C5-Testat und -Beratung

Cloud-Computing hat sich in vielen IT-Bereichen vom Trend zum Standard entwickelt, wobei der Begriff selbst für unterschiedliche IT-Dienste und Dienstangebote genutzt wird. Cloud-Computing wird in verschiedenen Servicemodellen angeboten: Infrastructure (IaaS), Platform (PaaS), Software (SaaS), Function (Faas) oder Data as a Service (DaaS).

Mehr Sicherheit mit dem Kriterienkatalog C5

Zur Gewährleistung der Einhaltung eines angemessenen Sicherheitsstandards hat das BSI, aufbauend auf nationalen und internationalen Standards, Mindestanforderungen spezifiziert und im Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue, aktuell C5:2020) in 121 Basiskriterien zusammengefasst.

Ziel ist es, professionellen Cloud-Anbietern und deren Kunden einen verlässlichen, nachvollziehbaren Standard für mehr Sicherheit zu bieten. Mittlerweile wird das Vorliegen eines aktuellen C5-Testats beim Anbieter in bestimmten Bereichen gesetzlich gefordert, wenn regulierte Unternehmen Cloud-Dienste in Anspruch nehmen.

FIDES unterstützt Sie bei der Vorbereitung auf eine C5-Testierung und mit der Durchführung eines C5-Audits, damit ihre Cloud-Dienstleistung den Vorgaben des BSI-Kriterienkatalogs entspricht. Unsere Berater und Auditoren sind auf die Umsetzung und Prüfung in kleinen und mittelständischen Unternehmen spezialisiert. 

Ihre Vorteile

  • Beratung bei der Umsetzung der Anforderungen aus dem Kriterienkatalog C5 in Ihrem Unternehmen
  • Standardisiertes Prüfungsvorgehen durch erfahrene IT-Auditoren einer Wirtschaftsprüfungsgesellschaft
  • Transparente Darstellung der Informationssicherheit ihres Cloud-Dienste-Angebots
  • Nachweis gegenüber ihren Kunden und Geschäftspartnern

Auditvarianten

Um Ihren Kunden einen objektivierten Nachweis zur Erfüllung der Anforderungen gemäß C5:2020 zu erbringen, prüft FIDES die angemessene Beschreibung und Implementierung von Verfahren und Maßnahmen sowie darin vorgesehenen Kontrollen zum Zeitpunkt der Prüfung.

Das C5-Audit vom Typ 2 umfasst eine Prüfung der Angemessenheit analog zu Typ 1, ergänzt um eine Prüfung der wirksamen Umsetzung der Anforderungen über einen Zeitraum (i.d.R. ein Jahr).

Nach erfolgter Typ 1 Prüfung durch FIDES besteht die Möglichkeit, eine darauf aufbauende, zeitlich nachgelagerte Prüfung vom Typ 2 durchzuführen. Unter der Voraussetzung, dass sich die Maßnahmen, Verfahren und implementierten Kontrollen aus der Typ 1 Prüfung nicht wesentlich geändert haben, setzt unser so genanntes „Delta Review“ schwerpunktmäßig nur bei der Angemessenheitsbeurteilung der Anpassungen an. Die Prüfung der wirksamen Umsetzung erfolgt dann unverändert zeitraumbezogen.

Ihre Ansprechpartner

Dr. Ralf Kollmann

Prokurist, Senior Manager

Gerd Malert

Certified Information Systems

Auditor (CISA)

Björn Haje

Manager

Die Leistungsbeschreibung als Download