Cloud Computing Compliance Controls Catalog (C5)

概觀

AWSC5Logo

Cloud Computing Compliance Controls Catalog (C5) 是德國政府支持的證明機制,由聯邦資訊安全局 (BSI) 引進德國,以協助組織根據德國政府的「雲端供應商安全建議」內容來證明自己符合常見網路攻擊的操作安全性。

當 AWS 客戶及其合規顧問將工作負載移動到雲端時,可使用 C5 證明來了解 AWS 提供的 IT 安全保證服務範圍。C5 新增了由法規定義的 IT 安全層級,等同 IT-Grundschutz 加上其他雲端特定控制。

C5 也新增了其他控制,以提供資料位置、服務佈建、管轄地、現有認證、資訊公開義務以及完整服務描述的相關資訊。客戶可以使用這些資訊來評估法規 (即資料隱私權)、自己的政策或威脅環境與他們使用雲端運算服務的關係。

適用於 SaaS 和 PaaS 應用程式的 C5 證明

AWS 客戶可以為 AWS 基礎設施上執行的雲端應用程式取得 C5 證明。從 2016 年 11 月開始,AWS 是德國第一家在基礎設施層級獲得 C5 的雲端服務供應商。有了 C5 報告,AWS 奠定了以基礎設施即服務 (IaaS) 供應商身分證明 C5 合規的基礎。

AWS 客戶現在可以為雲端應用程式取得 C5 證明,而無須稽核資料中心或雲端基礎設施的實體安全性。客戶也可證明部署為軟體即服務 (SaaS) 和平台即服務 (PaaS) 的應用程式符合 C5 證明框架。如此,他們的客戶就能獲得在所有層級有效實作 BSI 標準級別 IT 安全性的證明。

C5 客戶見證

BSI 雲端運算合規控制型錄 (C5) 涵蓋了安全運作雲端服務的各個方面。對於目前的 AWS 客戶,將會大幅加快與安全經理和合規經理之間的內部討論。而對於潛在客戶,則將更容易地將使用案例移轉到 AWS。不管我們採用哪一種案例,證明都將大幅提高服務消費量。

Computacenter AG & Co oHG

BSI C5 證明是 Box 雲端確實為企業內容管理的安全雲端解決方案的證據。Box 在德國和歐洲的合規上投入大量心力,展現出該公司對這些市場的重視。Box 選擇在法蘭克福區域使用符合 C5 的 AWS 基礎設施。

Box, Inc.

AWS C5 證明是專為管理基礎設施所設計的機制,對我們和我們的客戶而言是資料中心、伺服器、網路和資料等領域資料安全的最佳證明。有了 AWS 可靠的安全性,我們可以放心將精力專注在開發自己的業務上。

e-Spirit AG

以下常見問答集是用來協助您取得 SaaS 和 PaaS 應用程式的 C5 證明。如需 C5 和「Cloud Computing Compliance Controls Catalogue (C5) – 評估雲端服務資料安全性的條件」的其他資訊,請參閱 BSI 網站

  • 哪些 AWS 服務屬於 C5 的範圍?

    您可以在合規計劃的 AWS 服務範圍找到涵蓋於 C5 範圍內的 AWS 服務。如果您想進一步了解使用這些服務的資訊及/或對其他服務感興趣,請聯絡我們

  • 什麼是 C5?

    C5 (Cloud Computing Compliance Controls Catalogue) 是德國的「雲端運算 IT 安全性」標準。此標準是在 2016 年 2 月由 BSI 設計和發佈,當德國客戶將複雜且受規範的工作負載移到 AWS 等雲端運算服務提供者時,C5 控制組可提供額外的保證。C5 涵蓋以下國際標準:

    • ISO/IEC 27001:2013 (ISO – 國際標準組織)
    • CSA Cloud Controls Matrix 3.01 (CSA – 雲端安全聯盟)
    • AICPA Trust Service Principles Criteria 2014 (AICPA – 美國會計師協會)
    • ANSSI Référentiel Secure Cloud 2.0 (草案) (ANSSI – Agence nationale de la sécurité des systèmes d'information)
    • IDW ERS FAIT 5 04.11.201 (會計報表草案:"Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing" [外包雲端運算等會計相關服務的一般公認會計原則],2014 年 11 月 4 日版本)
    • BSI IT-Grundschutz Catalogues,2014 年第 14 版
    • BSI SaaS Sicherheitsprofile 2014 [2014 年 BSI SaaS 安全規範]
  • 誰建立了這個新的標準?

    C5 標準是由德國的國家網路安全機構 Bundesamt für Sicherheit in der Informationstechnik (BSI) 所建立。BSI 定義了所有政府系統的 IT 安全性需求,而且大多數德國公司的 IT 安全性策略都遵守 BSI 標準。

  • 建立新標準的原因?

    收集上述標準的各項控制,然後針對雲端運算領域加以封裝。此標準清楚解釋 CSP 的角色,以及客戶在共同的責任模型中扮演的角色,為 CSP 和客戶提供許多好處。

  • C5 和 BSI IT-Grundschutz 的差異為何?

    IT-Grundschutz 是開發和維護機構資訊保護措施的適用標準。IT-Grundschutz Catalogues 說明一般業務程序、IT 系統和應用程式的保護措施,以及提供企業保護內部資訊的方法。C5 針對雲端服務供應商 (CSP) 產品提供指導。

  • 問:認證和證明有什麼不同?

    認證是由經過認可的專業公司發行,有效期通常為一到三年。合格人員可在合規稽核或會計期間收到證明。證明則專注在持續實作方面,這表示重新稽核的週期短很多,只要 6 個月。根據 ISAE 3000/3402,稽核程序可提供過去一段時間內的適當性和有效性證明。認證類似某段時間的快照。

  • 這個標準對客戶有什麼好處?

    在德國特別有用,客戶通常會尋找經 BSI 既定德國 IT-Grundschutz (IT 基準安全性) 認證過的服務。IT-Grundschutz 非常適用於現場部署或傳統外包關係,但並未針對雲端運算進行優化。C5 提供客戶一份等同於 IT-Grundschutz IT 安全性級別的報告,涵蓋雲端運算 IT 安全性的各個方面。對於管理機構而言,C5 證明是採購程序的基本需求。

  • AWS 如何支援我取得 SaaS 和 PaaS 應用程式的 C5 證明?

    C5 主要適用於專業雲端服務供應商、其稽核人員,以及雲端服務供應商的客戶。它定義了雲端供應商要遵守的規定 (也稱為控制),以及雲端供應商必須遵守的最低需求。AWS 客戶受惠於基礎設施 (IaaS) 層級的 C5 證明,讓他們可以專注在 SaaS/PaaS 層級應用程式的證明。

    AWS 在 2016 年 11 月成為德國第一家在基礎設施層級獲得 C5 的雲端服務供應商。有了 C5 證明,我們為您奠定了從稽核人員取得雲端應用程式 C5 證明的基礎。這讓 AWS 客戶有機會取得自己的 C5 證明,無須在個別稽核的範圍中包含資料中心的實體安全性,以及管理雲端的基礎設施部分。部署為軟體即服務 (SaaS) 和平台即服務 (PaaS) 的應用程式也可取得 C5 證明框架的證明。如此,您的客戶就能獲得在所有層級有效實作 BSI 標準級別 IT 安全性的證明。

  • 如何取得 C5 證明?

    Compliance Controls Catalogue 指定公共稽核人員需根據國際公認的程序進行檢驗,然後核發雲端服務的證明。證明發出與否則是根據稽核人員的稽核報告,其中是否證實受稽核者符合且有效實作各項需求。

    有關準備和執行 C5 稽核的問題,請洽詢您的稽核人員。

  • 選擇稽核人員時應注意哪些條件?

    年度稽核通常不是由公共稽核人員親自執行,而是由團隊進行。這個團隊也有 IT 專家。若要核發 Compliance Controls Catalogue 證明,團隊成員必須證明其符合資格 (請參閱第 3.5.1 節)。範例包含來自 ISACA (CISACISMCRISC) 和 CSA (CCSK) 或 ISO 27001 及 IT-Grundschutz 稽核人員的認證。這些資格必須在證明中列出並通過驗證。

  • 取得 C5 證明的稽核程序需要多久時間?

    稽核程序的時間取決於您公司的現有認證。ISO 27001 這類認證可縮短稽核程序的時間。建議同時進行證明和認證,因為 ISO IEC 27001 的所有需求也都列在 Compliance Controls Catalogue 中。

  • 這項標準在國際間是否有影響力?

    BSI 符合 ANSSI 及其即將推出的安全雲端標籤。C5 標準與法國安全雲端標準互相影響,並都有一個明確的目標,就是希望在名為 ESCloud 的通用標籤下提供互相認可選項。

compliance-contactus-icon
有問題?與 AWS 合規代表聯繫
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »