Inhalt
Was wurde geprüft?
Warum gibt es zwei Audits?
Im Rahmen des Audits „Typ-I Angemessenheit“ wird geprüft, ob ein Cloud-Anbieter die jeweiligen Kriterien grundlegend erfüllt. Auf dieser Basis kann in einem weiteren Audit zu einem späteren Zeitpunkt ermittelt werden, ob die Kriterien in der Vergangenheit durchgängig erfüllt waren („Typ-II Wirksamkeit“). Die Audits werden jeweils durch unabhängige Wirtschaftsprüfer durchgeführt.
Mit dem ISAE-3402 -/BSI-C5-Wirksamkeitsbericht (Typ-II), den plusserver im Februar erhielt, ist die Wirksamkeit der Maßnahmen und Kontrollen aus den Angemessenheitsberichten (Typ-I) über einen Zeitraum (1.4. bis 30.9.2022) bestätigt. Diese Wirksamkeitsprüfung wird nun in regelmäßigen Abständen wiederholt.
Was bedeutet das für unsere Kunden?
Bestehende sowie potenzielle Kunden können den C5-Prüfbericht bei plusserver kostenfrei herunterladen oder anfordern. Für Neukunden bietet er eine Orientierung bei der Auswahl des passenden Cloud-Anbieters und beantwortet die zentrale Frage: Sind unsere Daten hier sicher? Schließlich muss ein Cloud-Kunde im Falle eines Informationssicherheitsvorfalls verbleibende Restrisiken tragen und im Eintrittsfall verantworten.
Für bestehende Kunden dient der Wirksamkeitsbericht unter anderem dazu, ein lückenloses Sicherheitskonzept über die komplette Supply Chain hinweg nachzuweisen. Diese Anforderung muss in vielen Unternehmen, die mit kritischen Daten umgehen, im öffentlichen Sektor sowie bei Banken und Versicherungen erfüllt werden. Liefert der Cloud-Provider keinen solchen Bericht, muss der Kunde eigene Audits durchführen.