C5-Testat

PrintMailRate-it
Banner Softwaretestat: IDW PS 880 in der Gesundheits- und Sozialwirtschaft​ ​
Cloud-Computing hat in den letzten Jahren kontinuierlich an Bedeutung gewonnen. Unternehmen verlagern zunehmend Anwendungen und IT-Umgebungen in öffentliche, private oder hybride Cloud-Umgebungen.

Keine Auslagerung ohne C5-Testat!

Für Krankenhäuser war der Weg aufgrund der Sensibilität der verarbeiteten Daten bisher sehr riskant. § 393 SGB V definiert nun die Anforderungen, nach denen eine Auslagerung der Datenverarbeitung in die Cloud möglich ist.

Unter anderem benötigt der Anbieter eine aktuelle Zertifizierung nach dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten C5-Standard. Der "BSI Cloud Computing Compliance Criteria Catalogue" (kurz: BSI C5) ist ein Kriterienkatalog, der Mindestanforderungen an die Informationssicherheit für Cloud-Dienste spezifiziert.

Er richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden. Das Ziel des BSI C5 ist es, die transparente Darstellung der Informationssicherheit eines Cloud-Dienstes auf Basis einer standardisierten Prüfung zu ermöglichen. Durch die Anwendung des C5-Katalogs können Cloud-Kunden eine wichtige Orientierung für die Auswahl eines Anbieters erhalten und ein kundeneigenes Risikomanagement durchführen.​

Welche Arten von Prüfungen gibt es?​

Die Prüfung kann durch Wirtschaftsprüfungsgesellschaften durchgeführt werden. Im Fokus der Prüfung steht nicht nur die Infrastruktur in der Cloud sondern auch die Anwendungsebene der Cloud-Dienste.
 
Der C5-Standard des BSI umfasst dabei eine Reihe von Kontrollen und Anforderungen, die Unternehmen erfüllen müssen, um Sicherheit, Datenschutz und Compliance in Cloud-Umgebungen zu gewährleisten. Der Standard enthält u.a. Richtlinien zu Themen wie Datenverschlüsselung, Zugriffskontrolle, Notfallmanagement und Compliance-Monitoring.
 
Die Cloud-Anbieter erhalten im Nachgang ein Zertifikat, welches sie den Kunden zur Verfügung stellen können. Dabei werden zwei Varianten unterschieden:
  • ​C5-Typ-1 (Angemessenheitsprüfung) und 
  • C5-Typ-2 (Angemessenheitsprüfung mit Wirksamkeitsbetrachtung).
 
Typ-1 ist in der Regel der erste Schritt, da zunächst nur die Angemessenheit geprüft wird. Im Anschluss daran erfolgt eine zeitraumbezogene Wirksamkeitsprüfung. Das Zertifikat ist jährlich zu erneuern, damit sich die Kunden von der Einhaltung der Anforderungen überzeugen können, zu denen sie gesetzlich verpflichtet sind.
 
Darüber hinaus sind darin in der Regel korrespondierende Kriterien für Kunden enthalten, die auf Kundenseite umzusetzen sind. Nur wenn dies erfolgt ist, kann die Auslagerung als sicher gewertet werden.
 

WIR UNTERSTÜTZEN SIE GERNE!

Sollten Sie Fragen zur Umsetzung der Anforderungen des C5-Katalogs oder zur C5-Zertifizierung haben, stehen wir Ihnen sehr gerne zur Verfügung.​


Unverbindliche Anfrage senden

 

 

button-leistungen-assurante-it.png  






Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

Contact Person Picture

Jonas Buckel

B.A. Wirtschaftsinformatik, Zert. ITSiBe / CISO, IT-Auditor IDW

Manager

+49 911 9193 3627

Anfrage senden

Contact Person Picture

Matthias Edler

Bachelor of Science (Informatik), zertifizierter Informationssicherheitsbeauftragter

Manager

+49 030 8107 9570 50

Anfrage senden

Deutschland Weltweit Search Menu