Wo Mitarbeiter von Dienstleistern Zugang zu Ihren Daten und Systemen haben, benötigen Sie ein hohes Mass an Vertrauen in deren Vertrauenswürdigkeit. Eine gründliche Überprüfung, unterstützt durch eine angemessene Schulung, reduziert die Wahrscheinlichkeit von versehentlicher oder böswilliger Kompromittierung durch die Mitarbeitenden des Dienstleisters.
Der Dienstleister sollte das Personal einer Sicherheitskontrolle und regelmässigen Sicherheitsschulungen unterziehen. Mitarbeiter in diesen Rollen sollten ihre Verantwortung verstehen. Anbieter sollten deutlich machen, wie sie Personal in privilegierten Rollen kontrollieren und managen.
Ziele
Dies sollte sicher sein:
- Das Sicherheitsniveau der Mitarbeiter des Dienstanbieters, die Zugang zu Ihren Informationen haben oder in der Lage sind, Ihren Dienst zu beeinträchtigen, ist angemessen.
- So wenig wie möglich Personen haben Zugang zu Ihren Daten oder könnten Ihren Service beeinträchtigen.
Implementierung – Personalsicherheit
Zusätzliche Informationen – Authentifizierung und Sicherung der Service-Administration
Jeder, der für den Dienstanbieter arbeitet, der Zugang zu Ihren Daten hat oder die Möglichkeit hat, Ihren Dienst zu beeinflussen, muss stark authentifiziert werden. Sie müssen auch Ihre Nutzung des Dienstes auf sichere Weise verwalten. Es lohnt sich, diese Benutzer als Sonderfall zu betrachten, wenn Sie Grundsatz 10 – Identität und Authentifizierung überprüfen und ob sie den Dienst als Teil von Grundsatz 12 – Sichere Dienstverwaltung sicher verwalten werden.
http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/
17.11.2018