Regelmäßige Audits zur Gewährleistung von Datensicherheit und Datenschutz

Die Zertifizierung ISO/IEC 27001:2013 gibt die Best Practices für Sicherheitsverwaltung und -kontrolle basierend auf dem Best Practices-Leitfaden für ISO/IEC 27002 an. Sie stellt sicher, dass unser Managementsystem für Informationssicherheit (Information Security Management System, ISMS) fein abgestimmt ist, um mit Änderungen an Sicherheitsbedrohungen Schritt zu halten, was in der schnelllebigen Welt der IT-Sicherheit unverzichtbar ist.

Die erneute Zertifizierung erfolgt alle drei Jahre durch einen Audit, einschließlich eines jährlichen Überwachungsaudits als Beweis, dass ServiceNow:

• 1. ein umfassendes ISMS entwickelt und implementiert hat.

• 2. einen kontinuierlichen Risikomanagementprozess eingeführt hat, um sicherzustellen, dass die entsprechenden Kontrollen für die Informationssicherheit vorhanden sind, um aufkommende Bedrohungen und Risiken zu bewältigen.

• 3. Risiken für die Informationssicherheit systematisch untersucht und dabei verschiedene Faktoren berücksichtigt, einschließlich der Auswirkungen von Unternehmensbedrohungen und Schwachstellen.

ServiceNow ist seit 2012 ein ISO/IEC 27001-zertifiziertes Unternehmen, das Zertifikat ist hier verfügbar.

Die Norm ISO/IEC 27017:2015 betrifft die Implementierung der cloudspezifischen Kontrollen für die Informationssicherheit, die in ISO/IEC 27002 angegeben sind.

Die Zertifizierung wird durch ein jährliches, unabhängiges Audit erworben. ServiceNow ist seit 2018 ein zertifiziertes ISO/IEC 27017:2015-Unternehmen.

Die Norm ISO/IEC 27018:2019 ist eine auf ISO/IEC 27002 basierende Verfahrensregel, die den Schutz personenbezogener Daten in Public Clouds gemäß den Datenschutzgrundsätzen in ISO/IEC 29100 betrifft.

Die Zertifizierung wird durch ein jährliches, unabhängiges Audit erworben. ServiceNow ist seit 2016 ein zertifiziertes ISO/IEC 27018:2019-Unternehmen.

Das Service Organizational Control (SOC)-Framework ist eine Bestätigung dafür, dass ServiceNow den erforderlichen Standard hinsichtlich der Kontrollen erfüllt, um die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten in der Cloud zu schützen.

• - SOC 1 konzentriert sich auf die Effektivität interner Kontrollen, die sich auf die Finanzberichte von Kunden auswirken
• - SOC 2 wertet Kontrollen aus, die für die Verfügbarkeit, Integrität, Sicherheit, Vertraulichkeit oder den Datenschutz relevant sind.

ServiceNow wird von einer externen Stelle geprüft und hat seinen SSAE 18 SOC 1 Typ 2-Nachweis seit 2011 (SSAE 18 ersetzte SSAE 16 im Jahr 2017). SSAE 18 ist am internationalen Standard ISAE3402 ausgerichtet und ersetzt die nun veraltete SAS70.

Der SOC 1-Bericht von ServiceNow, der den Zeitraum vom 1. Oktober (des vorangegangenen Kalenderjahrs) bis zum 30. September (des aktuellen Kalenderjahrs) abdeckt, ist gegen Ende jedes Kalenderjahres (Dezember) über ServiceNow CORE verfügbar.

Der SOC 1-Bericht, der den Zeitraum vom 1. April bis zum 31. März abdeckt, ist gegen Ende des zweiten Quartals (Juni) jedes Kalenderjahres über ServiceNow CORE verfügbar.

ServiceNow wurde außerdem seit 2013 einem jährlichen SOC 2 Typ 2-Nachweis unterzogen, der für Sicherheits-, Verfügbarkeits- und Vertraulichkeitskontrollen relevant ist, die in den AICPA Trust Services Criteria (TSC) aufgeführt sind.

Der SOC 2-Bericht von ServiceNow deckt den Zeitraum vom 1. Oktober (des vorangegangenen Kalenderjahrs) bis zum 30. September (des aktuellen Kalenderjahrs) ab und ist gegen Ende jedes Kalenderjahrs (Dezember) über ServiceNow CORE verfügbar.

Ein Überbrückungsschreiben wird zwischen den Prüfzeiträumen ausgestellt, sodass das Unternehmen über das gesamte Jahr abgedeckt ist.

Das SOC 1-Überbrückungsschreiben von ServiceNow, das den Zeitraum vom 1. Oktober (des aktuellen Kalenderjahrs) bis zum 31. Dezember (des aktuellen Kalenderjahrs) abdeckt, ist gegen Ende des ersten Quartals des Folgejahres über ServiceNow CORE verfügbar.

Das SOC 1-Überbrückungsschreiben, das den Zeitraum vom 1. April bis zum 30. Juni abdeckt, ist gegen Ende des dritten Quartals jedes Kalenderjahres über ServiceNow CORE verfügbar.

Das SOC 2-Überbrückungsschreiben von ServiceNow deckt den Zeitraum vom 1. Oktober (des aktuellen Kalenderjahrs) bis zum 31. Dezember (des aktuellen Kalenderjahrs) ab und ist gegen Ende des ersten Quartals des Folgejahrs über ServiceNow CORE verfügbar.

C5 ist ein Katalog cloudspezifischer Compliance-Kontrollmaßnahmen, die vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurden und sowohl im öffentlichen als auch im privaten Sektor eingesetzt werden. Der C5-Nachweisbericht folgt einem ähnlichen Prozess und Schema wie die AICPA SOC 2-Berichte. Er weist große Überschneidungen mit den AICPA Trust Services Criteria (Vertrauensdienstkriterien) auf, jedoch um cloudspezifische Anforderungen erweitert. ServiceNow hat seinen C5-Nachweisbericht im Jahr 2020 erhalten.

APEC PRP ist eine freiwillige Zertifizierung für Datenverarbeitende, die regional für den Asien-Pazifik-Raum entwickelt wurde. Die Zertifikate werden jährlich verlängert, eine vorzeitige Überprüfung ist jedoch möglich, wenn eine Änderung sich nachhaltig auf datenschutzspezifische Prozesse oder Verfahren des Datenverarbeitenden auswirkt.

Das Information System Security Management and Assessment Program (ISMAP) ist ein Programm, das eine sichere Cloud-Service-Beschaffung durch die japanische Regierung gewährleisten soll. Hierzu werden Cloud-Services, die den Sicherheitsanforderungen der japanischen Regierung entsprechen, bewertet und registriert. Die Now Platform von ServiceNow wurde von einem registrierten ISMAP-Bewerter unabhängig bewertet. Dieser hat festgestellt, dass sie die ISMAP-Kontrollkriterien erfüllt, weshalb sie seit März 2022 als ISMAP-Cloud-Service registriert ist. Die Liste der ISMAP-Cloud-Services finden Sie hier: https://www.ismap.go.jp/csm?id=cloud_service_list

Diese Erweiterung der Norm ISO/IEC 27001 reguliert die Einrichtung und Pflege eines Datenschutz-Informationsmanagementsystems. Sie ist für ServiceNow relevant, da die verarbeiteten Kundendaten personenbezogene Daten enthalten können. Die Zertifizierung von ServiceNow erfolgte im Jahr 2020.

PinkVERIFY™ stellt sicher, dass ServiceNow nachweisen kann, dass seine IT Service Management (ITSM)-Produkte mit den Best Practices der Information Technology Infrastructure Library (ITIL) kompatibel sind.

ServiceNow ist stolz darauf, der erste SaaS-Anbieter gewesen zu sein, der den PinkVERIFY™-Status im Jahr 2009 bei 11 ITIL-Prozessen erreicht hat und seine ITSM-Lösungen bei gleichzeitiger Beibehaltung dieser Branchenzertifizierung kontinuierlich weiterentwickelt und verbessert hat.

Das GCC-Angebot (Government Community Cloud) von ServiceNow verfügt derzeit über eine Zertifizierung als Federal Risk and Authorization Management Program (FedRAMP) High Baseline Provisional Authority to Operate (P-ATO). So kann ServiceNow die Einführung unserer sicheren Cloud-Lösungen durch US-Bundesbehörden und -Anbieter beschleunigen und einen standardisierten Ansatz für die Bewertung, Überwachung und Autorisierung von Cloud-Computing-Produkten und -Services gemäß dem Federal Information Security Management Act (FISMA) implementieren.

GCC erhielt im August 2019 die erste Zertifizierung als GCC FedRAMP High Provisional Authority to Operate (P-ATO). GCC erfüllt außerdem die Kontrollanforderungen von Impact Level 4 (IL4) des US-Verteidigungsministeriums und 1253F Privacy Overlay High für persönlich identifizierbare Informationen (PII) oder geschützte Gesundheitsinformationen (PHI) des CNSSI.

Klicken Sie hier, um ServiceNow im FedRAMP Marketplace zu sehen.

Das GCC-Angebot (Government Community Cloud) von ServiceNow verfügt derzeit über eine provisorische Autorisierung (PA) für Impact Level 4 (IL4) des US-Verteidigungsministeriums (DoD). Das erleichtert die Beschaffung von ServiceNow-Produkten durch US-Verteidigungsministerium und -Geheimdienste und etabliert einen Basisstandard, der durch den Cloud Computing (CC) Security Requirements Guide (SRG) definiert ist, der von der Defense Information Systems Agency (DISA) entwickelt wurde.

ServiceNow erhielt seine erste GCC DoD IL4 PA im Oktober 2019. Die DoD IL4 PA umfasst sowohl FedRAMP High- als auch DoD IL4-Kontrollanforderungen. Das GCC-Angebot von ServiceNow erfüllt auch die Kontrollanforderungen von CNSSI 1253F Privacy Overlay High für persönlich identifizierbare Informationen (PII) oder geschützte Gesundheitsinformationen (PHI).

Klicken Sie hier, um ServiceNow in der DISA Storefront im Standardangebotsbereich zu sehen.

ServiceNow agiert in Übereinstimmung mit dem EU-US- und dem Schweiz-US-Datenschutzschild, dargelegt vom US-Handelsministerium in Bezug auf die Erhebung, Nutzung und Speicherung personenbezogener Daten, die aus der Europäischen Union und dem Vereinigten Königreich und der Schweiz in die Vereinigten Staaten übermittelt werden. Weitere Informationen zum Datenschutzschild finden Sie hier auf der entsprechenden Website des US-Handelsministeriums.

MTCS Level 3 ist eine Zertifizierung, die sicherstellt, dass ServiceNow Standards hinsichtlich der Vertraulichkeit und Integrität der Daten unserer Kunden in der Cloud für Singapur erfüllt. Sie baut auf ISO/IEC 27001 auf und umfasst die Souveränität, Aufbewahrung und Verfügbarkeit von Daten sowie die Geschäftskontinuitätsplanung und Notfallwiederherstellung.

ServiceNow ist stolz darauf, die höchste verfügbare Zertifizierungsstufe MTCS Level 3 erreicht zu haben.

Australian Platforms von ServiceNow wurde von einem anerkannten IRAP-Prüfer unabhängig bewertet, um die australischen ISM-Kontrollen für OFFIZIELLE und GESCHÜTZTE Daten zu erfüllen. Die von IRAP bewerteten OFFIZIELLEN und GESCHÜTZTEN Cloud-Services bieten australischen Regierungskunden das nötige Vertrauen in die NOW Platform und ermöglichen ServiceNow eine effektive Zusammenarbeit mit australischen Regierungsbehörden und Anbietern kritischer Infrastrukturen. Weitere Informationen für australische regulierte Kunden finden Sie hier: https://your.servicenow.com/microsoftregulatedindustries/australia

Das Canadian Centre for Cyber Security (CCCS) definiert mehrere physische und logische Anforderungen, die für eine Zertifizierung als GC Cloud Provider erfüllt sein müssen. Die Zertifizierung als GC Cloud Provider erfolgt erst, nachdem die Compliance des Unternehmens durch Mitarbeiter des CCCS bestätigt wurde. GC ist die staatlich definierte Klassifizierungsstufe für Daten, die in der Cloud gespeichert werden dürfen.

ServiceNow ist seit 2020 als Cloud-Anbieter der Datenschutzstufe „GC“ zertifiziert. Weitere Informationen finden Sie hier.

HITRUST wurde im Gesundheitswesen entwickelt, um die Compliance-Ziele über das zugehörige CSF-Kontrollframework zu standardisieren, das ursprünglich auf der Basis von ISO 27001 erstellt wurde. Die Kontrollen wurden seitdem in viele gängige Sicherheitsstandards aufgenommen und diesen zugeordnet, darunter NIST 800-53 und die AICPA SOC 2 Trust Services Criteria. Der SOC 2- und HITRUST-Bericht basiert auf der Zusammenarbeit zwischen dem AICPA und der HITRUST Alliance. Er bietet einen Mechanismus, dank dem der Service-Auditor seine Meinung zur Gestaltung und Effektivität der Trust Services Criteria und des HITRUST CSF im selben Bericht abgeben kann.

Cyber Essentials Plus ist ein Programm, das von der Regierung des Vereinigten Königreichs unterstützt wird und Unternehmen dabei hilft, die Risikominderung und die Bewertung von Cybersicherheitsbedrohungen für ihre IT-Systeme nachzuweisen. Das Programm erfordert die Implementierung verschiedener technischer Kontrollen durch einen externen Prüfer, um Best Practices und größtmögliche Sicherheit zu gewährleisten. Aufgrund des regionalen Schwerpunkts des Programms ist die Zertifizierung auf die Region des Vereinigten Königreichs beschränkt.

ServiceNow verfügt über eine provisorische Autorisierung (PA) für Impact Level 5 (IL5) des US-Verteidigungsministeriums (DoD). Damit ist die National Security Cloud (NSC) von ServiceNow eines der wenigen SaaS- und PaaS-Angebote (Software-as-a-Service/Platform-as-a-Service), die nach dem strengen Department of Defense Cloud Computing Security Requirements Guide auf Impact Level 5 entwickelt und genehmigt wurden.

Die provisorische Autorisierung für IL5 wird die digitale Transformation des Verteidigungsministeriums beschleunigen, da das US-Verteidigungsministerium, seine Partner sowie ausgewählte Bundesbehörden hiermit hochsensible Daten, einschließlich kontrollierter, nicht klassifizierter Informationen und nicht klassifizierter nationaler Sicherheitssysteme, an cloudbasierte ServiceNow-Lösungen übertragen können, die auf Microsoft Azure Government gehostet werden.