Gemäß der Norm ISO 27001 weist die VMware Cloud Services-Verwaltung einen strategischen Geschäftsplan auf, der die Identifizierung von Risiken und die Implementierung von Kontrollen für die Risikoverringerung oder das Risikomanagement umfasst. Risikobewertungen werden jährlich durchgeführt, um sicherzustellen, dass die entsprechenden Kontrollen vorhanden sind, um die Risiken im Zusammenhang mit der Vertraulichkeit, Integrität und Verfügbarkeit vertraulicher Informationen zu verringern.

Die VMware Cloud Services-Verwaltung wertet den strategischen Unternehmensplan halbjährlich neu aus. Diese Auswertung unterstützt das Management bei der Identifizierung von Risiken innerhalb seines Verantwortungsbereichs und implementiert geeignete Maßnahmen zur Verringerung der Risiken.

Die Teams für Informationssicherheit und Konformität stellen gemeinsam mit dem Management sicher, dass die Sicherheitsrichtlinien konform sind.

Verhaltensrichtlinien von VMware für Geschäftsaktivitäten und Schulungen des Sicherheitsbewusstseins sind für neue Mitarbeiter obligatorisch. Die vorhandenen Mitarbeiter schließen diese Schulung jährlich ab.

VMware stellt Mitarbeitern Sicherheitsrichtlinien und eine Sicherheitsschulung bereit, um sie bezüglich ihrer Rollen und Verantwortungsbereiche in der Informationssicherheit weiterzubilden. VMware ergreift geeignete Disziplinarmaßnahmen für Mitarbeiter, die gegen VMware-Standards oder -Protokolle verstoßen.

Die anwendbaren Sicherheitsvorschriften werden den Lieferantenvereinbarungen hinzugefügt, um sicherzustellen, dass die Anbieter vertraglich dazu verpflichtet sind, die anwendbaren Sicherheitsvorschriften einzuhalten.

Mit dem Prüfungs- und Bewertungsprogramm von VMware wird sichergestellt, dass die Prüfer von Drittanbietern die Richtlinien gemäß den Branchenstandards überprüfen, einschließlich ISO 27001. VMware stellt Prüfberichte unter einer Geheimhaltungsvereinbarung (NDA) bereit.

VMware verfügt über dokumentierte Sicherheits-Baselines zur Anleitung der Mitarbeiter bezüglich der geeigneten Konfigurationen zum Schutz vertraulicher Informationen. Baseline-Konfigurationen für sämtliche in der Produktionsumgebung installierte Software und Hardware werden auch dokumentiert und regelmäßig aktualisiert. Eine definierte Change Management-Richtlinie regelt alle Änderungen an diesen Konfigurationen. Baseline-Konfigurationen werden sicher aufgezeichnet. VMware benachrichtigt Kunden, wenn Änderungen am Dienst vorgenommen werden.