Im C5-Katalog "Cloud Computing Compliance Criteria Catalogue" (C5:2020) ergänzt das BSI grundlegende Sicherheitsanforderungen für Cloud Computing durch Unternehmen und Organisationen. Mit fuentis ISMS lassen sich sämtliche C5-Anforderungen darstellen, überwachen und nachweisen.
Welche Mindestanforderungen stellt der C5-Katalog?
Der C5 vereint nunmehr etablierte Mindestanforderungen und konkrete Zielsetzungen für Bereiche wie Datenschutz und Compliance sowie gängige Richtlinien und Prüfschemata zur Umsetzung nationaler und internationaler Standards in der Informationssicherheit, zum Beispiel
- die Standards ISO/IEC 27001 und ISO/IEC 27017
- die Richtlinien der CSA Cloud Controls Matrix 3.01
- die BSI IT-Grundschutz-Kataloge und
- die BSI Sicherheitsprofile für Software-as-a-Service (SaaS).
Anforderungsbereiche im C5-Katalog
Der Anforderungskatalog C5 formuliert allgemeine Grundsätze, Verfahren und Maßnahmen zur Erreichung der Zielsetzungen für ein sicheres Cloud Computing. Er adressiert in erster Linie professionelle Anbieter von Cloud-Diensten, dient aber auch Wirtschaftsprüfungsgesellschaften sowie Nutzern von Cloud-Anwendungen.
- Organisation der Informationssicherheit
- Sicherheitsrichtlinien und Arbeitsanweisungen
- Personal
- Asset Management
- Physische Sicherheit
- Regelbetrieb
- Identitäts- und Berechtigungsmanagement
- Kryptographie und Schlüsselmanagement
- Kommunikationssicherheit
- Portabilität und Interoperabilität
- Beschaffung, Entwicklung und Änderung von Informationssystemen
- Steuerung und Überwachung von Dienstleistern und Lieferanten
- Security Incident Management
- Sicherstellung des Geschäftsbetriebes und Notfallmanagement
- Sicherheitsprüfung und Sicherheitsnachweis
- Compliance und Datenschutz
- Mobile Device Management
Der C5-Katalog ist ein erweiterter Kriterienkatalog, basierend auf dem allgemein anerkannten Anforderungskatalog Cloud Computing des BSI. Bereits definierte Sicherheitskriterien wurden zum Teil grundlegend überarbeitet, um den weiter entwickelten Stand der Technik zu berücksichtigen.
