Martin Hořický
Partner • Digital Services
Ověření bezpečnosti cloudových služeb podle standardu BSI C5
Cloud Computing Compliance Criteria Catalogue (C5) je bezpečnostní rámec vytvořený německým Federálním úřadem pro informační bezpečnost (BSI). Definuje soubor požadavků, podle kterých lze nezávisle ověřit bezpečnost a transparentnost cloudových služeb.
C5 je široce využíván zejména v Německu a organizacemi, které pracují s veřejným sektorem nebo citlivými daty. Standard pomáhá zákazníkům posoudit úroveň zabezpečení cloudových poskytovatelů a zvyšuje důvěru v jejich služby.
Co je C5
C5 (Cloud Computing Compliance Criteria Catalogue) je katalog bezpečnostních požadavků pro cloudové služby publikovaný německým úřadem BSI.
Cílem standardu je vytvořit jednotný rámec pro hodnocení bezpečnosti cloudových služeb a zajistit transparentnost mezi poskytovateli a jejich zákazníky.
C5:
- stanovuje bezpečnostní požadavky pro cloudové služby
- umožňuje nezávislé ověření bezpečnostních kontrol
- poskytuje transparentní report o bezpečnosti služby
Výsledkem je C5 auditní report, který zákazníkům poskytuje přehled o implementovaných bezpečnostních opatřeních.
Pro koho je C5 určen
C5 je relevantní zejména pro organizace, které:
- poskytují cloudové služby (SaaS, PaaS, IaaS)
- působí na německém trhu
- spolupracují s veřejným sektorem v Německu
- zpracovávají citlivá nebo regulovaná data
C5 se stále častěji objevuje také v evropských tendrech a bezpečnostních požadavcích velkých podniků.
Co C5 ověřuje
Katalog C5 obsahuje více než 100 bezpečnostních požadavků rozdělených do několika oblastí řízení bezpečnosti cloudových služeb.
Mezi hlavní oblasti patří například:
Governance a řízení bezpečnosti
- systém řízení bezpečnosti informací (ISMS)
- řízení rizik
- bezpečnostní politika
Ochrana dat
- kryptografie
- ochrana osobních údajů
- správa klíčů
Řízení přístupů
- správa identit
- autentizace
- autorizace
Provoz a monitoring
- logování
- monitoring bezpečnosti
- řízení incidentů
Dostupnost služeb
- business continuity
- disaster recovery
- řízení dostupnosti
Řízení dodavatelů
- bezpečnost dodavatelského řetězce
- outsourcing
Tyto kontroly pomáhají zajistit bezpečný provoz cloudových služeb a ochranu dat zákazníků.
C5 audit a C5 report
C5 audit je nezávislé posouzení bezpečnostních kontrol cloudové služby.
Výsledkem je C5 report, který obsahuje:
- popis cloudové služby
- rozsah auditu
- implementované bezpečnostní kontroly
- hodnocení jejich účinnosti
- případné výjimky nebo rizika
Report poskytuje zákazníkům transparentní informace o bezpečnostním prostředí poskytovatele cloudových služeb.
Jak vám BDO může pomoci
BDO poskytuje služby v oblasti bezpečnosti informací, cloud security a compliance podle mezinárodních i národních standardů.
Naši odborníci vám pomohou:
- připravit organizaci na C5 audit
- provést gap analýzu vůči požadavkům C5
- implementovat bezpečnostní kontroly
- nastavit procesy řízení bezpečnosti
- připravit organizaci na nezávislé ověření
Díky našim zkušenostem v oblasti IT governance, cloud security a regulatorních požadavků pomáháme organizacím splnit požadavky trhu a regulatorních orgánů.
Srovnání standardů C5, SOC 2 a ISO 27001
BDO poskytuje služby v oblasti kybernetické bezpečnosti, IT governance a regulatorní compliance.
Standard | Typ standardu | Zaměření | Typ výstupu |
C5 | národní cloud standard (BSI, Německo) | bezpečnost cloudových služeb | auditní report |
SOC 2 | auditní standard (AICPA, USA) | kontrolní prostředí poskytovatele služeb | SOC report |
ISO 27001 | mezinárodní norma | systém řízení bezpečnosti informací | certifikace |
Proč kombinovat C5 s dalšími standardy
Organizace často implementují více bezpečnostních rámců, aby splnily požadavky různých trhů.
Typická kombinace může zahrnovat například:
- ISO 27001 – základní systém řízení bezpečnosti informací
- SOC 2 – ověření kontrolního prostředí poskytovatele služeb
- C5 – splnění požadavků německého trhu a veřejného sektoru
Tato kombinace umožňuje organizacím prokázat bezpečnost jejich cloudových služeb.
