Rollen und Verantwortlichkeiten beim Einsatz von Cloud Produkten

Lieferanten:

Rolle: Externer Partner und Erbringer von Cloud Dienstleistungen und Cloud Produkten. Die dafür notwendigen IT Ressourcen befinden sich ausserhalb der ETH Zürich und können von der ETH in der Regel nicht direkt verwaltet werden. 

Verantwortlichkeiten: Offenlegung der (sicherheits-) technischen und rechtlichen Rahmenbedingungen, die für die angebotenen Dienstleistungen gelten. Einhalten von mit der ETH abgeschlossenen Verträge/Abmachungen, z.B. bzgl. Informationssicherheit und Business Continuity.

Service Vermittelnde:

Rolle: «Service-​Vermittelnde» beziehen externe IT-​Dienstleistungen wie Cloud-​Dienste und verantworten im Wesentlichen das Vertragsmanagement mit dem Cloud-​Anbieter. Typischerweise sind Service-​Vermittelnde die zentralen Informatikdienste, die Informatik-​Support-Gruppen, aber auch Professorinnen und Professoren, die für die Mitglieder ihrer Gruppe oder für das benachbarte Institut einen spezifischen Cloud-​Dienst zur Verfügung stellen möchten, oder aber auch Departementsvorsteherinnen und -​vorsteher bzw. -​koordinatoren sowie Abteilungs-​ oder Stabsleitende etc.

Verantwortlichkeiten: Der/die Service-​Vermittelnde überprüft im Zuge des Vertragsmanagements den vom externen Cloud-​Dienst gebotenen Schutz für die auszulagernden Daten der ETH. Aufgrund dieser Prüfung gibt er/sie den externen Cloud-​Dienst für den vorgesehenen Einsatzzweck für ETH-​Angehörige frei, d.h. publiziert via Informatikdienste (CSC) die Nutzungsbedingungen der Cloud-Dienstleistung, wie beispielsweise die Freigabe oder das Verbot der Bearbeitung vertraulicher Informationen mit dem externen Cloud-Dienst.

Informationseignerinnen und -eigner:

Rolle: Die zweite wichtige Rolle ist jene der «Informationseignerinnen und -​eigner». Sie sind verantwortlich für die Daten, welche in ihrem Namen erhoben und bearbeitet werden und entscheiden im Wesentlichen, ob sie ihre Daten in externe Cloud-​Dienste auslagern wollen oder nicht (Nota bene: Der Entscheid zur Auslagerung von Daten der ETH Zürich obliegt nicht den Service-​Vermittelnden. Diese stellen lediglich einen externen Cloud-​Dienst zur Verfügung und geben diesen Cloud-​Dienst für einen spezifischen Einsatzzweck frei.)

Verantwortlichkeiten: Informationseignerinnen und -​eigner müssen vor allem in der Lage sein, einzuschätzen, ob ein innerhalb der ETH freigegebener Cloud-​Dienst den Schutzanforderungen ihrer Daten gerecht wird. Sie sollen also das Risiko einschätzen, welches sie durch die Auslagerung ihrer Daten in den vorgesehenen Cloud-​Dienst eingehen. Abhängig von den auszulagernden Daten prüfen sie in diesem Zuge auch, ob ihre Daten eventuell der Exportkontrolle unterstehen oder aber ob eine Datenschutz-​Folgeabschätzung notwendig wird, bevor die Daten in den externen Cloud-​Dienst ausgelagert werden.

Nutzende:

Rolle: Benutzer sind alle Angehörigen der ETH Zürich und Dritte, die zur Nutzung von IKT-Mitteln der ETH Zürich berechtigt sind (z.B. Gäste, Kongressteilnehmer, angeschlossene Organisationen, Bibliothekskunden an den öffentlichen Arbeitsplätzen, Mitarbeitende von Spin-off Unternehmen der ETH Zürich oder anderen Unternehmen, sofern eine entsprechende vertragliche Vereinbarung vorliegt, emeritierte Professoren und pensionierte Mitarbeitende). Sie bearbeiten die Daten im Auftrag der Informationseignerinnen und Informationseignern.

Verantwortlichkeiten: Die Nutzung externer IKT-Mittel zur Unterstützung im Tagesgeschäft (z.B. Applikationen wie Online-Übersetzungsdienste und andere), die nicht von der ETH Zürich verwaltet werden, liegt in der Verantwortung des/der Benutzenden. Vertrauliche Daten, streng vertrauliche Daten oder Personendaten dürfen mit solchen Diensten nicht bearbeitet werden. Externe Cloud-Dienste, die durch die ETH verwaltet werden, können von den Nutzenden unter Umständen auch für interne und ggf. vertrauliche Daten genutzt werden, allerdings nur, wenn diese Dienste von den entsprechenden Service-Vermittelnden für solche Daten freigegeben wurden, und sofern der/die für die Nutzenden zuständige InformationseignerIn eine solche Nutzung erlaubt. Im Zweifelsfall ist die Informationseignerin bzw. der Informationseigner zu kontaktieren.

Nutzerapplikationen den verschiedenen Cloud Stores von Apple, Google, Microsoft, usw.

Hier finden Sie die an der ETH geltenden Regeln für die Nutzung externer Cloud-Dienste:

Bei weiteren Fragen steht Ihnen das Cloud Service Center, in Zusammenarbeit mit dem CISO gerne zur Verfügung. 

Aufnahme von Cloud Produkten ins Portfolio der ETH Zürich



  • No labels