Cloud Computing Compliance Controls Catalog (C5)

概览

AWSC5Logo

Cloud Computing Compliance Controls Catalog (C5) 是德国联邦信息安全局 (BSI) 在德国推出的一种德国政府支持的鉴定机制,可帮助组织证明其在德国政府的“对于云提供商的安全建议”下使用云服务时在常见网络攻击方面的运营安全性。

AWS 客户及其合规顾问可以使用 C5 鉴定来了解 AWS 在将工作负载迁移到云时为满足 C5 要求而实施的安全控制。C5 增加了等同于 IT-Grundschutz 的法规规定的 IT 安全级别以及特定于云的控制力。

C5 包括与数据位置、服务预置、管辖地、现有认证和信息披露义务以及一个全方位说明相关的额外控制要求。使用此类信息,客户可以评估法律规定(即数据隐私)以及他们的政策或威胁环境与使用云计算服务的相关性。

  • 什么是 C5?

    C5 (Cloud Computing Compliance Controls Catalogue) 是德国的“云计算 IT 安全性”标准。C5 控制集由 BSI 设计并于 2016 年 2 月发布。在德国客户将其复杂且受到监管的工作负载移动到云计算服务提供商(例如 AWS)时,它可以提供额外的保证。C5 涵盖以下国际标准:

    • ISO/IEC 27001:2013(ISO – 国际标准化组织)
    • CSA 云控制矩阵 3.01(CSA – 云安全联盟)
    • 2014 年 AICPA 信托服务原则和标准(AICPA – 美国注册会计师协会)
    • ANSSI Référentiel Secure Cloud 2.0(草案)(ANSSI – Agence nationale de la sécurité des systèmes d'information)
    • IDW ERS FAIT 5 04.11.201(会计声明草案:“Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing”[“会计相关服务(包含云计算)外包的公认会计准则”],2014 年 11 月 4 日版)
    • BSI IT-Grundschutz 目录,2014 年第 14 版
    • 2014 年 BSI SaaS Sicherheitsprofile [2014 年 BSI SaaS 安全概要]
  • 客户可从此标准中获取哪些利益?

    AWS已完成 2020 年的 C5 信息安全和合规计划评估,可在 AWS Artifact 中下载 C5 报告。AWS 的 2021 年 C5 鉴定报告将在 2021 年晚些时候提供。 

    C5 报告为我们的欧洲客户提供了一个独立的第三方鉴定,对我们的控制机制的设计适用性和运行有效性进行认证,以满足 C5 基本和附加标准。具体而言,在德国,客户习惯于寻找根据 C5 标准进行评估的云服务。C5 为客户提供的框架记录了与 IT-Grundschutz 等效的 IT 安全性级别,涵盖云计算的所有 IT 安全方面。对于联邦机构来讲,C5 鉴证是采购流程中的一项基本要求。

  • 哪些 AWS 区域在 C5 的涵盖范围内?

    以下 AWS 区域在 C5 的涵盖范围内:法兰克福、爱尔兰、伦敦、巴黎、米兰、斯德哥尔摩和新加坡,以及德国、爱尔兰、英国、法国和新加坡的边缘站点。

  • 哪些服务在涵盖范围内?

    C5 目前涵盖的 AWS 服务可以在 AWS 按合规性计划提供的范围内服务中找到。如果您想要了解有关使用这些服务的更多信息,并且/或对其他服务感兴趣,请联系我们

  • 谁创立了 C5 标准?

    德国国家网络安全管理局 Bundesamt für Sicherheit in der Informationstechnik (BSI) 于 2016 年制定了 C5 标准。BSI 于 2019 年改动并更新了 C5 目录。新版本 (C5:2020) 于 2020 年 1 月最终确定。BSI 强烈建议将 C5:2020 应用于评估期结束于 2021 年 2 月 15 日或以后的审计。BSI 为所有政府体系制定了 IT 安全要求,大多数德国公司均使其 IT 安全政策符合 BSI 标准。

  • BSI 的 C5 与 IT-Grundschutz 之间有何区别?

    IT-Grundschutz 这一标准用于为事业机构的信息建立和维护一种适当的防护体系。IT-Grundschutz Catalogues 介绍了典型业务流程、IT 系统和应用程序的防护措施,并规定了企业自有信息的防护体系。C5 提供了有关云服务提供商 (CSP) 产品与服务的指南。

  • 在接收 SaaS 和 PaaS 应用程序的 C5 鉴定过程中,AWS 将如何向我提供支持?

    C5 主要面向的是专业云服务提供商、以及云服务提供商的审计师和客户。它定义了云提供商必须遵守哪些要求(也称为控制机制)。

    2016 年 11 月,AWS 已成为德国首家收到基础设施级 C5 鉴证的云服务提供商。德国和其他欧洲国家的客户可以使用 AWS 的鉴定报告来帮助他们满足 C5 框架的当地安全要求。AWS 的 C5 鉴定为他们从审计人员那里为云应用程序实现自己的 C5 鉴定奠定了基础。具体而言,AWS 客户有机会实现其自己的 C5 鉴证,在单独审计范围内,无需审核数据中心的物理安全性,也无需管理云的基础设施部分。您还可以证明作为软件即服务 (SaaS) 和平台即服务 (PaaS) 部署的应用程序符合 C5 框架要求。AWS 的支持可帮助您向客户证明,您可在所有层有效实现 BSI 标准级别的 IT 安全性。

  • 此标准是否会产生国际影响?

    BSI 已使此标准符合 ANSSI 及其即将推出的 SecNumCloud 标签。C5 标准已与法国的 SecNumCloud 标准相互产生影响,他们的明确目标是在名为 ESCloud 的通用标签下选择互相认可。此外,欧盟网络安全机构 (ENISA) 的欧盟云服务网络安全认证方案 (EUCS) 草案在很大程度上借鉴了 C5 的安全标准。

  • 认证和鉴证有什么不同?

    认证是由认可的专业公司颁发且有效期通常为一到三年,而鉴证则可在某个合规性审计或核算审计期间由合格人员接收。鉴证主要注重的是持续实施方面,这意味着重新审计周期非常短,可缩短至 6 个月。根据 ISAE 3000/3402,审计流程会交付过去一段时间内适宜性和有效性的证据。认证只是一个即时快照。

compliance-contactus-icon
有问题? 联系 AWS 业务代表
想要提供合规性服务?
立即申请 »
想要了解 AWS 合规性动态?
在 Twitter 上关注我们 »