Cloud-Computing hat sich in vielen IT-Bereichen vom Trend zum Standard entwickelt, wobei der Begriff selbst für unterschiedliche IT-Dienste und Dienstangebote genutzt wird. Cloud-Computing wird in verschiedenen Servicemodellen angeboten: Infrastructure (IaaS), Platform (PaaS), Software (SaaS), Function (Faas) oder Data as a Service (DaaS).
Mehr Sicherheit mit dem Kriterienkatalog C5
Zur Gewährleistung der Einhaltung eines angemessenen Sicherheitsstandards hat das BSI, aufbauend auf nationalen und internationalen Standards, Mindestanforderungen spezifiziert und im Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue, aktuell C5:2020) in 121 Basiskriterien zusammengefasst.
Ziel ist es, professionellen Cloud-Anbietern und deren Kunden einen verlässlichen, nachvollziehbaren Standard für mehr Sicherheit zu bieten. Mittlerweile wird das Vorliegen eines aktuellen C5-Testats beim Anbieter in bestimmten Bereichen gesetzlich gefordert, wenn regulierte Unternehmen Cloud-Dienste in Anspruch nehmen.
FIDES unterstützt Sie bei der Vorbereitung auf eine C5-Testierung und mit der Durchführung eines C5-Audits, damit ihre Cloud-Dienstleistung den Vorgaben des BSI-Kriterienkatalogs entspricht. Unsere Berater und Auditoren sind auf die Umsetzung und Prüfung in kleinen und mittelständischen Unternehmen spezialisiert.
Ihre Vorteile
- Beratung bei der Umsetzung der Anforderungen aus dem Kriterienkatalog C5 in Ihrem Unternehmen
- Standardisiertes Prüfungsvorgehen durch erfahrene IT-Auditoren einer Wirtschaftsprüfungsgesellschaft
- Transparente Darstellung der Informationssicherheit ihres Cloud-Dienste-Angebots
- Nachweis gegenüber ihren Kunden und Geschäftspartnern
Auditvarianten
Prüfung Typ 1: Angemessenheit und Wirksamkeit zum Prüfungszeitpunkt
Um Ihren Kunden einen objektivierten Nachweis zur Erfüllung der Anforderungen gemäß C5:2020 zu erbringen, prüft FIDES die angemessene Beschreibung und Implementierung von Verfahren und Maßnahmen sowie darin vorgesehenen Kontrollen zum Zeitpunkt der Prüfung.
Prüfung Typ 2: Angemessenheit und zeitraumbezogene Wirksamkeit
Das C5-Audit vom Typ 2 umfasst eine Prüfung der Angemessenheit analog zu Typ 1, ergänzt um eine Prüfung der wirksamen Umsetzung der Anforderungen über einen Zeitraum (i.d.R. ein Jahr).
Delta-Review: Zeitlich getrennte Typ 1 / Typ 2 Prüfung
Nach erfolgter Typ 1 Prüfung durch FIDES besteht die Möglichkeit, eine darauf aufbauende, zeitlich nachgelagerte Prüfung vom Typ 2 durchzuführen. Unter der Voraussetzung, dass sich die Maßnahmen, Verfahren und implementierten Kontrollen aus der Typ 1 Prüfung nicht wesentlich geändert haben, setzt unser so genanntes „Delta Review“ schwerpunktmäßig nur bei der Angemessenheitsbeurteilung der Anpassungen an. Die Prüfung der wirksamen Umsetzung erfolgt dann unverändert zeitraumbezogen.
Ihre Ansprechpartner
Dr. Ralf Kollmann
Prokurist, Senior Manager
Björn Haje
Manager