Die Nutzung cloud-basierter Systeme durch regulierte Unternehmen erfordert ver\u00e4nderte Schwerpunkte in der Validierung dieser Systeme. Durch die Bereitstellung sowie den Betrieb von IT-Infrastruktur-Komponenten (Infrastructure-as-a-Service (IaaS)), Plattform-Services (Platform-as-a-Service (PaaS)) und Applikationen (Software-as-a-Service (SaaS)) durch Cloud Service Provider (CSP), erh\u00e4lt die Qualifizierung dieser Lieferanten eine signifikant verst\u00e4rkte Bedeutung.<\/p>\n
Umfangreiche und kritische T\u00e4tigkeiten, die bisher durch das regulierte Unternehmen durchgef\u00fchrt wurden, werden in einem Cloud Service-Modell verantwortlich (\u00abResponsible\u00bb) durch Cloud Service Provider erbracht. Cloud Service Provider folgen ihren eigenen Prozessen und Verfahren f\u00fcr die Entwicklung, die Bereitstellung und den Betrieb der cloud-basierten Services. Das regulierte Unternehmen bleibt aber f\u00fcr ein GxP-konformes System verantwortlich (\u00abAccountable\u00bb). Durch diese verteilte Verantwortung in der Leistungserbringung (\u00abShared Responsibility\u00bb) erh\u00e4lt die Qualifizierung von Lieferanten \/ Cloud Service Providern eine deutlich st\u00e4rkere Bedeutung. Dies bedeutet ebenfalls, dass kritische IT-Betriebsthemen (z.B. Change Management, Release Management, Systemverf\u00fcgbarkeit) bereits in der Lieferantenqualifizierung \u00fcberpr\u00fcft und bewertet sowie vertraglich in SLAs dokumentiert werden m\u00fcssen.<\/p>\n
Gleichzeitig stellt die Durchf\u00fchrung von Lieferantenaudits zunehmend eine Herausforderung f\u00fcr regulierte Unternehmen dar. Vor allem gro\u00dfe Anbieter von IT-Infrastruktur-Komponenten \u00abHyperscaler\u00bb (IaaS) und Plattform-Services (PaaS), wie MS Azure und AWS, aber auch SaaS-Provider (wie ServiceNow) und zunehmend auch Softwareanbieter, r\u00e4umen ihren Kunden kein Recht auf Auditierung ein.<\/p>\n
In diesem Fall sind Alternativen zu pr\u00fcfen, beispielsweise die Pr\u00fcfung von Ergebnisberichten externer Assessment Reports oder die Bereitstellung von Zertifikaten inklusive der Geltungsbereiche.<\/p>\n
Gro\u00dfe Cloud Service Provider stellen Assessment Reports, Zertifizierungen und Guidelines zu ihren Services bereit. Diese Assessment Reports und Zertifikate sind keine GxP-Zertifizierungen, umfassen jedoch die Pr\u00fcfpunkte (Controls), die auch f\u00fcr ein reguliertes Unternehmen wichtig sind.<\/p>\n
Besonders geeignet sind der SOC 2 Type II Assessment Report und die ISO 27001 Zertifizierung. In allen F\u00e4llen sind ein vollst\u00e4ndiger Assessment Report und die Ergebnisse sehr wichtig, da der Umfang einer Pr\u00fcfung und die jeweils gepr\u00fcften Kontrollen ggf. variieren k\u00f6nnen.<\/p>\n
F\u00fcr die Lieferantenqualifizierung anhand von bereitgestellten Assessment Reports und Zertifizierungen hat sich in von uns durchgef\u00fchrten Lieferantenqualifizierungen eine um die GxP-Anforderungen erg\u00e4nzte Cloud Control Matrix (CCM) bew\u00e4hrt. Diese GxP CCM basiert auf etablierten Industriestandards, wie der CCM der Cloud Security Alliance (CSA) und dem C5 des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) ,und wurde von uns durch GxP-relevante Controls erg\u00e4nzt. Die GxP CCM umfasst 25 Kontrollbereiche (Control Domains) vom QMS des Lieferanten, Supplier Management \u00fcber das Information Security Management, den System Development Life Cycle (SDLC) bis zum Decommissioning. Jeder Kontrollbereich (Control Domain) wird durch eine Reihe von Kontrollen (Controls) operationalisiert. Die Kontrollen beschreiben detailliert die erwarteten Kontrollaktivit\u00e4ten des Lieferanten, um das Kontrollziel zu erreichen.<\/p>\n
Alle in der GxP CCM enthaltenen Kontrollen werden anhand der entsprechenden Kontrollen in den Assessment Reports, Zertifizierungen und Guidelines des Lieferanten \u00fcberpr\u00fcft. F\u00fcr jede \u00fcberpr\u00fcfte Kontrolle wird bewertet, ob die verf\u00fcgbaren Dokumente\/Nachweise die Kontrollanforderungen erf\u00fcllen (bestanden oder nicht bestanden). Abweichungen werden im Auditbericht bewertet.<\/p>\n
Wir haben anhand der oben beschriebenen Vorgehensweise die Lieferantenqualifizierung bereits f\u00fcr verschiedene Hyperscaler\/IaaS-, PaaS- und SaaS-Provider durchgef\u00fchrt.<\/p>\n
Sprechen Sie uns gerne an.<\/p>\n
Ein Blogbeitrag von Thomas Pauly, Practice Manager, IT Compliance<\/em><\/p>\n","protected":false},"excerpt":{"rendered":" Herausforderungen f\u00fcr regulierte Unternehmen Die Nutzung cloud-basierter Systeme durch regulierte Unternehmen erfordert ver\u00e4nderte Schwerpunkte in der Validierung dieser Systeme. Durch die Bereitstellung sowie den Betrieb von IT-Infrastruktur-Komponenten (Infrastructure-as-a-Service (IaaS)), Plattform-Services (Platform-as-a-Service (PaaS)) und Applikationen (Software-as-a-Service (SaaS)) durch Cloud Service Provider (CSP), erh\u00e4lt die Qualifizierung dieser Lieferanten eine signifikant verst\u00e4rkte Bedeutung.<\/p>\n","protected":false},"author":2,"featured_media":15365,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[282],"tags":[487,488,489],"class_list":["post-15364","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-gxp-compliance-csv","tag-iaas","tag-paas","tag-saas"],"yoast_head":"\n