C5에 대한 정보 신청하기



 

Uptime Institute

Cloud Computing Compliance Controls Catalog(C5)는 독일 연방 정보 보안실(BSI)에서 도입하고 독일 정부에서 지원하는 증명 체계로서, 독일 정부의 "클라우드 공급자를 위한 보안 권장 사항"과 관련하여 조직이 일반적인 사이버 공격에 대한 운영 위험을 입증하는 데 도움됩니다.

AWS 고객과 담당 규정 준수 고문은 자사의 워크로드를 클라우드로 이전함에 따라 C5 증명을 사용하여 AWS가 제공하는 IT 보안 보장 서비스의 범위를 이해할 수 있습니다. C5는 클라우드 관련 제어뿐만 아니라 IT-Grundschutz와 동일한 기관에서 정의한 IT 보안 수준을 포함합니다.

C5는 데이터 위치, 서비스 포지셔닝, 관할 지역, 기존 인증서, 정보 공개 의무 및 전체 서비스 설명과 관련된 정보를 제공하는 추가 제어 기능을 포함합니다. 고객은 이 정보를 사용하여 자사의 클라우드 컴퓨팅 서비스 사용과 관련된 법적 규제(예: 데이터 프라이버시), 자체 정책 또는 위협 환경을 평가할 수 있습니다.


AWS 고객은 AWS 인프라에서 실행되는 클라우드 애플리케이션에 대해 C5 증명을 받을 수 있습니다. 2016년 11월부로 AWS는 독일에서 인프라 수준의 C5를 받은 첫 번째 클라우드 서비스 공급자가 되었습니다. C5 보고서를 통해 AWS는 Infrastructure as a Service(IaaS) 공급자로서 C5 규정 준수를 문서화하는 토대를 마련합니다.

AWS 고객은 이제 데이터 센터의 물리적 보안 또는 클라우드 인프라를 감사받을 필요 없이 클라우드 애플리케이션에 대한 C5 증명을 받을 수 있습니다. 또한, 고객은 C5 증명 프레임워크에 Software as a Service(SaaS) 및 Platform as a Service(PaaS)로 배포된 애플리케이션을 증명할 수 있습니다. 따라서 AWS 고객의 고객은 모든 계층에서 BSI 표준 수준의 IT 보안을 효과적으로 구현하고 있다는 증거를 확인할 수 있습니다.


BSI Cloud Computing Compliance Control Catalogue(C5)는 안전하게 운영되는 클라우드 서비스의 모든 부분을 다룹니다. 기존 AWS 고객의 경우 보안 및 규정 준수 관리자와의 내부 논의가 상당히 용이해집니다. 잠재 고객의 경우 훨씬 쉽게 AWS로 사용 사례를 이전할 수 있습니다. 두 경우 모두 C5 증명으로 서비스 사용이 현저히 증가할 것입니다.
Computacenter AG & Co oHG
BSI C5 증명은 Box Cloud가 엔터프라이즈 콘텐츠 관리를 위한 안전한 클라우드 솔루션이라는 증거입니다. 독일과 유럽의 규정을 준수하기 위해 투자하고 최선을 다하는 모습은 이 시장이 Box에 얼마나 중요한지를 보여줍니다. Box는 다른 리소스와 더불어 프랑크푸르트 리전의 AWS 인프라를 활용합니다. 이 리전 역시 C5를 준수합니다.
Box, Inc.
인프라 관리를 위해 구성된 제도인 AWS C5 증명은 데이터 센터, 서버, 네트워크 및 데이터 영역에서 우리와 우리 고객에게 있어 정보 보안의 중요한 증거입니다. AWS의 안정적인 보안 덕분에 우리는 AWS를 믿고 우리 에너지를 자체 비즈니스에 집중할 수 있습니다.
e-Spirit AG

다음 FAQ는 SaaS 및 PaaS 애플리케이션에 대해 C5 증명을 받기 위한 안내서 역할을 하도록 구성되었습니다. C5 및 'Cloud Computing Compliance Controls Catalogue(C5) – 클라우드 서비스의 정보 보안을 평가하는 기준'에 대한 추가 정보는 BSI 웹 사이트를 참조하십시오.

C5 범위에 포함된 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하십시오. 이 서비스 사용에 대한 자세한 내용이나 다른 서비스에 관심이 있는 경우, AWS에 문의하시기 바랍니다.

C5(Cloud Computing Compliance Controls Catalogue)는 독일의 '클라우드 컴퓨팅 IT 보안' 표준입니다. BSI가 설계하여 2016년 2월에서 발표한 C5 제어 세트는 독일에 있는 고객이 복잡하고 규제를 받는 워크로드를 AWS와 같은 클라우드 컴퓨팅 서비스 공급자로 이전할 때 추가적인 보증을 제공합니다. C5는 다음과 같은 국제 표준을 포함합니다.

ISO/IEC 27001:2013(ISO – International Organization for Standardization)

CSA Cloud Controls Matrix 3.01(CSA – Cloud Security Alliance)

AICPA Trust Service Principles Criteria 2014(AICPA – American Institute of Certified Public Accountants)

ANSSI Référentiel Secure Cloud 2.0(초안)(ANSSI – Agence nationale de la sécurité des systèmes d'information)

IDW ERS FAIT 5 04.11.201(회계에 대한 성명 초안: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing"[클라우드 컴퓨팅을 비롯하여 회계 관련 서비스 아웃소싱에 대한 일반적으로 인정되는 회계 원칙], 2014년 11월 4일 버전)

BSI IT-Grundschutz Catalogues, 2014년 14번째 버전

BSI SaaS Sicherheitsprofile 2014[BSI SaaS 보안 프로필 2014]

독일의 국립 사이버보안 기관인 Bundesamt für Sicherheit in der Informationstechnik(BSI)에서 C5 표준을 만들었습니다. BSI는 모든 정부 시스템의 IT 보안 요구 사항을 정의하며 거의 모든 독일 기업이 BSI 표준에 맞춰 IT 보안 전략을 수립합니다.

위에 명시된 표준의 제어 항목 중에서 클라우드 컴퓨팅 범위에 해당하는 부분만 특별히 수집 및 패키징되었습니다. 이는 CSP와 고객이 공동 책임 모델에서 CSP의 역할과 고객의 역할을 명확히 이해할 수 있게 해준다는 이점을 제공합니다.

IT-Grundschutz는 기관의 정보에 대한 적절한 보호를 구성하고 유지 관리하는 데 대한 표준입니다. IT-Grundschutz Catalogues에서는 일반적인 비즈니스 프로세서, IT 시스템 및 애플리케이션에 대한 보호 조치를 설명하며, 엔터프라이즈의 자체 정보 보호를 다룹니다. C5에서는 클라우드 서비스 공급자(CSP) 상품에 대한 지침을 제공합니다.

인증은 공인된 전문 회사에서 발부하며 주로 1년에서 3년간 유효합니다. 증명은 규정 준수 감사 또는 설명을 통해 자격이 있는 인력에게 받을 수 있습니다. 증명은 지속적 구현의 측면에 좀 더 초점이 맞춰져 있습니다. 즉, 재감사 주기가 최하 6개월로 훨씬 짧습니다. ISAE 3000 / 3402에 따르면 감사 프로세스에서는 지난 시간 범위 동안 적절성과 유효성의 증거를 제공합니다. 인증은 단지 특정 시점의 스냅샷입니다.

특히 독일에서는 고객이 BSI에서 정의하는 독일 IT-Grundschutz(IT 기반 보안)의 인증을 받은 서비스를 찾는 데 익숙합니다. IT-Grundschutz는 온프레미스 또는 기존 아웃소싱 관계에는 적합하지만, 클라우드 컴퓨팅에는 최적화되어 있지 않습니다. C5는 클라우드 컴퓨팅의 모든 IT 보안 측면을 다루며 IT-Grundschutz에 상당하는 IT 보안 수준을 문서화한 보고서를 고객에게 제공합니다. 정부 기관의 경우 C5 증명은 조달 프로세스에서 기본적인 요구 사항입니다.

C5는 기본적으로 전문적인 클라우드 서비스 공급자, 그리고 이러한 클라우드 서비스 공급자의 감사자 및 고객을 대상으로 합니다. C5는 클라우드 공급자가 준수해야 하는 요구 사항(제어 항목이라고 부르기도 함) 또는 클라우드 공급자가 충족해야 하는 최소한의 요구 사항을 정의합니다. AWS 고객은 인프라(IaaS) 계층에 대한 C5 증명을 활용하여 자사의 SaaS/PaaS 계층 애플리케이션에 대한 증명을 받는 데 집중할 수 있습니다.

2016년 11월부로 AWS는 독일에서 인프라 수준의 C5를 받은 첫 번째 클라우드 서비스 공급자가 되었습니다. AWS는 이 C5 증명을 통해 고객이 감사자에게 클라우드 애플리케이션에 대한 C5 증명을 받을 수 있는 토대를 구축했습니다. 이는 AWS 고객에게 개별 감사 범위에 데이터 센터의 물리적 보안과 클라우드 인프라 부분의 관리를 포함할 필요 없이 자체 C5 증명을 추진할 기회를 제공합니다. C5 증명 프레임워크는 Software as a Service(SaaS) 및 Platform as a Service(PaaS)로서 배포되는 애플리케이션을 증명할 수 있습니다. 따라서 여러분의 고객은 모든 계층에서 BSI 표준 수준의 IT 보안을 효과적으로 구현하고 있다는 증거를 확인할 수 있습니다.

규정 준수 제어 항목 카탈로그는 공공 감사자가 검토한 클라우드 서비스에 대해 국제적으로 인정받는 절차에 따라 증명을 발부하도록 규정합니다. 증명의 근거는 감사자가 요구 사항이 효과적으로 충족되고 구현되었는지 입증하는 감사 보고서입니다.

C5 감사 준비 및 실행에 관한 질문은 담당 감사자에게 문의하시기 바랍니다.

일반적으로 연간 감사는 공공 감사자 개인이 아니라 팀에서 수행합니다. 이 팀에는 IT 전문가도 포함되어 있습니다. 규정 준수 제어 항목 카탈로그를 증명하기 위해서는 팀원들이 각각 자격을 갖추었음을 입증해야 합니다(섹션 3.5.1 참조). ISACA (CISA, CISM, CRISC), CSA(CCSK) 또는 ISO 27001 및 IT-Grundschutz 감사자 자격증을 예로 들 수 있습니다. 이러한 자격증은 증명에 포함하고 확인해야 합니다.

감사 프로세스 기간은 기업에서 보유한 기존 인증에 따라 달라집니다. ISO 27001과 같은 인증이 있다면 감사 프로세스가 단축됩니다. ISO IEC 27001의 모든 요구 사항이 규정 준수 제어 항목 카탈로그에도 명시되어 있으므로 증명과 인증을 함께 진행하는 것이 좋습니다.

BSI는 ANSSI 및 예정된 Secure Cloud Label에 맞추어 이 표준을 조정했습니다. C5 표준은 ESCloud라는 공통의 레이블하에 상호 인정 옵션을 제공한다는 명확한 목표를 가지고 프랑스의 Secure Cloud 표준에 영향을 주었고 또한 영향을 받았습니다.

 

AWS에 문의