Regulatorischer Background / Wichtige Aspekte aus Sicht der Überwachungsbehörde
- AMG – gilt das AMG auch für meinen Cloudanbieter?
- § 20 AMWHV – Erlaubt die AMWHV Cloud Computing?
- Votum der EFG „V11002“ – Welche Meinung vertreten die Inspektoren?
Definition und Typen von Cloud Computing
- Service-Modelle: Private Cloud, Public Cloud, Community Cloud, Hybrid Cloud
- Infrastructure as a Service (IaaS)
- Platform as a Service (PaaS)
- Software as a Service (SaaS)
- Cloud Computing Szenarien, Referenz-Architekturen und Beispiele
Workshop: Kontrolle von Cloud-Infrastruktur? Was, wie, wie viel, wer?
- Wie sollte eine Cloud-Infrastruktur unter Kontrolle gehalten werden?
- Wie und wie viele Kontrollen sollten/müssen geplant und umgesetzt werden?
- Wer sollte die Konformitätsanforderungen an eine Cloud-Infrastruktur einhalten bzw. kontrollieren?
Cloud Computing: IT-Sicherheit und Datenschutz
- Chancen und Risiken des Cloud Computing
- Beispiele von Zwischenfällen
- Strategische Planung und Vorbereitung
- Sicherheits-Management und Sicherheits-Architektur
- Sicherheits-Zertifizierungen und ihre Aussagekraft
- Physische und logische Sicherheit
- Anforderungen an Cloud Service Provider
- Verpflichtung und Verantwortung des Cloud Kunden
- Vertragsgestaltung, Service-Level-Agreements (SLAs)
Workshop: Findings und Bewertungen beim Einsatz von Cloud Computing
- In dieser Fallstudie werden Beispiele aus Audits und Inspektionen vorgestellt und hinsichtlich ihrer GMP-Kritikalität bewertet.
Inspektionen und Findings
- Verfügbarkeit, Integrität und Vertraulichkeit von Daten
- Werden Cloud Anbieter inspiziert?
- Gibt es einen Stand der Technik für behördliche Inspektionen?
- Inspektionserfahrungen
Compliance-Anforderungen an die Cloud-Infrastrukturen / Agile IT-OT Infrastruktur
- IT-Infrastruktur-Modell vs. Cloud-Modell
- Bestimmung des Compliance-Umfangs
- Identifizierung der Konfigurations-Items
- Entwurf einer Kontrollstrategie
- Festlegung eines konsistenten Vorgehens trotz/dank der Virtualisierung von IT-Infrastruktur
Einsatz von Cloud Computing im GxP-Umfeld
- Besondere Anforderungen an Cloud Service Provider im GxP-Umfeld
- Besondere Verantwortung des Cloud Kunden im GxP-Umfeld
- Validierungskonzepte für die Cloud
- Beispiele
Datenmanagement & Datenverantwortlichkeiten im Cloud Umfeld
- Verfügbarkeit der Daten und der Applikation; wer ist verantwortlich?
- SLA und Verträge; wer ist verantwortlich?
- Betriebskontinuität und Disaster Recovery; haben Sie Pläne?
- SLA und Verträge; aktives Monitoring und Änderungslenkung
Cloud Computing: Datenschutz
- Cloud Computing im Spannungsfeld zwischen Bundesdatenschutzgesetz, EU-Datenschutz und US-Gesetzgebung
- Wie erreicht man eine Datenschutz-Compliance
Das „Schrems II“-Urteil des EuGH – Konsequenzen für Cloud Aktivitäten
- „Privacy Shield“ Regelung für Cloud Provider in USA ist ungültig
- EU-Standard-Vertragsklauseln sind nicht ausreichend bei Cloud Providern außerhalb der EU
Pro und Contra Cloud Computing
- Gründe für die Nutzung von Cloud Services
- Gründe gegen die Nutzung von Cloud Services
- Empfehlungen