Esquema Nacional de Seguridad (ENS) Spaniens – SicherheitsmaßnahmenSpain Esquema Nacional de Seguridad (ENS) High-Level Security Measures

Übersicht über das ENS SpanienSpain ENS overview

2007 verabschiedete die spanische Regierung das Gesetz 11/2007, das eine Rechtsrahmen schuf, um Bürgern elektronischen Zugriff auf Systeme der Regierung und der öffentlichen Verwaltung bereitzustellen.In 2007, the Spanish government enacted Law 11/2007, which established a legal framework to give citizens electronic access to government and public services. Dieses Gesetz ist die Basis für das Esquema Nacional de Seguridad (National Security Framework), das dem Royal Decree (RD) 3/2010 unterliegt.This law is the basis for Esquema Nacional de Seguridad (National Security Framework), which is governed by Royal Decree (RD) 3/2010. Das Ziel des Rahmens ist der Aufbau von Vertrauen im Hinblick auf die Bereitstellung von elektronischen Diensten und sowie die Sicherstellung von Zugriff, Integrität, Verfügbarkeit, Authentizität, Vertraulichkeit, Nachverfolgbarkeit und Datenaufbewahrung, Informationen und Dienste.The goal of the framework is to build trust in the provision of electronic services, and ensure the access, integrity, availability, authenticity, confidentiality, traceability, and preservation of data, information, and services.

Der Rahmen gilt für alle öffentlichen Organisationen und Regierungsstellen in Spanien, die Cloud Services in Anspruch nehmen sowie für Anbieter von Informations- und Kommunikationstechnologien (ICT).The framework applies to all public organizations and government agencies in Spain that purchase cloud services, as well as to providers of information and communications technologies (ICT). Der Rahmen leitet diese Stellen und Unternehmen bei der Implementierung effektiver Kontrollen für die Sicherheit in der Cloud und lokal an, und zwar unter Wahrung der Compliance mit spanischen und europäischen Sicherheits- und Datenschutzstandards.It guides these agencies and companies in implementing effective controls for security in the cloud and on premises, in compliance with Spanish and EU security and privacy standards.

Der Rahmen legt Kernrichtlinien und obligatorische Anforderungen fest, die sowohl Regierungsstellen als auch ihre Dienstanbieter erfüllen müssen.The framework establishes core policies and mandatory requirements that both government agencies and their service providers must meet. Er definiert eine Reihe von spezifischen Sicherheitskontrollen, von denen viele direkt auf ISO/IEC 27001 abgestimmt sind, in Bezug auf Verfügbarkeit, Authentizität, Integrität, Vertraulichkeit und Nachverfolgbarkeit.It defines a set of specific security controls — (many of which align directly with ISO/IEC 27001) — relating to availability, authenticity, integrity, confidentiality, and traceability. Die Vertraulichkeit der Daten – niedrig, mittel und hoch – bestimmt die Sicherheitsmaßnahmen, die zu ihrem Schutz ergriffen werden müssen.The sensitivity of the information — low, intermediate, or high — determines the security measures that must be applied to protect it.

Jede Regierungsstelle muss ein Risikomanagementansatz für die Sicherheit verfolgen, wobei sie Risiken identifizieren und bewerten und anschließend entsprechende Sicherheitskontrollen übernehmen.Each government agency is required to adopt a risk-management approach to security, whereby they identify and assess risks, and then apply security controls appropriate to those risks. Dienstanbieter müssen ebenfalls die strengen Anforderungen des Rahmenwerks erfüllen, um sicherzustellen, dass ihre Verfahren, technischen Kapazitäten und Betriebsabläufe sicher sind und den Regierungsstellen ermöglichen, die Bestimmungen zu erfüllen.Service providers, too, must comply with the stringent framework requirements to help ensure that their procedures, technical capacities, and operations are secure and enable agencies to comply with the regulations.

Der Rahmen schreibt einen Akkreditierungsprozess vor, der für Systeme, die Daten mit niedriger Vertraulichkeitsstufe verarbeiten, freiwillig und für Systeme mit Daten mit mittlerer und hoher Vertraulichkeitsstufe obligatorisch ist.The framework prescribes an accreditation process that is voluntary for systems handling information of low sensitivity, but mandatory for systems handling information at an intermediate or high level of sensitivity. Von einem akkreditierten unabhängigen Auditor wird eine Prüfung durchgeführt.An audit is performed by an accredited independent auditor. Der Bericht wird anschließend in einem Zertifizierungsprozess geprüft, bevor die Kontrollen zum Risikomanagement in der letzten Akkreditierungsstufe angenommen werden.The report is then reviewed in a process of certification before risk-management controls are accepted in the final step of accreditation.

Sicherheitsmaßnahmen auf hoher Ebene von Microsoft und SpanienMicrosoft and Spain ENS high-level security measures

Microsoft Azure und Microsoft Office 365 wurden einer strengen Bewertung durch BDO unterzogen, einen unabhängigen Auditor, der ihre Compliance offiziell bestätigte.Microsoft Azure and Microsoft Office 365 have gone through a rigorous assessment by BDO, an independent auditor, which issued an official statement of their compliance. BDO berichtet, dass die Sicherheitsmaßnahmen bei beiden Diensten und deren Informationssysteme und Datenverarbeitungseinrichtungen auf hohem Niveau mit RD 3/2010 übereinstimmen und keine Korrekturmaßnahmen zu ergreifen sind.BDO reports that the security measures in both services, and their information systems and data processing facilities, comply at the high level with RD 3/2010 without requiring any corrective measures. Microsoft war der erste Anbieter hyperskalierter Clouddienste, der diese Zertifizierung in Spanien erhielt.Microsoft was the first hyperscale cloud service provider to receive this certification in Spain.

Microsoft-Clouddienste im LeistungsumfangMicrosoft in-scope cloud services

Prüfungen, Berichte und ZertifikateAudits, reports, and certificates

Die Zertifizierung ist zwei Jahre gültig, wobei eine jährliche Kontrollprüfung durchgeführt wird.The certification is valid for two years, with an annual surveillance audit.

AzureAzure

Office 365Office 365

Häufig gestellte FragenFrequently asked questions

Wie erhalte ich Kopien der Prüfberichte und Zertifizierungen?How can I get copies of the audit reports and certifications?

Das Service Trust Portal stellt die Prüfberichte und Zertifizierungen sowohl in spanischer als auch in englischer Sprache zur Verfügung.The Service Trust Portal provides the audit reports and certifications in both Spanish and English. Anhand der Berichte können Ihre Prüfer die Ergebnisse der Microsoft Cloud Services mit Ihren eigenen gesetzlichen Anforderungen vergleichen.Your auditors can use them to compare Microsoft cloud services results with your own legal and regulatory requirements.

Wo beginne ich mit dem Complianceprozess für meine eigene Organisation?Where do I start with my organization’s own compliance effort?

Wenn Ihre Organisation Azure oder Office 365 verwendet, können Sie die ENS-Prüfberichte und Akkreditierung von Microsoft für Ihren eigenen Akkreditierungsprozess verwenden.If your organization is using Azure or Office 365, you can use ENS Microsoft audit reports and accreditation as part of your own accreditation process. Sie sind jedoch dafür verantwortlich, einen Auditor mit der Bewertung Ihrer Implementierung im Hinblick auf die Compliance zu beauftragen. Außerdem müssen Sie sicherstellen, dass die Kontrollen und Prozesse in Ihrer Organisation dem Rahmenwerk entsprechen.However, you are responsible for engaging an auditor to evaluate your implementation for compliance, and for ensuring that the controls and processes within your own organization align with the framework.

RessourcenResources