Sicherheit und Compliance

SOC2 (Service Organization Control 2) ist ein international anerkannter Sicherheitsstandard, der Unternehmen, einschließlich Cloud-Service-Anbietern, dabei hilft, Kundendaten zu schützen und die Einhaltung der geltenden Vorschriften nachzuweisen. Der Standard wurde vom American Institute of Certified Public Accountants (AICPA) entwickelt und basiert auf den Trust Services Criteria des AICPA. Die SOC2-Compliance verlangt von Unternehmen, dass sie bestimmte Sicherheits- und Datenschutzanforderungen in Bezug auf die Speicherung, Verarbeitung und Übertragung von Daten erfüllen. Die Compliance umfasst die Umsetzung angemessener technischer, physischer und administrativer Kontrollen, die laufend überwacht werden.

ISO/IEC 27001 (International Organization for Standardization / International Electrotechnical Commission) ist eine internationale Norm, die die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) festlegt. Sie bietet einen Rahmen von Sicherheitskontrollen, die Organisationen helfen, ihre Informationssicherheitsrisiken zu managen. Sie soll Unternehmen vor Sicherheitsbedrohungen wie Datenschutzverletzungen, bösartiger Software und Cyberangriffen schützen. ISO/IEC 27001 ist ein weithin anerkannter Standard für das Informationssicherheitsmanagement und wird von vielen Organisationen auf der ganzen Welt akzeptiert.

FedRamp (Federal Risk and Authorization Management Program) ist ein regierungsweites Programm, das einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten bietet. Es soll den Behörden helfen, Cloud-Produkte und -Dienste effizienter und kostengünstiger zu bewerten und zu genehmigen. FedRamp wurde von der General Services Administration (GSA) in Zusammenarbeit mit dem Department of Homeland Security (DHS), dem Department of Defense (DoD), dem National Institute of Standards and Technology (NIST) und anderen Bundesbehörden entwickelt.

Die Authorization to Operate (ATO) ist die Sicherheitsgenehmigung, die für die Einführung eines neuen IT-Systems in der Bundesregierung erforderlich ist. Die Behörden entscheiden, ob sie einem Informationssystem eine Betriebserlaubnis für einen bestimmten Zeitraum erteilen, indem sie prüfen, ob das Sicherheitsrisiko akzeptabel ist.
Ivanti hat ATOs von der Air Force, der Army, dem Department of Defense (DoD), der Defense Health Agency (DHA), dem Department of Homeland Security (DHS), der National Guard, der Navy, den Pacific Air Forces (PACAF), dem United States Special Operations Command (SOCOM) und dem U.S. Strategic Command (STRATCOM) erhalten.

Die Common Criteria Compliance ist eine Reihe von Standards, die zur Bewertung der Sicherheit von IT-Produkten und -Dienstleistungen verwendet werden. Sie bietet einen gemeinsamen Rahmen für Organisationen, um die Sicherheitseigenschaften verschiedener IT-Produkte und -Dienstleistungen zu messen und zu vergleichen. Die Standards werden von einem internationalen Komitee festgelegt und von Organisationen verwendet, um die Sicherheit von IT-Produkten und -Dienstleistungen zu bewerten, die sie zur Beschaffung in Betracht ziehen. Die Standards decken Bereiche wie Authentifizierung, Autorisierung, Verschlüsselung, Audit und andere sicherheitsrelevante Themen ab.

508 VPATs (Voluntary Product Accessibility Template) sind Dokumente, die detaillierte Informationen darüber enthalten, wie zugänglich ein Produkt oder eine Dienstleistung für Menschen mit Behinderungen ist. Die Dokumente wurden in Übereinstimmung mit Abschnitt 508 des U.S. Rehabilitation Act von 1973 entwickelt, der von den Bundesbehörden verlangt, dass sie sicherstellen, dass ihre elektronische und Informationstechnologie für Menschen mit Behinderungen zugänglich ist. VPATs werden häufig von staatlichen Stellen bei der Beschaffung von Software, Hardware und anderen Technologieprodukten und -dienstleistungen eingesetzt.

Seit 2014 verlangt das Vereinigte Königreich von Anbietern, die bestimmte Arten sensibler und personenbezogener Daten für die britische Zentralregierung verarbeiten, eine Cybersecurity-Essentials-Zertifizierung. Diese Zertifizierung versichert den Kunden, dass Ivanti weiß, dass wir daran arbeiten, unsere IT vor Cyberangriffen zu schützen. Sie können nach unserer aktuellen Zertifizierung suchen, indem Sie die IASME-Website besuchen und nach „Ivanti“ suchen.

Die Zertifizierung des australischen Information Security Registered Assessors Program (IRAP) garantiert, dass IKT-Systeme die strengen Cybersicherheitsstandards der australischen Regierung erfüllen.

Der Bewertungsprozess stützt sich auf die Sicherheitsrichtlinien, die im Protective Security Policy Framework (PSPF) des Australian Attorney-General's Department (AGD), im Information Security Manual (ISM) der australischen Regierung, das vom Australian Cyber Security Centre (ACSC) erstellt wurde, und in der Secure Cloud Strategy der Digital Transformation Agency (DTA) sowie in anderen Richtlinien zur Cybersicherheit enthalten sind. Die Bewertung umfasst die modularen Komponenten von Ivanti Neurons for ITSM und ergänzende SaaS-Dienste.

Alle Kontrollen wurden bewertet und bescheinigen, dass angemessene und wirksame Sicherheitskontrollen für die Verarbeitung, Speicherung und Übertragung von Daten, die bis einschließlich der Stufe PROTECTED eingestuft sind, vorhanden sind.