Cloud Computing Compliance Controls Catalog(C5)

개요

Cloud Computing Compliance Controls Catalog(C5)는 독일 정부에서 보증하는 증명 제도로, 독일 연방 정보 보안국(BSI)에 의해 도입되었습니다. C5는 독일 정부의 ‘클라우드 공급자에 대한 보안 권장 사항’ 맥락에서 일반적인 사이버 공격에 대비한 클라우드 서비스 사용 조직의 운영 보안을 입증하는 데 도움이 됩니다.

AWS 고객과 담당 규정 준수 고문은 자사의 워크로드를 클라우드로 이전함에 따라 C5 증명을 사용하여 AWS가 C5 요구 사항을 충족하기 위해 구현한 보안 제어를 이해할 수 있습니다. C5는 클라우드 관련 제어뿐만 아니라 IT-Grundschutz와 동일한 기관에서 정의한 IT 보안 수준을 포함합니다.

C5는 데이터 위치, 서비스 포지셔닝, 관할 지역, 기존 인증서, 정보 공개 의무 및 전체 서비스 설명과 관련된 추가 제어 요구 사항을 포함합니다. 고객은 이 정보를 사용하여 자사의 클라우드 컴퓨팅 서비스 사용과 관련된 법적 규제(예: 데이터 프라이버시), 자체 정책 또는 위협 환경을 평가할 수 있습니다.

• C5란 무엇입니까?

  C5(Cloud Computing Compliance Controls Catalogue)는 독일의 '클라우드 컴퓨팅 IT 보안' 표준입니다. BSI가 설계하여 2016년 2월에 발표한 C5 제어 세트는 독일에 있는 고객이 복잡하고 규제를 받는 워크로드를 AWS와 같은 클라우드 컴퓨팅 서비스 제공업체로 이전할 때 추가적인 보증을 제공합니다. C5는 다음과 같은 국제 표준을 포함합니다.

  • ISO/IEC 27001:2017(ISO - International Organization for Standardization)
  • CSA Cloud Controls Matrix 3.01(CSA - Cloud Security Alliance)
  • AICPA Trust Service Principles Criteria 2017(AICPA - American Institute of Certified Public Accountants)
  • Trusted Cloud Data Protection Profile(TCDP)  - 버전 1
  • ISO/IEC 27017:2015
  • ISO/IEC 27-18:2014
  • BSI IT-Grundschutz Kompendium – 2019 에디션
    

• C5 표준은 누가 만들었습니까?

  2016년에 독일의 국립 사이버보안 기관인 Bundesamt für Sicherheit in der Informationstechnik(BSI)에서 C5 표준을 개발했습니다. BSI는 모든 정부 시스템의 IT 보안 요구 사항을 정의하며 거의 모든 독일 기업이 BSI 표준에 맞춰 IT 보안 전략을 수립합니다. BSI는 2019년에 C5 카탈로그를 재작업하고 업데이트했습니다. 새 버전(C5:2020)은 2020년 1월에 완성되었습니다. 

• 이러한 표준은 고객에게 어떤 이점을 제공합니까?

  C5 보고서는 AWS의 유럽 고객에게 C5 기본 기준 및 추가 기준을 충족하는 설계의 적합성 및 AWS 제어의 운영 효과에 대한 독립 서드 파티 증명을 제공합니다. 구체적으로, C5 기준에 대해 평가된 클라우드 서비스를 볼 때 독일 고객이 사용되었습니다. C5는 클라우드 컴퓨팅의 모든 IT 보안 측면을 다루며 IT-Grundschutz에 상당하는 IT 보안 수준을 문서화한 프레임워크를 고객에게 제공합니다. 연방 정부 기관의 경우 C5 증명은 조달 프로세스에서 기본적인 요구 사항입니다.

  AWS의 C5에 대한 최신 정보는 해당 AWS 보안 블로그 C5 게시물에서 검토할 수 있습니다.
  

• C5의 범위에 속하는 AWS 리전은 어디입니까?

  C5의 범위에 속하는 AWS 리전에는 프랑크푸르트, 아일랜드, 런던, 파리, 밀라노, 스톡홀름, 싱가포르를 비롯해 독일, 아일랜드, 영국, 프랑스, 싱가포르의 엣지 로케이션이 포함됩니다.

• 범위에 포함되는 서비스는 무엇입니까?

  C5 범위에 포함된 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하세요. 이러한 서비스 사용에 대해 자세히 알아보려는 경우 또는 다른 서비스에 관심이 있는 경우, AWS에 문의하시기 바랍니다.
  

• C5와 IT-Grundschutz의 차이는 무엇입니까?

  IT-Grundschutz는 기관의 정보에 대한 적절한 보호를 구성하고 유지 관리하기 위한 표준입니다. IT-Grundschutz Catalogues에서는 일반적인 비즈니스 프로세서, IT 시스템 및 애플리케이션에 대한 보호 조치를 설명하며, 엔터프라이즈의 자체 정보 보호를 다룹니다. C5에서는 클라우드 서비스 공급자(CSP) 상품에 대한 지침을 제공합니다.

• 이 표준이 국제적으로 미치는 영향이 있습니까?

  BSI는 ANSSI 및 예정된 SecNumCloud Label에 맞추어 이 표준을 조정했습니다. C5 표준은 ESCloud라는 공통의 레이블 하에 상호 인정 옵션을 제공한다는 명확한 목표를 가지고 프랑스의 SecNumCloud 표준에 영향을 주었고 또한 영향을 받았습니다. 또한 European Union Agency for Cybersecurity(ENISA)의 European Union Cybersecurity Certification Scheme for Cloud Services(EUCS)의 초안 버전에는 C5 보안 표준이 상당 부분 포함되어 있습니다.
  

• 인증과 증명의 차이는 무엇입니까?

  인증은 공인된 전문 회사에서 발부하며 주로 1년에서 3년간 유효합니다. 자격이 있는 담당자는 규정 준수 감사 또는 회계 감사 중에 증명을 받을 수 있습니다. 증명은 지속적 구현의 측면에 좀 더 초점이 맞춰져 있습니다. 즉, 재감사 주기가 최하 6개월로 훨씬 짧습니다. ISAE 3000 / 3402에 따르면 감사 프로세스에서는 지난 시간 범위 동안 적절성과 유효성의 증거를 제공합니다. 인증은 단지 특정 시점의 스냅샷입니다.