten Leistungen in seinen Rechnungen transparent und nachvollziehbar dar? Stellt der Anbieter Tutorials und weitere Hilfestellungen zur Verfügung, mit denen der Einstieg in die Nutzung der Services vereinfacht wird?

J N

i.A.

Bemerkung

Organisation – Kommunikation
Informiert der Anbieter über geplante Wartungszeiträume? Kann mit dem Anbieter in Bezug auf die Wartungen Kontakt aufgenommen werden, um weitere Informationen zu erhalten? Stehen ausreichend Kontaktmöglichkeiten von Seiten des Anbieters bereit? Verfügt der Anbieter über einen Kundenservice, der außer elektronisch auch telefonisch erreichbar ist? Hat der Anbieter bestimmte Regelungen getroffen, die im Falle einer Eskalation notwendig werden?

J N

i.A.

Bemerkung

Organisation – Mitarbeiter
Müssen die eigenen Mitarbeiter für die Nutzung geschult werden? Muss der Help-Desk für die Nutzung geschult werden?

J N

i.A.

Bemerkung

Organisation – Strukturen
Kann der Anbieter in das Anbieter Management der IT Organisation aufgenommen werden? Können die genutzten Services wieder in das Unternehmen zurückgeholt werden? Werden durch die Nutzung der Services des Anbieters ggf. Redundanzen aufgebaut?

J N

i.A.

Bemerkung

© 2012 NewAgeDisruption.com

&*( Prozesse
Prozesse – Individualisierung
Besteht die Möglichkeit der Individualisierung der Prozesse? Würde sich die Nutzung der vom Anbieter vorgegebenen standardisierten Prozesse auf die Effizienz des Gesamtgeschäftsprozesses auswirken? Hat der Kunde ein Mitspracherecht, wenn der Anbieter neue Softwareversionen bereitstellen will? Gestattet der Anbieter seinem Kunden Zugriff auf die Anwendungen, um die Geschäftsprozesse auf die eigenen Bedürfnisse anzupassen?

J N

i.A.

Bemerkung

Prozesse – Kommunikation
Existieren feste Eskalationswege auf der Seite des Anbieters? Werden die Eskalationswege transparent kommuniziert?

J N

i.A.

Bemerkung

Prozesse – Service & Support
Unterstützt der Anbieter bei der Durchführung eines Change Requests? Unterstützt der Anbieter die bruchfreie Abbildung unterschiedlicher Prozesse über mehrere Anbieter hinweg?

J N

i.A.

Bemerkung

Prozesse – Risikomanagement
Hat der Ausfall des bei dem Anbieter genutzten Service relevante und kritische Auswirkungen auf die Geschäftsprozesse bzw. den Gesamtgeschäftsprozess? Stehen Alternativen zur Verfügung, falls der Prozess/ Service ausfallen sollte?

J N

i.A.

Bemerkung

&&( 6inanzen
Finanzen – Investitionen
Müssen mit dem Wechsel zu dem Anbieter weitere Investitionen vorgenommen werden?

J N

i.A.

Bemerkung

Finanzen – Gebühren
Werden gesonderte Gebühren erhoben, wenn die Daten aus der Cloud des Anbieters exportiert werden? Erhebt der Anbieter eine Einrichtungsgebühr? Erhebt der Anbieter monatliche Mindestgebühren?

J N

i.A.

Bemerkung

&)( Sonstiges
Sonstiges – Recht & Risiko
Ist das Unternehmen durch mögliche Schäden bei im Ausland ansässigen Anbietern versichert? Existieren Fallback Szenarien für den Fall, dass der Anbieter ausfällt oder insolvent ist? Existieren Fallback Szenarien für den Fall, dass es auf der Seite des Anbieters zu technischen Problem kommt? Verfügt das Unternehmen über ein Risikomanagement um im Vorwege die möglichen Risiken abzuschätzen? Ist das Unternehmen rechtlich in der Lage, seine Services für bestimmte Bereiche von einem Cloud Anbieter zu beziehen?

J N

i.A.

Bemerkung

Sonstiges – Management
Muss evtl. der Betriebs- oder Personalrat informiert werden? Ist die Unterstützung durch das Top-Management vorhanden? Wurde Cloud Computing als enger Bestandteil in die IT-Strategie integriert?

J N

i.A.

Bemerkung

Sonstiges – Infrastruktur
Verfügt das Unternehmen über eine schnelle und stabile Internetanbindung? Sind die „Quality of Services“ der Internetanbindung ausreichend? Muss das SLA der Internetverbindung angepasst werden? Wurde eine Ende-zu-Ende Performanz Betrachtung vorgenommen und damit die Gesamtperformanz bestimmt?

J N

i.A.

Bemerkung

© 2012 NewAgeDisruption.com

Kontakt
New Age Disruption
Eliminate the Status Quo – Find your Blue Ocean

@enA +*st Dipl.B,nformati%er C7'D 4.(c. in ,5B4anagement and ,nformation (Estems &örnerstrasse :0 2<10: &iel 5elefonF G<> C0D<:1 2= >: <2 92 4obilF G<> C0D1;: :? <> <?1 !B4ailF helloHnewagedisruption.com "ebF httpFIInewagedisruption.com 5witterF H@ene+uest CloudUserF httpFIIclouduser.de

© 2012 NewAgeDisruption.com

Sign up to vote on this title
UsefulNot useful