Die Fachgruppe "Cloud Computing" der ISACA Germany Chapter hat in Kooperation mit dem BSI den Leitfaden "Anwendung des BSI C5 durch Interne Revision und Informationssicherheit" erstellt. Die kompakte Publikation bietet einen Überblick, wie der C5 in der Internen Revision und in der Informationssicherheit im Bereich der IT-Governance genutzt werden kann.

Der C5 umfasst Kriterien an die Sicherheit, an die Transparenz und an die Prüfung. Bei einer internen Revision oder einem Second-Party-Audit (der Cloud-Kunde prüft den Cloud-Anbieter) werden die Sicherheitskriterien des C5 genutzt. Die spezifischen C5-Kriterien an die Prüfung selbst (z. B. vorgeschriebene Prüfstandards) können hierbei vernachlässigt werden. Hat der Cloud-Anbieter ein C5-Testat, so steht dem Auditor schon eine umfangreiche Prüfungsdokumentation zur Verfügung, die bereits einer standardisierten Prüfung unterworfen wurde. Hier können dem Auditor die Informationen zur Systembeschreibung oder Unterauftragnehmern, hilfreich sein. Aber auch wenn der Cloud-Anbieter keinen C5-Report vorweisen kann, kann der Prüfkatalog des C5 genutzt werden, um die Eckpunkte für eine Prüfung mit dem Cloud-Anbieter festzulegen. Als inzwischen bekannter und anerkannter Kriterienkatalog bietet der C5 hierfür beste Voraussetzungen.

Doch auch für die Steuerung der IT (Governance, Risk & Compliance) im eigenen Unternehmen kann der C5 im Informationssicherheitsmanagement verwendet werden. Im Lebenszyklusmodell eines Cloud-Services, kann er in allen Phasen (Strategie, Design, Transition, Betrieb & Transformation) eingesetzt werden.

Der C5 erweist sich dank Neutralität, Umfang, Kompaktheit und Prüfbarkeit der C5-Anforderungen als stabile Grundlage für die Interne Revision und das Informationssicherheitsmanagement. Dies ist die Ansicht des BSI und des ISACA Germany Chapter.

Der Leitfaden wurde auf Basis des C5:2016 erstellt.

Download

• Leitfaden "Anwendung des BSI C5 durch Interne Revision und Informationssicherheit"