Cloud Computing Compliance Controls Catalog(C5)

개요

AWSC5Logo

Cloud Computing Compliance Controls Catalog(C5)는 독일 연방 정보 보안실(BSI)에서 도입하고 독일 정부에서 지원하는 증명 체계로서, 독일 정부의 "클라우드 공급자를 위한 보안 권장 사항"과 관련하여 클라우드 서비스를 사용할 때 조직이 일반적인 사이버 공격에 대한 운영 위험을 입증하는 데 도움이 됩니다.

AWS 고객과 담당 규정 준수 고문은 자사의 워크로드를 클라우드로 이전함에 따라 C5 증명을 사용하여 AWS가 C5 요구 사항을 충족하기 위해 구현한 보안 제어를 이해할 수 있습니다. C5는 클라우드 관련 제어뿐만 아니라 IT-Grundschutz와 동일한 기관에서 정의한 IT 보안 수준을 포함합니다.

C5는 데이터 위치, 서비스 포지셔닝, 관할 지역, 기존 인증서, 정보 공개 의무 및 전체 서비스 설명과 관련된 추가 제어 요구 사항을 포함합니다. 고객은 이 정보를 사용하여 자사의 클라우드 컴퓨팅 서비스 사용과 관련된 법적 규제(예: 데이터 프라이버시), 자체 정책 또는 위협 환경을 평가할 수 있습니다.

  • C5란 무엇입니까?

    C5(Cloud Computing Compliance Controls Catalogue)는 독일의 '클라우드 컴퓨팅 IT 보안' 표준입니다. BSI가 설계하여 2016년 2월에 발표한 C5 제어 세트는 독일에 있는 고객이 복잡하고 규제를 받는 워크로드를 AWS와 같은 클라우드 컴퓨팅 서비스 제공업체로 이전할 때 추가적인 보증을 제공합니다. C5는 다음과 같은 국제 표준을 포함합니다.

    • ISO/IEC 27001:2013(ISO - International Organization for Standardization)
    • CSA Cloud Controls Matrix 3.01(CSA - Cloud Security Alliance)
    • AICPA Trust Service Principles Criteria 2014(AICPA - American Institute of Certified Public Accountants)
    • ANSSI Référentiel Secure Cloud 2.0(초안)(ANSSI - Agence nationale de la sécurité des systèmes d'information)
    • IDW ERS FAIT 5 04.11.201(회계에 대한 성명 초안: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing"[클라우드 컴퓨팅을 비롯하여 회계 관련 서비스 아웃소싱에 대한 일반적으로 인정되는 회계 원칙], 2014년 11월 4일 버전)
    • BSI IT-Grundschutz Catalogues, 2014년 14번째 버전
    • BSI SaaS Sicherheitsprofile 2014[BSI SaaS 보안 프로필 2014]
  • 이러한 표준은 고객에게 어떤 이점을 제공합니까?

    AWS는 C5 정보 보안 및 규정 준수 프로그램에 대한 2020년 평가를 완료했으며 AWS Artifact에서 C5 보고서를 다운로드할 수 있습니다. AWS의 2021년 C5 증명 보고서는 2021년 말에 제공됩니다. 

    C5 보고서는 AWS의 유럽 고객에게 C5 기준 및 추가 기준을 충족하는 AWS 제어의 설계 및 운영 효과에 대한 적합성에 대한 독립 서드 파티 증명을 제공합니다. 구체적으로, C5 기준에 대해 평가된 클라우드 서비스를 볼 때 독일 고객이 사용되었습니다. C5는 클라우드 컴퓨팅의 모든 IT 보안 측면을 다루며 IT-Grundschutz에 상당하는 IT 보안 수준을 문서화한 프레임워크를 고객에게 제공합니다. 연방 정부 기관의 경우 C5 증명은 조달 프로세스에서 기본적인 요구 사항입니다.

  • C5의 범위에 속하는 AWS 리전은 어디입니까?

    C5 범위에 속하는 AWS 리전에는 프랑크푸르트, 아일랜드, 런던, 파리, 밀라노, 스톡홀름, 싱가포르를 비롯해 독일, 아일랜드, 영국, 프랑스, 싱가포르의 엣지 로케이션이 포함됩니다.

  • 범위에 포함되는 서비스는 무엇입니까?

    C5 범위에 포함된 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하세요. 이러한 서비스 사용에 대해 자세히 알아보려는 경우 또는 다른 서비스에 관심이 있는 경우, AWS에 문의하시기 바랍니다.

  • C5 표준은 누가 만들었습니까?

    2016년에 독일의 국립 사이버보안 기관인 Bundesamt für Sicherheit in der Informationstechnik(BSI)에서 C5 표준을 개발했습니다. BSI는 2019년에 C5 카탈로그를 재작업하고 업데이트했습니다. 새 버전(C5:2020)은 2020년 1월에 완성되었습니다. BSI는 2021년 2월 15일부터 종료되는 평가 기간의 감사에 C5:2020을 적용할 것을 강력하게 권장합니다. BSI는 모든 정부 시스템의 IT 보안 요구 사항을 정의하며 거의 모든 독일 기업이 BSI 표준에 맞춰 IT 보안 전략을 수립합니다.

  • BSI의 C5와 IT-Grundschutz의 차이는 무엇입니까?

    IT-Grundschutz는 기관의 정보에 대한 적절한 보호를 구성하고 유지 관리하기 위한 표준입니다. IT-Grundschutz Catalogues에서는 일반적인 비즈니스 프로세서, IT 시스템 및 애플리케이션에 대한 보호 조치를 설명하며, 엔터프라이즈의 자체 정보 보호를 다룹니다. C5에서는 클라우드 서비스 공급자(CSP) 상품에 대한 지침을 제공합니다.

  • AWS에서는 어떻게 내가 SaaS 및 PaaS 애플리케이션에 대해 C5 증명을 받도록 지원합니까?

    C5는 기본적으로 전문적인 클라우드 서비스 공급자, 그리고 이러한 클라우드 서비스 공급자의 감사자 및 고객을 대상으로 합니다. C5는 클라우드 공급자가 준수해야 할 요구 사항(제어라고도 함)을 정의합니다.

    2016년 11월부로 AWS는 독일에서 인프라 수준의 C5 증명을 받은 첫 번째 클라우드 서비스 공급자가 되었습니다. 독일 및 기타 유럽 국가의 고객들은 AWS의 증명 보고서를 사용하여 C5 프레임워크의 지역 보안 요구 사항을 충족할 수 있습니다. AWS의 C5 증명은 감사자의 클라우드 애플리케이션에 대한 자체 C5 증명을 달성할 수 있는 기반을 제공합니다. 특히, AWS 고객에게 개별 감사 범위에 데이터 센터의 물리적 보안 또는 클라우드 인프라 부분의 관리를 포함할 필요 없이 자체 C5 증명을 추진할 기회를 제공합니다. 서비스형 소프트웨어(SaaS) 및 서비스형 플랫폼(PaaS)으로 배포되는 애플리케이션도 C5 프레임워크 요구 사항을 기준으로 평가될 수 있습니다. AWS의 지원은 모든 계층에서 BSI 표준 수준의 IT 보안을 효과적으로 구현하고 있음을 고객에게 보여주는 데 도움이 됩니다.

  • 이 표준이 국제적으로 미치는 영향이 있습니까?

    BSI는 ANSSI 및 예정된 SecNumCloud Label에 맞추어 이 표준을 조정했습니다. C5 표준은 ESCloud라는 공통의 레이블 하에 상호 인정 옵션을 제공한다는 명확한 목표를 가지고 프랑스의 SecNumCloud 표준에 영향을 주었고 또한 영향을 받았습니다. 또한 European Union Agency for Cybersecurity(ENISA)의 European Union Cybersecurity Certification Scheme for Cloud Services(EUCS)의 초안 버전에는 C5 보안 표준이 상당 부분 포함되어 있습니다.

  • 인증과 증명의 차이는 무엇입니까?

    인증은 공인된 전문 회사에서 발부하며 주로 1년에서 3년간 유효합니다. 자격이 있는 담당자는 규정 준수 감사 또는 회계 감사 중에 증명을 받을 수 있습니다. 증명은 지속적 구현의 측면에 좀 더 초점이 맞춰져 있습니다. 즉, 재감사 주기가 최하 6개월로 훨씬 짧습니다. ISAE 3000 / 3402에 따르면 감사 프로세스에서는 지난 시간 범위 동안 적절성과 유효성의 증거를 제공합니다. 인증은 단지 특정 시점의 스냅샷입니다.

compliance-contactus-icon
질문이 있으십니까? AWS 영업 담당자와 연결
규정 준수 역할을 찾고 계십니까?
지금 신청하십시오 »
AWS 규정 준수 업데이트를 받으시겠습니까?
Twitter 팔로우하기 »