Katalog Kontrol Kepatuhan Komputasi Cloud (C5)

Gambaran Umum

Katalog Kontrol Kepatuhan Komputasi Cloud (C5) merupakan skema pengesahan yang didukung oleh Pemerintah Jerman dan diperkenalkan di Jerman oleh Kantor Federal untuk Keamanan Informasi (BSI). C5 membantu organisasi dalam menunjukkan keamanan operasional terhadap serangan siber umum saat menggunakan layanan cloud dalam konteks "Rekomendasi Keamanan untuk Penyedia Cloud" Pemerintah Jerman.

Pengesahan C5 dapat digunakan oleh pelanggan AWS dan penasihat kepatuhan mereka untuk memahami kontrol keamanan yang diterapkan oleh AWS guna memenuhi persyaratan C5 saat mereka memindahkan beban kerja ke cloud. C5 menambahkan tingkat Keamanan IT yang ditentukan undang-undang setara dengan IT-Grundschutz dengan tambahan kontrol khusus cloud.

C5 menyertakan persyaratan kontrol tambahan terkait lokasi data, penyediaan layanan, tempat yurisdiksi, sertifikasi yang ada, kewajiban pengungkapan informasi, dan deskripsi layanan penuh. Menggunakan informasi ini, pelanggan dapat mengevaluasi peraturan hukum (seperti privasi data), kebijakan mereka sendiri, atau lingkungan ancaman terkait penggunaan layanan komputasi cloud mereka.

• Apa itu C5?

  C5 (Katalog Kontrol Kepatuhan Komputasi Cloud) merupakan standar "Keamanan IT komputasi cloud" di Jerman. Dirancang dan dikeluarkan oleh BSI pada Februari 2016, set kontrol C5 menawarkan jaminan tambahan kepada pelanggan di Jerman saat mereka memindahkan beban kerja mereka yang kompleks dan teregulasi ke penyedia Layanan Komputasi Cloud seperti AWS. C5 mencakup standar internasional berikut:

  • ISO/IEC 27001:2017 (ISO - International Organization for Standardization)
  • CSA Cloud Controls Matrix 3.01 (CSA - Cloud Security Alliance)
  • AICPA Trust Service Principles Criteria 2017 (AICPA - American Institute of Certified Public Accountants)
  • Trusted Cloud Data Protection Profile (TCDP)  – Versi 1
  • ISO/IEC 27017:2015
  • ISO/IEC 27-18:2014
  • BSI IT-Grundschutz Kompendium – Edisi 2019
    

• Siapa yang membuat standar C5?

  Otoritas keamanan siber nasional Jerman, Bundesamt für Sicherheit in der Informationstechnik (BSI), merupakan pihak yang mengembangkan standar C5 pada tahun 2016. BSI menentukan persyaratan Keamanan IT untuk seluruh sistem pemerintahan, dan sebagian besar perusahaan Jerman menyelaraskan strategi Keamanan IT mereka dengan standar BSI. BSI mengerjakan kembali dan memperbarui katalog C5 pada tahun 2019. Versi baru (C5:2020) difinalisasi di bulan Januari 2020. 

• Apa saja manfaat standar ini bagi pelanggan?

  Laporan C5 memberikan pengesahan pihak ketiga independen tentang kesesuaian desain dan efektivitas operasional kontrol kami untuk memenuhi kriteria dasar dan tambahan C5 kepada para pelanggan kami di Eropa. khususnya di Jerman, di mana pelanggan terbiasa mencari layanan cloud yang dinilai dengan kriteria C5. C5 memberi para pelanggan kerangka kerja yang mendokumentasikan tingkat Keamanan IT yang setara dengan IT-Grundschutz yang mencakup semua aspek Keamanan IT untuk Komputasi Cloud. Untuk otoritas federal, pengesahan C5 merupakan persyaratan dasar dalam proses pengadaan.

  Informasi terkini tentang C5 di AWS dapat ditinjau pada tiap-tiap posting C5 Blog AWS Security.
  

• Wilayah AWS mana yang berada dalam lingkup untuk C5?

  Wilayah AWS yang berada dalam lingkup C5 meliputi Frankfurt, Irlandia, London, Paris, Milan, Stockholm, dan Singapura, serta lokasi Edge di Jerman, Irlandia, Inggris, Prancis, dan Singapura.

• Layanan mana saja yang dicakup?

  Layanan AWS tercakup yang sudah berada dalam lingkup C5 dapat ditemukan di Layanan AWS dalam Lingkup menurut Program Kepatuhan. Jika Anda ingin mempelajari lebih lanjut tentang penggunaan layanan tersebut dan/atau tertarik dengan layanan lainnya, hubungi kami.
  

• Apa perbedaan antara C5 dan IT-Grundschutz?

  IT-Grundschutz merupakan standar yang digunakan untuk menetapkan dan menjaga perlindungan yang tepat atas informasi sebuah lembaga. IT-Grundschutz Catalogues menjelaskan perlindungan untuk proses bisnis umum, sistem IT, dan aplikasi serta menangani perlindungan informasi milik perusahaan. C5 menyediakan panduan untuk penawaran penyedia layanan cloud (CSP).

• Apakah standar ini memiliki dampak secara internasional?

  BSI telah menyelaraskan pekerjaan ini dengan ANSSI dan Label SecNumCloud mereka yang akan segera hadir. Standar C5 telah dipengaruhi oleh dan juga memengaruhi standar SecNumCloud di Prancis, dengan tujuan yang jelas untuk memiliki opsi bagi pengakuan bersama dalam label umum yang disebut ESCloud. Juga, versi draf dari Skema Sertifikasi Keamanan Siber Uni Eropa untuk Layanan Cloud (EUCS) milik Agensi Uni Eropa untuk Keamanan Siber (ENISA) secara signifikan mengambil dari standar keamanan C5.
  

• Apa perbedaan antara sertifikasi dan pengesahan?

  Sertifikasi diterbitkan oleh sebuah perusahaan khusus yang terakreditasi dan umumnya habis berlaku dalam satu hingga tiga tahun. Pengesahan dapat diperoleh selama audit kepatuhan atau audit keuangan oleh personel berkualifikasi. Pengesahan lebih berfokus pada aspek implementasi berkelanjutan, yang berarti siklus audit ulangnya lebih pendek – hingga 6 bulan. Berdasarkan ISAE 3000/3402, proses audit menghasilkan bukti kesesuaian dan efektivitas selama jangka waktu yang lalu. Sertifikasi hanyalah capaian pada waktu tersebut.