我想了解有关 C5 的信息



 

Uptime Institute

Cloud Computing Compliance Controls Catalog (C5) 是德国联邦信息安全局 (BSI) 在德国推出的一种德国政府支持的认证机制,可帮助组织证明其在德国政府的“对于云提供商的安全建议”中提到的常见网络攻击方面的运营安全性。

当 AWS 客户及其合规顾问在将工作负载移动到云中时,他们可以使用 C5 认证来了解 AWS 提供的 IT 安全保证服务的范围。C5 增加了等同于 IT-Grundschutz 的法规规定的 IT 安全级别以及特定于云的控制力。

C5 添加了额外的控制力,可提供有关数据位置、服务预置、管辖地、现有认证和信息披露义务的信息以及一个全方位说明。使用此类信息,客户可以评估法律规定 (即数据隐私) 以及他们的政策或威胁环境与使用云计算服务的相关性。


AWS 客户能够为 AWS 基础设施上运行的云应用程序实现 C5 认证。截至 2016 年 11 月,AWS 已成为德国首家获得基础设施级 C5 认证的云服务提供商。通过 C5 报告,AWS 为以基础设施即服务 (IaaS) 提供商的身份记录 C5 合规性奠定了基础。

AWS 客户现在能够为其云应用程序实现 C5 认证,无需审核数据中心的物理安全性或云的基础设施。客户还可以证明作为软件即服务 (SaaS) 和平台即服务 (PaaS) 部署的应用程序符合 C5 认证框架要求。因此,他们的客户会收到他们可在所有层有效实现 BSI 标准级别的 IT 安全性的证明。


BSI Cloud Computing Compliance Control Catalogue (C5) 涵盖了安全运营的云服务的方方面面。对于当前的 AWS 客户,其安全经理与合规经理将能够相当轻松地展开内部讨论。而潜在客户可以更轻松地将使用案例转移到 AWS。无论在哪种情况下,这项认证都会大大提高服务的使用率。
Computacenter AG & Co oHG
BSI C5 认证能够证明 Box Cloud 是企业内容管理的安全云解决方案。通过对德国和欧洲的合规性的承诺以及在这方面的投资,Box 证明了这些市场对公司的重要性。Box 在法兰克福地区利用 AWS 基础设施,此基础设施也遵从 C5 标准。
Box, Inc.
AWS C5 认证这一方案主要用于管理基础设施,是我们以及我们在数据中心、服务器、网络和数据领域的客户的信息安全性的重要证据。凭借 AWS 的可靠安全性,我们能够将我们的精力和注意力放在我们自己的业务中,并能够高枕无忧。
e-Spirit AG

以下常见问题旨在指导您如何获取 SaaS 和 PaaS 应用程序的 C5 认证。有关 C5 的其他信息以及“Cloud Computing Compliance Controls Catalogue (C5) – 云服务的信息安全评估标准”,请访问 BSI 网站

C5 目前涵盖的 AWS 服务可以在 AWS 按合规性计划提供的范围内服务中找到。如果您想要了解有关使用这些服务的更多信息,并且/或对其他服务感兴趣,请联系我们

C5 (Cloud Computing Compliance Controls Catalogue) 是德国的“云计算 IT 安全性”标准。C5 控制集由 BSI 设计并于 2016 年 2 月发布。在德国客户将其复杂且受到监管的工作负载移动到云计算服务提供商 (如 AWS) 时,它可以提供额外的保证。C5 涵盖以下国际标准:

ISO/IEC 27001:2013 (ISO – 国际标准化组织)

CSA 云控制矩阵 3.01 (CSA – 云安全联盟)

2014 年 AICPA 诚信服务原则与标准 (AICPA – 美国注册会计师协会)

ANSSI Référentiel Secure Cloud 2.0 (草案) (ANSSI – Agence nationale de la sécurité des systèmes d'information)

IDW ERS FAIT 5 04.11.201 (草案或关于会计事宜的声明:“Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing”[与会计相关的服务 (包含云计算) 外包的公认会计准则],2014 年 11 月 4 日版)

BSI IT-Grundschutz Catalogues,2014 年第 14 版

2014 年 BSI SaaS Sicherheitsprofile [2014 年 BSI SaaS 安全概要]

德国国家网络安全管理局 Bundesamt für Sicherheit in der Informationstechnik (BSI) 制定了 C5 标准。BSI 为所有政府体系制定了 IT 安全要求,大多数德国公司均使其 IT 安全策略符合 BSI 标准。

上述标准中的控制已经过收集并专门针对云计算范围进行了打包。明确了解责任共担模型中 CSP 的角色以及客户的角色,对 CSP 和客户来说裨益良多。

IT-Grundschutz 这一标准用于为事业机构的信息建立和维护一种适当的防护体系。IT-Grundschutz Catalogues 介绍了典型业务流程、IT 系统和应用程序的防护措施,并规定了企业自有信息的防护体系。C5 提供了有关云服务提供商 (CSP) 产品与服务的指南。

证书是由认可的专业公司颁发且有效期通常为一到三年,而认证则可在某个合规性审核或核算期间由合格人员接收。认证主要注重的是持续实施方面,这意味着重新审核周期非常短,可缩短至 6 个月。根据 ISAE 3000/3402,审核流程会交付过去一段时间内适宜性和有效性的证据。证书只是一个即时快照。

特别是,德国客户已习惯查找针对 BSI 制定的德国 IT-Grundschutz (IT 基准安全) 获得认证的服务。IT-Grundschutz 非常适用于本地或传统外包关系,但未针对云计算进行优化。C5 为客户提供的报告记录了与 IT-Grundschutz 等效的 IT 安全性级别,涵盖云计算的所有 IT 安全方面。对于机构来讲,C5 认证是采购流程中的一项基本要求。

C5 主要面向的是专业云服务提供商、以及云服务提供商的审计师和客户。它规定了云提供商必须符合的要求 (也称为控制) 或云提供商应有义务满足的最低要求。AWS 客户能够从基础设施 (IaaS) 层的 C5 认证中获益,他们能够将精力集中在他们的 SaaS/PaaS 层应用程序的认证上。

2016 年 11 月,AWS 已成为德国首家收到基础设施级 C5 认证的云服务提供商。通过我们的 C5 认证,我们已为您从您的审计师处获取云应用程序 C5 认证奠定了基础。这样,AWS 客户就有机会实现其自己的 C5 认证,在单独审核中,无需审核数据中心的物理安全性,业务管理云基础设施部分。您还可以证明作为软件即服务 (SaaS) 和平台即服务 (PaaS) 部署的应用程序符合 C5 认证框架要求。因此,您的客户会收到您可在所有层有效实现 BSI 标准级别的 IT 安全性的证明。

合规性控制目录规定,公共审计师应按照国际认可的流程颁发通过审查的云服务认证。认证的依据是审核报告,设计师会在该报告中说明哪些要求已得到满足并已有效实施。

有关 C5 认证准备事项以及执行事宜的相关问题,请联系您的审计师。

年度审核通常并非由一个公共审计师而是由一个团队来完成的。该团队还包含 IT 专业人员。为了证实合规性控制目录,团队成员必须证明他们均为合格人员 (参见 3.5.1 部分)。示例包括 ISACA 证书 (CISACISMCRISC)、CSA (CCSK) 或 ISO 27001 和 IT-Grundschutz 审计师。在认证时,必须列出这些资格证书并且它们均通过验证。

审核流程持续的时间取决于您公司的现有证书。ISO 27001 等证书可缩短审核流程。建议与证书一起进行认证,因为 ISO IEC 27001 的所有要求也会列在合规性控制目录中。

BSI 已使此标准符合 ANSSI 及其即将推出的安全云标签。C5 标准已与法国的安全云标准相互产生影响,他们的明确目标是在名为 ESCloud 的通用标签下选择互相认可

 

联系我们