Häufige Fragen

Einheitlicher Zertifizierungs-Standard der MSPAlliance für Cloud- und Managed Service Provider

Vertrauen und Integrität sind die Basis einer erfolgreichen Geschäftsbeziehung zwischen dem Managed Service Provider (MSP) und seinen Klientinnen und Klienten in der SMB IT.

Wir unterstützen den Standard und die Initiative der MSPAlliance!

Mit diesem Artikel erklären wir Ihnen, warum wir so für Sie arbeiten, wie wir arbeiten und wo wir hin möchten.

Der einheitliche Zertifizierungs-Standard der MSPAlliance für Cloud- und Managed Service Provider (Unified Certification Standard for Cloud & Managed Service Providers / UCS) basiert auf 11 Grundprinzipien, nach denen ein IT-Dienstanbieter operieren sollte. Diese Prinzipien, in der Welt der Wirtschaftsprüfung (Audit) auch Kontrollziele (Control Objectives) genannt, bilden die Basis des UCS und somit das beste Modell für die Bewertung von Cloud- und MSP-Unternehmen.

Jedes der 11 Kontrollziele des UCS wird durch einzelne Steuerelemente unterstützt, die verwendet werden, wenn ein Unternehmen den Zertifizierungsprozess durchläuft. Hat ein Unternehmen das Zertifizierungsverfahren erfolgreich abgeschlossen, erhält es darüber hinaus einen UCS-Prüfbericht, der genau beschreibt, wie es diese Steuerelemente und Kontrollziele implementiert hat.

Das Folgende sind die UCS-Kontrollziele:

Unified Certification Standard (UCS) Kontrollziel 1: Unternehmensorganisation, Governance, Planungs- und Risikomanagement

Der Dienstanbieter muss über eine formale Führungsstruktur, einschließlich Organisationsdiagrammen, verfügen, sowie Risikobewertung-Richtlinien und ein formalisiertes Verfahren zur Bewertung von Drittanbietern und Lieferanten nachweisen. Er verfügt über eine Organisationsstruktur, die für angemessene Aufgabentrennung sorgt.

Unified Certification Standard (UCS) Kontrollziel 2: Dokumentierte Richtlinien und Verfahren

Der Dienstanbieter kann jährlich zu aktualisierende und zu überprüfende Richtlinien und Verfahren nachweisen, die dokumentiert sind. Mitarbeiter sind verpflichtet mit ihrer Unterschrift zu bestätigen, dass sie diese Richtlinien und Verfahren verstanden haben und einhalten. Neue und vorhandene Mitarbeiter sind verpflichtet sich formalisierten Trainings- und Testmethoden über die Standards zu unterziehen.

Unified Certification Standard (UCS) Kontrollziel 3: Service-Change-Management

Der Dienstanbieter verfügt über eine kontrollierbare Service-Change-Management-Dokumentation. Diese enthält, falls zutreffend, Kapazitätsplanungen, Änderungen an den eigenen Konfigurationen, sowie an denen des Klienten.  Klienten-Service-Change-Management-Richtlinien sind basierend auf dem mit dem Klienten vereinbarten SLA dokumentiert.

Unified Certification Standard (UCS) Kontrollziel 4: Event-Management

Der Dienstanbieter hat Zugang zu einem Network Operations Center (NOC), das mit geschultem Personal ausreichend besetzt ist, um in der Lage zu sein, das benötigte Monitoring und/oder Management anzubieten, um Probleme oder Zwischenfälle zu lösen, die unter dem Service Level Agreement zwischen dem Provider und dem Klienten entstehen.

Er muss die Existenz eines Problem-Management-Systems, einschließlich Help-Desk und Ticketing-Plattform, nachweisen, das in das Überwachungs-/Management-System des Dienstanbieters integriert ist. Problemberichte müssen in regelmäßigen Abständen interne Prüfungen unterzogen werden.

Unified Certification Standard (UCS) Kontrollziel 5: Logische Sicherheit

Der Benutzerzugriff auf IT-Systeme des Providers, bzw. des Klienten basiert auf etablierten Richtlinien und Verfahren. Der Zugriff versetzter oder gekündigter Mitarbeiter wird, basierend auf etablierten und dokumentierten Richtlinien und Verfahren, zurückgezogen.

Der Dienstanbieter muss eine dokumentierte Richtlinie zur Benutzerauthentifizierung auf die IT-Systeme und Daten des Klienten und seines Unternehmens, einschließlich Passwort-Richtlinien und deren Überprüfung durch die Unternehmensleitung nachweisen. Diese Richtlinie muss sowohl für interne als auch Remotezugriffe vorhanden sein.

Der Provider verfügt über eine dokumentierte Richtlinie für Administrator IDs. Lieferanten oder Drittanbieter-Zugriffsrichtlinien sind ebenfalls dokumentiert und Gegenstand der Überprüfung durch die Unternehmensleitung. Dies gilt sowohl für den physischen Zugriff auf Vorgänge und Rechenzentren, als auch für IT-Systeme und Daten.

Der Service-Provider muss unabhängige Bewertungen seiner IT oder der des Klienten besitzen.

Unified Certification Standard (UCS) Kontrollziel 6: Change-Management

Der Dienstanbieter muss dokumentierte und formalisierte Change-Management-Richtlinien und Verfahren für Änderungen an IT-Systemen nachweisen, einschließlich eines formalen Prozesses zum Anfordern, Protokollieren, Genehmigen, Testen und Akzeptieren von Änderungen vor deren Implementierung. Notfalländerungen unterliegen auch einem formalen Überprüfungsprozess.

Unified Certification Standard (UCS) Kontrollziel 7: Datenintegrität

Der Provider muss über ausreichende und funktionierende Datensicherheitsrichtlinien und -Verfahren verfügen, die jährlich überprüft, aktualisiert, genehmigt und den Mitarbeitern bekannt gemacht werden. Dazu gehören Backup- und Aufbewahrungs-Richtlinien, sowohl für den Provider, als auch für den Klienten.

Unified Certification Standard (UCS) Kontrollziel 8: Physische Sicherheit und Schutz vor äußeren Einflüssen

Der Service-Provider besitzt dokumentierte Richtlinien für den physischen Zugang zu IT-Ressourcen des Dienstanbieters, einschließlich der Besucher/Gast-Registrierung in entsprechenden Einrichtungen. Er wird ausreichende physische Zugriffssteurungselemente in jeder Anlage nachweisen, einschließlich Schlüsselkarten, Videoüberwachung, Sicherheitsdienste und anderer wirksamer Sicherheitsmaßnahmen. Es existieren auch dokumentierte Kontrollmaßnahmen über den Zugang gekündigter und/oder versetzter Mitarbeiter Einrichtungen des Klienten und /oder Providers.

Der Provider hat dokumentierte Richtlinien für den physischen Zugang zu Co-Location-Hardware, die in Einrichtungen des Anbieters verwaltet werden. Bewertungen der physischen Sicherheit werden jährlich für jede Anlage durchgeführt, einschließlich der Nachverfolgung und Beseitigung sämtlicher identifizierter Probleme.

Das NOC und die Rechenzentren des Dienstanbieters sind gegen störende, äußere Ereignisse durch entsprechende Vorkehrungen geschützt. Diese Vorkehrungen werden mit Wartungsverträgen bedient und getestet.

Das NOC verfügt über effektive Redundanzen für Konnektivität und Energie, einschließlich des Vorhandensein eines dokumentierten Disaster Recovery/Business Continuity Plans.

Unified Certification Standard (UCS) Kontrollziel 9: Service Level Agreements

Der Dienstanbieter kann nachweisen, dass er unterzeichnete Service Level Agreements (SLAs) zwischen Provider und Klient verwendet. Es gibt ausreichende Kontrollen zum Nachverfolgen und Überwachen von Dienstleistungen für Klienten in Übereinstimmung mit dem SLA; diese verfolgen auch Änderungen am Klienten-Setup innerhalb der Systeme des Providers. Leistungs-Berichte und Rechnungen stehen dem Klienten gemäß der unterschriebenen SLAs zur Verfügung.

Unified Certification Standard (UCS) Kontrollziel 10: Leistungsberichte und Rechnungsstellung

Der Service-Provider muss nachweisen, dass er dem Klienten gemäß der unterzeichneten SLAs Leistungsberichte, einschließlich Rechnungen, zur Verfügung stellt.

Unified Certification Standard (UCS) Kontrollziel 11: Finanzielle Stabilität

Der Dienstanbieter muss eine stabile Finanzlage vorweisen. Er muss für mindestens 6 Vormonate Rentabilität nachweisen, oder über ausreichend Kapital bei fehlender Rentabilität verfügen.

Der Umsatz muss zur Gewährleistung von Stabilität und Redundanz bei Ausfall von Klienten über eine ausreichende Klientenbasis verteilt sein.

(Dies ist eine inoffizielle, manuelle Übersetzung des englischen Dokumentes der MSPAlliance. Im Zweifel hat das englische Original Vorrang.)

UPDATE vom 16.10.2014: MSPAlliance Unified Certification Standard for Cloud and Managed Service Providers erhält Ergänzungen für HIPAA und den Finanzsektor!

Fragen ?Fragen ?

Schreiben Sie uns

oder rufen uns an unter

040.696 450 99

Call Back Servicecall back service

Wir rufen Sie gern zurück und beraten Sie individuell

» mehr

Team Viewerteamviewer

Laden Sie sich hier das Teamviewer Quicksupport herunter

» mehr