O.Org_2check

Ist das Hintergrundsystem komplett oder teilweise als Cloud-Lösung realisiert, MUSS der Cloud-Anbieter über den gesamten Nutzungszeitraum für die genutzten Cloud-Dienste aus der genutzten Region über ein C5 Testat vom Typ 2 oder ein vergleichbares Testat oder Zertifikat verfügen. Sofern Abweichungen oder Mängel im Testat oder Zertifikat aufgeführt werden, muss der Anbieter des Hintergrundsystems die daraus entstehenden Risiken analysieren und angemessen auf diese Risiken reagieren.

Der Evaluator prüft, ob der Cloud- Anbieter ein entsprechendes C5 Testat besitzt. Im Falle von Mängeln oder Auffälligkeiten, die durch das Testat identifiziert wurden, prüft der Evaluator, ob diese die Hintergrundsysteme betreffen. Auffälligkeiten und Mängel die das Hintergrundsystem betreffen sind in der Risikoanalyse zu berücksichtigen. Verfügt der Anbieter über ein zu C5 vergleichbares Testat oder Zertifikat gilt das Vorgehen analog. Ob ein Testat oder Zertifikat als vergleichbar zu C5 gilt, kann beim BSI angefragt werden.