云计算合规性标准目录

C5（云计算合规性标准目录）是德国的“云计算 IT 安全性”标准。C5 控制集由 BSI 设计并于 2016 年月首次发布。在德国客户将其复杂且受到监管的工作负载移动到云计算服务提供商（例如 AWS）时，它可以提供额外的保证。

现行的 C5 于 2020 年发布，涵盖以下标准及出版物的要求：

• ISO/IEC 27001:2013 – 信息安全管理体系 – 要求
• ISO/IEC 27002:2016 – IT 安全程序 – 信息安全措施指南
• ISO/IEC 27017:2015 – 安全技术 – 基于 ISO/IEC 27002 的云服务信息安全控制行为准则
• BSI – IT-Grundschutz-Kompendium，2019 年第 2 版
• CSA – 云控制矩阵 3.0.1（CSA – 云安全联盟）
• 2017 年 AICPA 信托服务原则和标准（AICPA – 美国注册会计师协会）
• ANSSI（Agence nationale de la sécurité des systèmes d’information，法国国家网络安全局）– 云计算服务提供商3.1 版（SecNumCloud）
• IDW（Institut der Wirtschaftsprüfer，德国注册会计师协会）RS FAIT 5 – 财务报告声明：“包括云计算在内的财务报告相关服务外包有序会计原则”，截至 2015 年 11 月 4 日

C5 报告为我们的欧洲客户提供了一个独立的第三方鉴定，对我们的控制机制的设计适用性和运行有效性进行认证，以满足 C5 基本和附加标准。具体而言，在德国，客户习惯于寻找根据 C5 标准进行评测的云服务。C5 为客户提供的框架记录了与 IT-Grundschutz 等效的 IT 安全性级别，涵盖云计算的所有 IT 安全方面。对于联邦机构来讲，C5 鉴证是采购流程中的一项基本要求。

可以在相应的 AWS 安全性博客 C5 文章中查看有关 AWS C5 的最新信息。

以下 AWS 区域在 C5 的涵盖范围内：法兰克福、爱尔兰、伦敦、巴黎、米兰、斯德哥尔摩、新加坡、苏黎世和西班牙，以及德国、爱尔兰、英国、法国、新加坡、瑞典、意大利、西班牙和瑞士的边缘站点。

认证是由认可的专业公司颁发且有效期通常为一到三年，而鉴证则可在某个合规性审计或核算审计期间由合格人员接收。鉴证主要注重的是持续实施方面，这意味着重新审计周期非常短，可缩短至 6 个月。根据 ISAE 3000/3402，审计流程会交付过去一段时间内适宜性和有效性的证据。认证只是一个即时快照。

IT-Grundschutz 这一标准用于为事业机构的信息建立和维护一种适当的防护体系。IT-Grundschutz Catalogues 介绍了典型业务流程、IT 系统和应用程序的防护措施，并规定了企业自有信息的防护体系。C5 提供了有关云服务提供商（CSP）产品与服务的指南。

AWS C5 报告面向使用 AWS Artifact 的客户提供，AWS Artifact 是一个用于按需访问 AWS 合规性报告的自助服务门户。您可以登录AWS 管理控制台中的 AWS Artifact，或AWS Artifact 入门了解更多信息。

BSI 已使此标准符合 ANSSI 及其即将推出的 SecNumCloud 标签。C5 标准已与法国的 SecNumCloud 标准相互产生影响，他们的明确目标是在名为 ESCloud 的通用标签下选择互相认可。此外，欧盟网络安全机构 (ENISA) 的欧盟云服务网络安全认证方案 (EUCS) 草案在很大程度上借鉴了 C5 的安全标准。

C5 目前涵盖的 AWS 服务可以在 AWS 按合规性计划提供的范围内服务中找到。如果您想要了解有关使用这些服务的更多信息，并且/或者想了解其他服务，请联系我们。

德国国家网络安全管理局 Bundesamt für Sicherheit in der Informationstechnik（BSI）于 2016 年制定了 C5 标准。BSI 为所有政府体系制定了 IT 安全要求，大多数德国公司均使其 IT 安全政策符合 BSI 标准。BSI 于 2019 年改动并更新了 C5 目录。新版本（C5:2020）于 2020 年 1 月最终确定。