在云端处理社交和健康数据：由于 C5 认证而增加的工作量？

fabiha01

自 2024 年 7 月 1 日起，社会法典第五卷第 393 条“医疗保健中的云使用；授权发布法规”生效。在这里，立法者描述了有关处理社会和健康数据的云计算服务的 IT 安全要求。例如例如，这可能会影响那些客户是医生、医院、治疗师、药房或健康和护理保险基金或代表他们处理社会和健康数据的服务提供商的云提供商。

因此，除其他事项外，还需要数据处理机构颁发的当前 C5 证书（SGB V 第 393 条，第 3 款第 2 项）以及针对客户实施的相应标准，这些都包含在证书的审计报告中（SGB V 第 393 条，第 3 款第 3 项）。

两种不同类型的证书之间存在区别。 C5 类型 1 认证确保 BSI 的 C5 基本标准的所有要求都是适当的，而 C5 类型 2 认证还涵盖有效性。前者仅有效至 2025 年 6 月 30 日，之后通常需要 C5 2 型证书（SGB V 第 393 条第 4 款）。
获取C5证书

云提供商的 C5 证明是由具有适当资格的审计员针对预先指定的区域内的一个或多个云计算服务颁发的。 BSI 的另一项要求是，审计师在审计和报告时必须遵守 ISAE 3000（修订版）“除审计或历史财务信息审阅之外的鉴证业务”标准（参见 BSI常见问题解答 C5）。

在评估C5基本准则所有要求是否适当或适当有效时，考虑最长十二个月的追溯期。虽然C5没有固定的有效期，但建议每年至少检查一次。这确保了云提供商能够持续解决其服务风险并采取适当措施保证信息安全，从而符合客户的利益（参见 BSI常见问题解答 C5）。
C5 要求与现有 ISMS 的比较

如果已经实施了符合 ISO/IEC 27001 或 BSI IT-Grundschutz 的 ISMS，这并不意味着云提供商将自动获得 C5 证书。获得 C5 证书的标准基于通用标准，例如：ISO/IEC 27001 的信息安全管理体系 (ISMS) 要求、ISO/IEC 27002 的信息安全措施指南或 ISO/IEC 27017 基于 ISO/IEC 27002 的云服务信息安全措施应用指南。然而，意大利商业传真列表 应该强调的是，必须提供的 C5 证据并不相同，即使 C5 也需要管理系统（参见 BSI常见问题解答 C5）。
获得 C5 证书还必须满足哪些额外要求？

BSI网站包含云计算的当前要求和两个交叉参考表，将 C5:2020 的标准与各种信息安全国际标准进行比较。通过此，云提供商可以确定 C5 标准与其已经实施的标准之间是否存在实质性的相似之处。如果是的话，根据他的风险分析，他可以检查他是否已经达到了相当或更高的安全级别，以及哪些方面需要采取进一步的行动。
结论

结合 BSI 创建的交叉引用表对 C5 标准目录进行审查表明，BSI 仅在少数地方发现了与所参考的国际标准相当或更高的安全级别。 C5 中的许多标准也没有反映在所引用的国际标准中。

因此，对于云提供商来说，实施 C5 标准实际上意味着要做更多的额外工作，而不是简单地实施例如根据 ISO/IEC 27001 实施 ISMS。这并不意味着根据 ISO/IEC 27001 实施要求和认证没有用，因为 ISO/IEC 270001 的所有要点都包含在 C5 中。

然而，应该关注的不仅仅是额外支出的问题，还有风险评估。社会数据，尤其是健康数据非常敏感，需要相应高级别的保护。例如，几家英国医院在其一家实验室服务提供商遭受勒索软件攻击后不得不取消一些手术和操作。在最坏的情况下，这可能会对生命和肢体的完整性造成严重后果，意味着患者安全和治疗效果等行业特定的保护目标无法再维持。

通过修订《社会法典》第五卷第 393 条，立法者旨在通过数字解决方案简化医疗保健系统的日常治疗，同时确保信息安全的目标。