Sicherheit ist – neben Hochverfügbarkeit und Integrität – die Königsdisziplin seriösen Hostings. Sie erkennen Premium-Hosting-Anbieter folglich an einem umfassenden und effektiven Risikomanagement.
Im Rahmen unseres Qualitätsmanagements haben wir uns dieses Themas angenommen und im Zuge unserer umfassenden ISO 27001-Zertifizierung ein Risikomanagement nach DFN-CERT OCTAVE gemäß ISO 31000 eingeführt. Die Risikoanalyse und der Risikobehandlungsplan sind demnach feste Bestandteile unserer ISO 27001-Zertifizierung.
Uptime IT setzt bei Risikomanagement auf ISO 31000 und die OCTAVE-Methode (DFN-CERT) und erfüllt dadurch die höchsten Sicherheitsstandards.
Einbezogen werden dabei nicht nur IT-spezifische Gefahren, wie etwa Hacker-Angriffe oder technische Pannen – OCTAVE berücksichtigt alle theoretisch denkbaren Risiken. Dazu zählen auch nicht-technische Gefahren wie menschliches Versagen oder Katastrophenszenarien (z.B. Feuer, Erdbeben, Flugzeugabstürze) bzw. höhere Gewalt.
In Abstimmung mit den uns beratenden Experten führten wir die Risikoanalyse nach OCTAVE (Operational Critical Threat, Asset and Vulnerability Evaluation) durch. Diese wurde an der Carnegie Mellon University entwickelt und zeichnet sich durch ihre sauber strukturierte Vorgehensweise aus.
Wir verwenden eine für ISO 27001 weiterentwickelte OCTAVE-Version vom DFN CERT (https://www.cert.dfn.de/). Dadurch bildet unsere Risikoanalyse zugleich die Basis für unser Informationssicherheits-Managementsystem (ISMS).
DFN-CERT OCTAVE gliedert sich in 3 Phasen mit insgesamt 16 Aktivitäten:
- Phase 1 (Organisation):
Identifizierung der kritischen Werte und ihrer Bedrohungsprofile - Phase 2 (Technik):
Identifizierung von Schlüsselkomponenten der IT-Infrastruktur und ihrer Schwachstellen - Phase 3 (Strategien & Pläne):
Identifizierung und Bewertung der Risiken sowie Entwicklung einer Risikostrategie
Als Ergebnis liefert OCTAVE eine klar strukturierte Matrix, die sowohl Assets und mögliche Risiken als auch Bedrohungen, die auf die Assets und ihre Komponenten wirken, identifiziert. Für die anschließende Erstellung unseres detaillierten Risikobehandlungsplans wurden diese Daten mit möglichen Schäden und ihren jeweiligen Eintrittswahrscheinlichkeiten verknüpft und ausgewertet.
Für einen lückenlosen Schutz wird unsere Risiko-Matrix unterbrechungsfrei angewendet und fortlaufend weiterentwickelt. Im Falle von Veränderungen an unseren Systemen passen wir unser Risikomanagement automatisch an. Dies wird quartalsweise im Rahmen von Reviews und einmal im Jahr bei den ISO 27001-Audits durch den TÜV überprüft.
Sollten Sie weitere Informationen zu OCTAVE wünschen, stellen wir Ihnen gern einen Kontakt zu dem uns beratenden Unternehmen her.