Bundesamt für Sicherheit in der Informationstechnik

C5 und IT-Revision

Zielgruppen

Das Thema "C5 und IT-Revision" richtet sich in erster Linie an Auditoren und IT-Revisoren, die Cloud-Services im Sinne eines First- oder Second-Party-Audits prüfen.

Rolle: Cloud-Auditor (primär), Cloud-Anbieter (sekundär)
Zielgruppe: Professionals (primär), Management (sekundär)

Inhalt

Die Fachgruppe "Cloud Computing" der ISACA Germany Chapter hat in Kooperation mit dem BSI den Leitfaden "Anwendung des BSI C5 durch Interne Revision und Informationssicherheit" erstellt. Die kompakte Publikation bietet einen Überblick, wie der C5 in der Internen Revision und in der Informationssicherheit im Bereich der IT-Governance genutzt werden kann.

Der C5 umfasst Anforderungen an die Sicherheit, an die Transparenz (Umfeldparameter) und an die Prüfung. Bei einer internen Revision oder einem Second-Party-Audit (der Cloud-Kunde prüft den Cloud-Anbieter) werden die Sicherheitsanforderungen des C5 genutzt. Die spezifischen C5-Anforderungen an die Prüfung selbst (z. B. vorgeschriebene Prüfstandards) können hierbei vernachlässigt werden. Hat der Cloud-Anbieter ein C5-Testat, so steht dem Auditor schon eine umfangreiche Prüfungsdokumentation zur Verfügung, die bereits einer standardisierten Prüfung unterworfen wurde. Hier können dem Auditor die Informationen zu den Umfeldparametern, wie Systembeschreibung oder Unterauftragnehmer, sehr hilfreich sein. Aber auch wenn der Cloud-Anbieter keinen C5-Report vorweisen kann, kann der Prüfkatalog des C5 genutzt werden, um die Eckpunkte für eine Prüfung mit dem Cloud-Anbieter festzulegen. Als inzwischen bekannter und anerkannter Standard bietet der C5 hierfür beste Voraussetzungen.

Doch auch für die Steuerung der IT (Governance, Risk & Compliance) im eigenen Unternehmen kann der C5 im Informationssicherheitsmanagement verwendet werden. Im Lebenszyklusmodell eines Cloud-Services, kann er in allen Phasen (Strategie, Design, Transition, Betrieb & Transformation) eingesetzt werden.

Der C5 erweist sich dank Neutralität, Umfang, Kompaktheit und Prüfbarkeit der C5-Anforderungen als stabile Grundlage für die Interne Revision und das Informationssicherheitsmanagement. Dies ist die Ansicht des BSI und des ISACA Germany Chapter.

Download

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK