Cloud Computing Compliance Controls Catalog (C5)
概觀
Cloud Computing Compliance Controls Catalog (C5) 是由德國聯邦資訊安全辦公室 (BSI) 在德國推出的由德國政府支援的證明方案。C5 可協助組織在德國政府的「雲端供應商安全建議」框架內使用雲端服務時,展示針對常見網路攻擊的營運安全性。
AWS 客戶及其合規性顧問可以使用 C5 證明來了解 AWS 實作的安全控制,以在其將工作負載遷移至雲端時滿足 C5 的要求。C5 新增了由法規定義的 IT 安全層級,等同 IT-Grundschutz 加上其他雲端特定控制。
C5 包含與資料位置、服務佈建、管轄地、現有認證、資訊公開義務以及完整服務描述相關的其他控制要求。客戶可以使用這些資訊來評估法規 (即資料隱私權)、自己的政策或威脅環境與他們使用雲端運算服務的關係。
-
什麼是 C5?
C5 (Cloud Computing Compliance Controls Catalogue) 是德國的「雲端運算 IT 安全性」標準。在 2016 年 2 月由 BSI 設計和發佈,當德國客戶將複雜且受規範的工作負載移到 AWS 等雲端運算服務提供者時,C5 控制組可提供額外的保證。C5 涵蓋以下國際標準:
- ISO/IEC 27001:2017 (ISO – 國際標準組織)
- CSA Cloud Controls Matrix 3.01 (CSA – 雲端安全聯盟)
- AICPA Trust Service Principles Criteria 2017 (AICPA – 美國會計師協會)
- Trusted Cloud Data Protection Profile (TCDP) – 版本 1
- ISO/IEC 27017:2015
- ISO/IEC 27-18:2014
- BSI IT-Grundschutz Kompendium – 版本 2019
-
誰建立了 C5 標準?
C5 標準是由德國國家網路安全機構 Bundesamt für Sicherheit in der Informationstechnik (BSI) 於 2016 年制定。BSI 定義了所有政府系統的 IT 安全性需求,而且大多數德國公司的 IT 安全性策略都遵守 BSI 標準。BSI 於 2019 年對 C5 目錄進行了重新設計和更新。新版本 (C5:2020) 已於 2020 年 1 月完成。
-
這個標準對客戶有什麼好處?
C5 報告向我們的歐洲客戶提供了獨立的第三方證明,證明我們的控制設計是否合適,以及操作有效性是否符合 C5 基本和附加標準。具體來說,在德國,客戶習慣於尋找根據 C5 標准進行評估的雲端服務。C5 為客戶提供一份等同於 IT-Grundschutz IT 安全性級別的架構文件,涵蓋雲端運算 IT 安全性的各個方面。對於聯邦管理機構而言,C5 證明是採購程序的基本需求。
您可以在個別的 AWS 安全部落格 C5 文章 中檢閱有關 AWS C5 的最新資訊。
-
哪些 AWS 區域屬於 C5 的範圍?
C5 範圍內的 AWS 區域包括法蘭克福、愛爾蘭、倫敦、巴黎、米蘭、斯德哥爾摩和新加坡,以及德國、愛爾蘭、英國、法國和新加坡的邊緣節點。 -
範圍內包含哪些服務?
您可以在合規計劃的 AWS 服務範圍找到涵蓋於 C5 範圍內的 AWS 服務。如果您想進一步了解使用這些服務的資訊及/或對其他服務感興趣,請聯絡我們。
-
C5 和 IT-Grundschutz 的差異為何?
IT-Grundschutz 是開發和維護機構資訊保護措施的適用標準。IT-Grundschutz Catalogues 說明一般業務程序、IT 系統和應用程式的保護措施,以及提供企業保護內部資訊的方法。C5 針對雲端服務供應商 (CSP) 產品提供指導。 -
這項標準在國際間是否有影響力?
BSI 符合 ANSSI 及其即將推出的 SecNumCloud 標籤。C5 標準與法國 SecNumCloud 標準互相影響,並都有一個明確的目標,就是希望在名為 ESCloud 的通用標籤下提供互相認可選項。另外,歐盟網路安全局 (ENISA) 的歐盟雲端服務網路安全認證計劃 (EUCS) 的草案版本很大程度上借鑒了 C5 的安全標準。
-
問:認證和證明有什麼不同?
認證是由經過認可的專業公司發行,有效期通常為一到三年。合格人員可在合規稽核或會計稽核期間收到證明。證明則專注在持續實作方面,這表示重新稽核的週期短很多,只要 6 個月。根據 ISAE 3000/3402,稽核程序可提供過去一段時間內的適當性和有效性證明。認證類似某段時間的快照。
