Cloud Computing Compliance Controls Catalog (C5) 是德国联邦信息安全局 (BSI) 在德国推出的一种德国政府支持的认证机制,可帮助组织证明其在德国政府的“对于云提供商的安全建议”中提到的常见网络攻击方面的运营安全性。
当 AWS 客户及其合规顾问在将工作负载移动到云中时,他们可以使用 C5 认证来了解 AWS 提供的 IT 安全保证服务的范围。C5 增加了等同于 IT-Grundschutz 的法规规定的 IT 安全级别以及特定于云的控制力。
C5 添加了额外的控制力,可提供有关数据位置、服务预置、管辖地、现有认证和信息披露义务的信息以及一个全方位说明。使用此类信息,客户可以评估法律规定 (即数据隐私) 以及他们的政策或威胁环境与使用云计算服务的相关性。
C5 控制集由 BSI 设计并于 2016 年 2 月发布。在德国客户将其复杂且受到监管的工作负载移动到云计算服务提供商 (如 AWS) 时,它可以提供额外的保证。
BSI 考虑到了以下标准:
• ISO/IEC 27001:2013 (ISO – 国际标准化组织)
• CSA 云控制矩阵 3.01 (CSA – 云安全联盟)
• 2014 年 AICPA 诚信服务原则与标准 (AICPA – 美国注册会计师协会)
• ANSSI Référentiel Secure Cloud 2.0 (草案) (ANSSI – Agence nationale de la sécurité des systèmes d'information)
• IDW ERS FAIT 5 04.11.201 (草案或关于会计事宜的声明:“Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing”[与会计相关的服务 (包含云计算) 外包的公认会计准则],2014 年 11 月 4 日版)
• BSI IT-Grundschutz Catalogues,2014 年第 14 版
• 2014 年 BSI SaaS Sicherheitsprofile [2014 年 BSI SaaS 安全概要]
