Lewati ke Konten Utama

Keamanan AWS Cloud

Katalog Kriteria Kepatuhan Komputasi Cloud

(C5)

Gambaran Umum

Katalog Kriteria Kepatuhan Komputasi Cloud (C5) adalah skema pengesahan yang didukung Pemerintah Jerman yang diperkenalkan di Jerman oleh Kantor Federal untuk Keamanan Informasi (BSI). C5 membantu organisasi menunjukkan keamanan operasional terhadap serangan siber umum saat menggunakan layanan cloud dalam konteks "Rekomendasi Keamanan untuk Penyedia Cloud" Pemerintah Jerman.

Pengesahan C5 dapat digunakan oleh pelanggan AWS dan penasihat kepatuhan mereka untuk memahami kontrol keamanan yang diimplementasikan oleh AWS guna memenuhi persyaratan C5 saat mereka memindahkan beban kerja ke cloud. C5 menambahkan tingkat Keamanan IT yang ditentukan peraturan yang setara dengan IT-Grundschutz dengan penambahan kontrol khusus cloud.

C5 mencakup persyaratan kontrol tambahan yang berkaitan dengan lokasi data, penyediaan layanan, tempat yurisdiksi, sertifikasi yang ada, kewajiban pengungkapan informasi, dan deskripsi layanan lengkap. Menggunakan informasi ini, pelanggan dapat mengevaluasi bagaimana peraturan hukum (yaitu privasi data), kebijakan mereka sendiri, atau lingkungan ancaman terkait penggunaan layanan komputasi cloud mereka.

Missing alt text value

Topik halaman

Laporan C5 memberikan sertifikasi independen dari pihak ketiga bagi pelanggan kami di Eropa mengenai kesesuaian desain dan efektivitas operasional kontrol kami untuk memenuhi kriteria dasar dan tambahan C5. Khususnya di Jerman, pelanggan terbiasa mencari layanan cloud yang dinilai berdasarkan kriteria C5. C5 memberi para pelanggan kerangka kerja yang mendokumentasikan tingkat Keamanan IT yang setara dengan IT-Grundschutz yang mencakup semua aspek Keamanan IT untuk Komputasi Cloud. Untuk otoritas federal, pengesahan C5 merupakan persyaratan dasar dalam proses pengadaan.

Informasi terkini tentang C5 di AWS dapat ditinjau pada tiap posting C5 Blog AWS Security.

Laporan AWS C5 tersedia untuk pelanggan dengan menggunakan AWS Artifact, yaitu portal layanan mandiri untuk akses sesuai permintaan ke laporan kepatuhan AWS. Masuk ke AWS Artifact dalam Konsol Manajemen AWS, atau pelajari selengkapnya di Memulai AWS Artifact.

BSI telah menyelaraskan pekerjaan ini dengan ANSSI dan label SecNumCloud yang akan datang. Standar C5 telah dipengaruhi oleh dan juga memengaruhi standar SecNumCloud di Prancis, dengan tujuan yang jelas agar memiliki opsi bagi pengakuan bersama di bawah label umum yang disebut ESCloud. Selain itu, versi draf dari Skema Sertifikasi Keamanan Siber Uni Eropa untuk Layanan Cloud (EUCS) milik Agensi Uni Eropa untuk Keamanan Siber (ENISA) secara signifikan mengambil dari standar keamanan C5.

Layanan AWS tercakup yang sudah berada dalam lingkup C5 dapat ditemukan di Layanan AWS dalam Lingkup menurut Program Kepatuhan. Jika Anda ingin mempelajari selengkapnya tentang penggunaan layanan ini dan/atau tertarik dengan layanan lain hubungi kami.

AWS Region yang termasuk dalam cakupan C5 mencakup Frankfurt, Irlandia, London, Paris, Milan, Stockholm, Singapura, Zurich, dan Spanyol, serta lokasi Edge di Jerman, Irlandia, Inggris, Prancis, Singapura, Swedia, Italia, Spanyol, dan Swiss.

Sertifikasi diterbitkan oleh perusahaan khusus yang terakreditasi dan umumnya berlaku dalam satu hingga tiga tahun. Pengesahan dapat diperoleh selama audit kepatuhan atau audit keuangan oleh personel berkualifikasi. Pengesahan lebih berfokus pada aspek implementasi berkelanjutan, yang berarti siklus audit ulangnya lebih pendek – hingga 6 bulan. Berdasarkan ISAE 3000/3402, proses audit menghasilkan bukti kesesuaian dan efektivitas selama jangka waktu yang lalu. Sertifikasi hanyalah capaian pada waktu tersebut.

IT-Grundschutz merupakan standar yang digunakan untuk menetapkan dan menjaga perlindungan yang tepat atas informasi sebuah lembaga. IT-Grundschutz Catalogues menjelaskan perlindungan untuk proses bisnis umum, sistem IT, dan aplikasi serta menangani perlindungan informasi milik perusahaan. C5 menyediakan panduan untuk penawaran penyedia layanan cloud (CSP).

C5 (Katalog Kriteria Kepatuhan Komputasi Cloud) merupakan standar “Keamanan IT komputasi cloud” di Jerman. Dirancang dan dirilis pertama kali oleh BSI pada tahun 2016, set kontrol C5 menawarkan jaminan tambahan kepada pelanggan di Jerman saat mereka memindahkan beban kerja mereka yang kompleks dan teregulasi ke penyedia Layanan Komputasi Cloud seperti AWS.

C5 versi saat ini dirilis pada tahun 2020 dan mencakup persyaratan dari standar serta publikasi berikut:

  • ISO/IEC 27001:2013 – Sistem manajemen keamanan informasi – Persyaratan
  • ISO/IEC-27002:2016 – Prosedur keamanan IT – Panduan untuk langkah-langkah keamanan informasi
  • ISO/IEC 27017:2015 – Teknik keamanan – Kode praktik untuk kontrol keamanan informasi berdasarkan ISO/IEC 27002 untuk layanan cloud
  • BSI – IT-Grundschutz-Kompendium, Edisi ke-2 2019
  • CSA – Cloud Controls Matrix 3.0.1 (CSA - Cloud Security Alliance)
  • AICPA Trust Service Principles Criteria 2017 (AICPA - American Institute of Certified Public Accountants)
  • ANSSI (Agence nationale de la sécurité des systèmes d’information, National Cybersecurity Agency of France) – Penyedia layanan komputasi cloud v. 3.1 (SecNumCloud)
  • IDW (Institut der Wirtschaftsprüfer, the German Institute of Certified Public Accountants) RS FAIT 5 – Pernyataan tentang Pelaporan Keuangan: “Prinsip Akuntansi yang Terstruktur untuk Pengalihdayaan Layanan Terkait dengan Pelaporan Keuangan, termasuk Komputasi Cloud”, per 4 November 2015

Otoritas keamanan siber nasional Jerman, Bundesamt für Sicherheit in der Informationstechnik (BSI), merupakan pihak yang mengembangkan standar C5 pada tahun 2016. BSI menentukan persyaratan Keamanan IT untuk seluruh sistem pemerintahan, dan sebagian besar perusahaan Jerman menyelaraskan strategi Keamanan IT mereka dengan standar BSI. BSI mengerjakan kembali dan memperbarui katalog C5 pada tahun 2019. Versi baru (C5:2020) disahkan pada bulan Januari 2020.