- AWS Cloud Security›
- โปรแกรมการปฏิบัติตามข้อกำหนด
Cloud Computing Compliance Criteria Catalogue
C5
ภาพรวม
Cloud Computing Compliance Criteria Catalogue (C5) คือโครงการรับรองที่ได้รับการสนับสนุนจากรัฐบาลเยอรมนี ซึ่งเปิดตัวในเยอรมนีโดยสำนักงานรัฐบาลกลางเพื่อการรักษาความปลอดภัยของข้อมูล (BSI) C5 ช่วยให้องค์กรแสดงถึงการรักษาความปลอดภัยในการปฏิบัติงานต่อการโจมตีทางไซเบอร์ทั่วไปเมื่อใช้บริการระบบคลาวด์ภายในบริบทของ "คำแนะนำด้านการรักษาความปลอดภัยสำหรับผู้ให้บริการระบบคลาวด์" ของรัฐบาลเยอรมนี
ลูกค้า AWS และที่ปรึกษาด้านการปฏิบัติตามข้อกำหนดสามารถใช้การรับประกัน C5 นี้ในการทำความเข้าใจการควบคุมการรักษาความปลอดภัยที่ AWS นำมาใช้เพื่อให้เป็นไปตามข้อกำหนด C5 เมื่อตนย้ายเวิร์กโหลดไปยังระบบคลาวด์ C5 เพิ่มระดับ IT-Security ที่กำหนดโดยกฎระเบียบเทียบเท่ากับ IT-Grundschutz โดยมีปัจจัยควบคุมคลาวด์แบบเฉพาะเพิ่มเข้ามา
C5 รวมข้อกำหนดการควบคุมเพิ่มเติมซึ่งเกี่ยวกับสถานที่ตั้งข้อมูล การจัดเตรียมบริการ ขอบเขตอำนาจศาล การรับรองที่มีอยู่ ภาระผูกพันในการเปิดเผยข้อมูล และคำอธิบายแบบครบวงจร เมื่อใช้ข้อมูลนี้ ลูกค้าสามารถประเมินว่าข้อปฏิบัติทางกฎหมาย (เช่น ความเป็นส่วนตัวของข้อมูล) นโยบายของตนเอง หรือสภาพแวดล้อมของภัยคุกคาม มาเกี่ยวข้องกับการใช้บริการการประมวลผลระบบคลาวด์ของพวกเขาได้อย่างไร
คำถามที่พบบ่อย
เปิดทั้งหมดรายงาน C5 ให้การรับรองจากองค์กรอิสระภายนอกแก่ลูกค้าในยุโรปของเราเกี่ยวกับความเหมาะสมของการออกแบบและประสิทธิภาพในการดำเนินงานด้านการควบคุมของเรา เพื่อให้เป็นไปตามเกณฑ์พื้นฐานและเกณฑ์อื่น ๆ เพิ่มเติมของ C5 โดยเฉพาะอย่างยิ่ง ลูกค้าในเยอรมนีคุ้นเคยกับการมองหาบริการระบบคลาวด์ที่ได้รับการประเมินตามเกณฑ์ C5 C5 จะมอบเฟรมเวิร์กที่เป็นบันทึกข้อมูลระดับ IT-Security ที่เทียบเท่ากับ IT-Grundschutz ซึ่งครอบคลุมประเด็นในทุกๆ ด้านของ IT-Security สำหรับการประมวลผลบนระบบคลาวด์ให้แก่ลูกค้า สำหรับหน่วยงานกำกับดูแลของรัฐบาลกลาง การรับประกัน C5 ถือเป็นข้อกำหนดพื้นฐานในกระบวนการการจัดหา
ข้อมูลปัจจุบันเกี่ยวกับ C5 ที่ AWS หาอ่านได้ที่โพสต์ C5 ของบล็อกการรักษาความปลอดภัย AWS ที่เกี่ยวข้อง
ลูกค้าสามารถดูรายงาน AWS C5 ได้โดยใช้ AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับการเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามต้องการ ลงชื่อเข้าใช้ AWS Artifact ในคอนโซลการจัดการของ AWS หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact
BSI ปรับงานนี้ให้สอดคล้องกับ ANSSI และ SecNumCloud Label ที่กำลังจะมีขึ้น มาตรฐาน C5 ได้รับอิทธิพลจากและในทางกลับกันก็มีอิทธิพลกับมาตรฐาน SecNumCloud ในฝรั่งเศส ด้วยเป้าหมายที่ชัดเจนในการมีตัวเลือกสำหรับการยอมรับร่วมกันภายใต้ตราร่วมที่เรียกว่า ESCloud นอกจากนี้ European Union Cybersecurity Certification Scheme for Cloud Services (EUCS) ฉบับร่างของ European Union Agency for Cybersecurity (ENISA) นำมาจากมาตรฐานความปลอดภัยของ C5 เป็นส่วนใหญ่
บริการของ AWS ที่ครอบคลุมซึ่งอยู่ในขอบข่ายของ C5 อยู่แล้วนั้นได้รับการระบุไว้ในบริการของ AWS ซึ่งอยู่ในขอบข่ายโปรแกรมการปฏิบัติตามข้อกำหนด หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการใช้บริการเหล่านี้ และ/หรือสนใจในบริการอื่น ๆ โปรดติดต่อเรา
AWS Region ที่อยู่ในขอบเขตสำหรับ C5 ได้แก่ แฟรงเฟิร์ต ไอร์แลนด์ ลอนดอน ปารีส มิลาน สตอกโฮล์ม สิงคโปร์ ซูริก และสเปน รวมถึง Edge Location ในเยอรมนี ไอร์แลนด์ อังกฤษ ฝรั่งเศส สิงคโปร์ สวีเดน อิตาลี สเปน และสวิตเซอร์แลนด์
ใบรับรองออกโดยบริษัทผู้เชี่ยวชาญที่ได้รับการรับรองและมักจะมีอายุระหว่างหนึ่งถึงสามปี สามารถรับใบรับประกันได้ระหว่างการตรวจสอบการปฏิบัติตามข้อกำหนดหรือการตรวจสอบการทำบัญชีโดยบุคลากรที่มีคุณสมบัติ การรับประกันมุ่งเน้นที่มุมมองการใช้งานอย่างต่อเนื่องมากกว่า ซึ่งหมายความว่าวงจรการตรวจสอบซ้ำจะสั้นลงมากเป็นทุกๆ 6 เดือน ตาม ISAE 3000 / 3402 นั้น กระบวนการตรวจสอบจะนำส่งหลักฐานของความเหมาะสมและประสิทธิภาพตลอดระยะเวลาที่ผ่านไป ใบรับรองสามารถรับรองได้เพียงช่วงเวลาสั้นๆ เท่านั้น
IT-Grundschutz คือมาตรฐานสำหรับการสร้างและรักษาการปกป้องข้อมูลขององค์กรที่เหมาะสม IT-Grundschutz Catalogues อธิบายการป้องกันสำหรับกระบวนการทางธุรกิจทั่วไป ระบบด้าน IT และแอปพลิเคชัน และกล่าวถึงการป้องกันข้อมูลขององค์กร C5 มอบคำแนะนำเกี่ยวกับข้อเสนอของผู้ให้บริการระบบคลาวด์ (CSP)
- ISO/IEC 27001:2013 – ระบบการจัดการความปลอดภัยข้อมูล – ข้อกำหนด
- ISO/IEC-27002:2016 – ขั้นตอนการรักษาความปลอดภัยด้านไอที – แนวทางสำหรับมาตรการรักษาความปลอดภัยของข้อมูล
- ISO/IEC 27017:2015 – เทคนิคความปลอดภัย – แนวทางปฏิบัติสำหรับการควบคุมความปลอดภัยข้อมูลตาม ISO/IEC 27002 สำหรับบริการคลาวด์
- BSI – IT-Grundschutz-Kompendium, 2nd Edition 2019
- CSA – Cloud Controls Matrix 3.0.1 (CSA - Cloud Security Alliance)
- AICPA Trust Service Principles Criteria 2017 (AICPA – American Institute of Certified Public Accountants)
- ANSSI (Agence nationale de la securité des systemèmes d'information หน่วยงานความปลอดภัยทางไซเบอร์แห่งชาติของฝรั่งเศส) – ผู้ให้บริการการประมวลผลบนคลาวด์ v. 3.1 (SecNumCloud)
- IDW (Institut der Wirtschaftsprüfer สถาบันนักบัญชีสาธารณะที่ผ่านการรับรองของเยอรมัน) RS FAIT 5 – รายงานงบทางการเงิน: “หลักการบัญชีอย่างเป็นระเบียบสำหรับการเอาท์ซอร์สบริการที่เกี่ยวข้องกับการรายงานทางการเงินรวมถึงการประมวลผลบนคลาวด์” ณ วันที่ 4 พฤศจิกายน 2015
C5 (Cloud Computing Compliance Criteria Catalogue) เป็นมาตรฐาน “IT-Security ด้านการประมวลผลบนคลาวด์” ในเยอรมนี ออกแบบและจำหน่ายครั้งแรกโดย BSI ในปี 2016 ชุดการควบคุม C5 จะมีการรับประกันเพิ่มเติมให้แก่ลูกค้าในเยอรมนี ขณะที่พวกเขาย้ายเวิร์กโหลดที่ซับซ้อนและมีการควบคุมไปยังผู้ให้บริการการประมวลผลบนคลาวด์เช่น AWS
C5 ปัจจุบันได้รับการเผยแพร่ในปี 2020 และรวมถึงข้อกำหนดจากมาตรฐานและสิ่งพิมพ์ต่อไปนี้:
สำนักงานความมั่นคงทางไซเบอร์แห่งชาติของเยอรมนี "Bundesamt für Sicherheit in der Informationstechnik (BSI)" ได้สร้างมาตรฐาน C5 ขึ้นในปี 2016 BSI นิยามข้อกำหนด IT-Security สำหรับระบบหน่วยงานของรัฐทั้งหมด และบริษัทในเยอรมนีส่วนใหญ่ปรับกลยุทธ์ด้าน IT-Security ของตนให้สอดคล้องกับมาตรฐาน BSI BSI ได้ดำเนินการปรับปรุงแก้ไขและอัปเดตแค็ตตาล็อก C5 ในปี 2019 เวอร์ชันใหม่ (C5:2020) แล้วเสร็จในเดือนมกราคม 2020