雲端運算合規標準目錄

C5 報告向我們的歐洲客戶提供了獨立的第三方證明，證明我們的控制設計是否合適，以及操作有效性是否符合 C5 基本和附加標準。具體來說，在德國，客戶習慣於尋找根據 C5 標准進行評估的雲端服務。C5 為客戶提供一份等同於 IT-Grundschutz IT 安全性級別的架構文件，涵蓋雲端運算 IT 安全性的各個方面。對於聯邦管理機構而言，C5 證明是採購程序的基本需求。

您可以在個別的AWS 安全部落格 C5 文章中檢閱有關 AWS C5 的最新資訊。

使用 AWS Artifact (一個隨需存取 AWS 合規報告的自助服務入口網站) 可將 AWS C5 報告提供給客戶。登入 AWS 管理主控台中的 AWS Artifact，或者參閱 AWS Artifact 入門進一步了解詳細資訊。

BSI 符合 ANSSI 及其即將推出的 SecNumCloud 標籤。C5 標準與法國 SecNumCloud 標準互相影響，並都有一個明確的目標，就是希望在名為 ESCloud 的通用標籤下提供互相認可選項。另外，歐盟網路安全局 (ENISA) 的歐盟雲端服務網路安全認證計畫 (EUCS) 的草案版本很大程度上借鑒了 C5 的安全標準。

您可以在合規計畫的 AWS 服務範圍找到涵蓋於 C5 範圍內的 AWS 服務。如果您想進一步了解使用這些服務的資訊及/或對其他服務感興趣，請聯絡我們。

C5 範圍內的 AWS 區域包括法蘭克福、愛爾蘭、倫敦、巴黎、米蘭、斯德哥爾摩、新加坡、蘇黎世和西班牙，以及德國、愛爾蘭、英國、法國、新加坡、瑞典、意大利、西班牙和瑞士的邊緣節點。

認證是由經過認可的專業公司發行，有效期通常為一到三年。合格人員可在合規稽核或會計稽核期間收到證明。證明則專注在持續實作方面，這表示重新稽核的週期短很多，只要 6 個月。根據 ISAE 3000/3402，稽核程序可提供過去一段時間內的適當性和有效性證明。認證類似某段時間的快照。

IT-Grundschutz 是開發和維護機構資訊保護措施的適用標準。IT-Grundschutz Catalogues 說明一般業務程序、IT 系統和應用程式的保護措施，以及提供企業保護內部資訊的方法。C5 針對雲端服務供應商 (CSP) 產品提供指導。

C5 (雲端運算合規標準型錄) 是德國的「雲端運算 IT 安全性」標準。在 2016 年由 BSI 設計和率先發布，當德國客戶將複雜且受規範的工作負載移到 AWS 等雲端運算服務提供者時，C5 控制組可提供額外的保證。

目前的 C5 於 2020 年發布，並包括以下標準和發布要求：

• ISO/IEC 27001:2013 – 資訊安全管理系統 – 要求
• ISO/IEC 27002:2016 – IT 安全程序 – 資訊安全措施指引
• ISO/IEC 27017:2015 – 依據 ISO/IEC 27002 關於雲端服務的資訊安全控制實務準則
• BSI – IT-Grundschutz-Kompendium，2019 年第二版
• CSA – Cloud Controls Matrix 3.0.1 (CSA – 雲端安全聯盟)
• AICPA Trust Service Principles Criteria 2017 (AICPA – 美國會計師協會)
• ANSSI (Agence nationale de la sécurité des systèmes d’information，法國國家網路安全局) – 雲端運算服務供應商3.1 版 (SecNumCloud)
• IDW (Institut der Wirtschaftsprüfer，德國註冊會計師學會計學院) RS FAIT 5 – 財務報告聲明：《雲端運算等財務報告相關服務外包的有序會計原則》，截至 2015 年 11 月 4 日

C5 標準是由德國國家網路安全機構 Bundesamt für Sicherheit in der Informationstechnik (BSI) 於 2016 年制定。BSI 定義了所有政府系統的 IT 安全性需求，而且大多數德國公司的 IT 安全性策略都遵守 BSI 標準。BSI 於 2019 年對 C5 目錄進行了重新設計和更新。新版本 (C5:2020) 已於 2020 年 1 月完成。