BSI C5 – Auf welche Details ist besonders zu achten?

1. Welche Services sind im Prüfungsumfang enthalten?
2. Welche Standorte (Region(en)) sind im Prüfungsumfang enthalten?
3. Ist es ein Typ-2-Audit?
4. Welche Abweichungen sind dokumentiert – und sind diese für Sie als Risiko akzeptabel?
5. Falls für Sie als Cloud-Kunden relevant: Wurden auch die folgenden Zusatzkriterien geprüft?
   1. PS-01: autarker Betrieb beim Eintritt außergewöhnlicher Ereignisse
   2. PS-02: Standorte sind räumlich ausreichend weit voneinander entfernt
   3. PS-03: Sicherheitspersonal, Videoüberwachung und Einbruchmeldeanlagen
   4. PS-06: Telekommunikationsnetz ist mit ausreichender Redundanz ausgelegt
   5. OPS-04: Maßnahmen zur sicheren Konfiguration und Überwachung der Konsole
   6. OPS-05: Konfiguration der Schutzmechanismen wird automatisch überwacht
   7. OPS-11: Entfernung personenbezogener Daten aus Protokollen
   8. OPS-22: Sicherheitspatches mit CVSS = 9.0 – 10.0 werden in 3 Stunden eingespielt
   9. IDM-07: Zugriffe auf die im Cloud-Dienst verarbeiteten, gespeicherten oder übertragenen Daten bedürfen der vorherigen Zustimmung des Cloud-Kunden
   10. BCM-04: Zusätzlich zu den BCM-Tests werden auch Übungen durchgeführt
   11. PSS-02: Code Reviews und Penetration-Tests durch qualifizierte Dritte
   12. PSS-11: Erkennung und Meldung von Manipulationen an Images

(Auszug aus dem BSI C5-Kontrollkatalog)

(Auszug aus Warum ein C5-Testat kein Freifahrtschein ist – und worauf Sie achten sollten | AWS Germany – Amazon Web Services in Deutschland)