Audits zur Überprüfung der Informationssicherheit schaffen Transparenz und Sicherheit für Kunden und Partner; Zertifizierungen wie „SOC 2 Typ 2“ (System and Organization Controls 2) des AICPA (American Institute of Certified Public Accountants) und die Konformität zum „Cloud Computing Compliance Criteria Catalog (C5)“ des BSI (Bundesamt für Sicherheit in der Informationstechnik) sind mittlerweile eine Anforderung in vielen Ausschreibungen und werden auch im Rahmen von Lieferantenaudits überprüft. Insbesondere für Unternehmen, die Cloud-Dienste anbieten, werden solche unabhängigen Bewertungen immer wichtiger.
Kisters nach SOC 2 Typ 2 und BSI C5 Typ 2 zertifiziert
Der Aachener IT-Anbieter für die Energie- und Wasserwirtschaft Kisters hat im Oktober 2024 in einem kombinierten Audit erfolgreich die Einhaltung der Prüfkriterien SOC 2 Typ 2 und BSI C5 Typ 2 für seine Kisters-Cloud-Services nachgewiesen. Der Zusatz „Typ 2“ bedeutet, dass das Unternehmen die Kriterien nicht nur zu einem bestimmten Zeitpunkt erfüllt hat (Typ 1), sondern dass es die implementierten Maßnahmen für Informationssicherheit und Datenschutz ein gesamtes Jahr lang konsequent umgesetzt hat und dies entsprechend belegen konnte. „Die unabhängige Testierung der Kriterienkataloge nach SOC 2 und C5 ergänzt unsere bereits seit 2017 bestehende Zertifizierung nach der internationalen Norm ISO 27001 und stellt einen weiteren wichtigen Schritt in der kontinuierlichen Verbesserung unserer Informationssicherheit dar“, erklärt Dr. Heinz-Josef Schlebusch, Ciso der Kisters Gruppe. „Die neuen Typ-2-Testate bestätigen die Effektivität unserer Maßnahmen.“
Strenge Kriterien erfüllt
Das SOC-2-Testat weist nach, dass die Kisters-Cloud-Services den Anforderungen der fünf Trust Services Criteria (TSC) Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz entsprechen. Das bedeutet unter anderem, dass umfangreiche und angemessene Maßnahmen getroffen wurden, um die Datensicherheit zu kontrollieren, um Kundendaten vor unberechtigtem Zugriff zu schützen, um Anomalien und Sicherheitsereignisse erkennen und um die Verfügbarkeit der IT-Systeme im geforderten Maß sicherstellen zu können. Die Erfüllung der Mindestanforderungen des BSI für Cloud-Dienstleister (C5) belegt, dass operative Abläufe geprüft und überwacht werden, dass angemessene Sicherheitsvorkehrungen für die IT-Infrastruktur vorhanden sind und Kundendaten zuverlässig verfügbar und nutzbar sind.
Weitere Informationen unter www.kisters.de/