BSI C5

Cloud-Dienste-Betreiber haben die Möglichkeit, ihr IT-Sicherheitsniveau zu verbessern, indem sie die Vorgaben des BSI C5 implementieren. Die Konformität mit dem darin enthaltenen Regelwerk nach festgelegten Standards kann durch einen Wirtschaftsprüfer verifiziert und gegenüber etwaigen Kunden des Cloud-Anbieters nachgewiesen werden.

Dabei kann der Kriterienkatalog des BSI C5 in Verbindung mit dem ISAE 3000 durch Wirtschaftsprüfer als Prüfkriterium für Cloud-Anbieter herangezogen werden. Eine Prüfung der Kriterien des BSI C5 nach ISAE 3000 würde im Detail darauf abzielen, festzustellen, ob der Cloud-Anbieter, die im BSI C5 definierten Sicherheitsmaßnahmen und Prozesse implementiert hat und diese wirksam sind.

Beim ISAE 3000 handelt es sich um einen international anerkannten Standard, wodurch ein Vergleich der Ergebnisse von Prüfungen, die in verschiedenen Ländern und von unterschiedlichen Dienstleistern durchgeführt wurden, möglich ist. Der ISAE 3000 stellt sicher, dass Prüfungen nach einheitlichen Methoden durchgeführt werden, was wiederum die Qualität und Glaubwürdigkeit der Prüfungsergebnisse erhöht. Kunden, welche darauf angewiesen sind, dass Cloud-Anbieter BSI C5 konform sind, können sich auf die nach ISAE 3000 durchgeführte Prüfung verlassen, was zur Schaffung von Vertrauen in die Dienstleistungen des Anbieters beiträgt. Zudem können Unternehmen die Ergebnisse der nach ISAE 3000 durchgeführten BSI C5 Prüfung für die hauseigenen Risikomanagement- und Governance-Prozesse nutzen, um sicherzustellen, dass die Zusammenarbeit mit dem Cloud-Anbieter den notwendigen Anforderungen an die Informationssicherheit entspricht.

Die Verwendung von BSI:C5 in Verbindung mit Prüfungen nach ISAE 3000 ermöglicht es Cloud-Anbietern, auf strukturierte und transparente Weise zu demonstrieren, dass die zugrundeliegenden Kriterien des BSI C5 zur Gewährleistung von Informationssicherheit eingehalten werden.