Cloud Computing Compliance Controls Catalog (C5)

概觀

AWSC5Logo

Cloud Computing Compliance Controls Catalog (C5) 是德國政府支持的證明機制,由聯邦資訊安全局 (BSI) 引進德國,以協助組織在使用雲端服務時,根據德國政府的「雲端供應商安全建議」內容來證明自己符合常見網路攻擊的操作安全性。

AWS 客戶及其合規性顧問可以使用 C5 證明來了解 AWS 實作的安全控制,以在其將工作負載遷移至雲端時滿足 C5 的要求。C5 新增了由法規定義的 IT 安全層級,等同 IT-Grundschutz 加上其他雲端特定控制。

C5 包含與資料位置、服務佈建、管轄地、現有認證、資訊公開義務以及完整服務描述相關的其他控制要求。客戶可以使用這些資訊來評估法規 (即資料隱私權)、自己的政策或威脅環境與他們使用雲端運算服務的關係。

  • 什麼是 C5?

    C5 (Cloud Computing Compliance Controls Catalogue) 是德國的「雲端運算 IT 安全性」標準。在 2016 年 2 月由 BSI 設計和發佈,當德國客戶將複雜且受規範的工作負載移到 AWS 等雲端運算服務提供者時,C5 控制組可提供額外的保證。C5 涵蓋以下國際標準:

    • ISO/IEC 27001:2013 (ISO – 國際標準組織)
    • CSA Cloud Controls Matrix 3.01 (CSA – 雲端安全聯盟)
    • AICPA Trust Service Principles Criteria 2014 (AICPA – 美國會計師協會)
    • ANSSI Référentiel Secure Cloud 2.0 (草案) (ANSSI – Agence nationale de la sécurité des systèmes d'information)
    • IDW ERS FAIT 5 04.11.201 (會計報表草案:"Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing" [外包雲端運算等會計相關服務的一般公認會計原則],2014 年 11 月 4 日版本)
    • BSI IT-Grundschutz Catalogues,2014 年第 14 版
    • BSI SaaS Sicherheitsprofile 2014 [2014 年 BSI SaaS 安全規範]
  • 這個標準對客戶有什麼好處?

    AWS 已針對 C5 資訊安全和合規性計劃完成了 2020 年評定,可以在 AWS Artifact 中下載 C5 報告。AWS 的 2021 C5 證明報告將於 2021 年下半年發佈。 

    C5 報告向我們的歐洲客戶提供了獨立的第三方證明,證明我們的控制設計是否合適,以及操作有效性是否符合 C5 基本和附加標準。具體來說,在德國,客戶習慣於尋找根據 C5 標准進行評估的雲端服務。C5 為客戶提供一份等同於 IT-Grundschutz IT 安全性級別的框架文件,涵蓋雲端運算 IT 安全性的各個方面。對於聯邦管理機構而言,C5 證明是採購程序的基本需求。

  • 哪些 AWS 區域屬於 C5 的範圍?

    C5 範圍內的 AWS 區域包括法蘭克福、愛爾蘭、倫敦、巴黎、米蘭、斯德哥爾摩和新加坡,以及德國、愛爾蘭、英國、法國和新加坡的邊緣地區。

  • 範圍內包含哪些服務?

    您可以在合規計劃的 AWS 服務範圍找到涵蓋於 C5 範圍內的 AWS 服務。如果您想進一步了解使用這些服務的資訊及/或對其他服務感興趣,請聯絡我們

  • 誰建立了C5 標準?

    C5 標準是由德國的國家網路安全機構 Bundesamt für Sicherheit in der Informationstechnik (BSI) 於 2016 年制定。BSI 於 2019 年對 C5 目錄進行了重新設計和更新。新版本 (C5:2020) 已於 2020 年 1 月完成。BSI 強烈建議對評定期在 2021 年 2 月 15 日或之後結束的稽核採用 C5:2020。BSI 定義了所有政府系統的 IT 安全性需求,而且大多數德國公司的 IT 安全性策略都遵守 BSI 標準。

  • C5 和 BSI IT-Grundschutz 的差異為何?

    IT-Grundschutz 是開發和維護機構資訊保護措施的適用標準。IT-Grundschutz Catalogues 說明一般業務程序、IT 系統和應用程式的保護措施,以及提供企業保護內部資訊的方法。C5 針對雲端服務供應商 (CSP) 產品提供指導。

  • AWS 如何支援我取得 SaaS 和 PaaS 應用程式的 C5 證明?

    C5 主要適用於專業雲端服務供應商、其稽核人員,以及雲端服務供應商的客戶。其定義了雲端供應商必須遵守的要求 (也稱為控制)。

    AWS 在 2016 年 11 月成為德國第一家在基礎設施層級獲得 C5 證明的雲端服務供應商。德國和其他歐洲國家/地區的客戶可以使用 AWS 的證明報告,以協助他們滿足 C5 框架的本地安全要求。AWS 的 C5 證明為他們透過稽核人員實現其雲端應用程式 C5 證明奠定了基礎。尤其是,客戶有機會取得自己的 C5 證明,無須在個別稽核的範圍中包含資料中心的實體安全性,或管理雲端的基礎設施部分。部署為軟體即服務 (SaaS) 和平台即服務 (PaaS) 的應用程式也可根據 C5 框架進行評估。AWS 的支援可協助您向客戶表明,您在所有層級有效實作了 BSI 標準級別 IT 安全性。

  • 這項標準在國際間是否有影響力?

    BSI 符合 ANSSI 及其即將推出的 SecNumCloud 標籤。C5 標準與法國 SecNumCloud 標準互相影響,並都有一個明確的目標,就是希望在名為 ESCloud 的通用標籤下提供互相認可選項。另外,歐盟網路安全局 (ENISA) 的歐盟雲端服務網路安全認證計劃 (EUCS) 的草案版本很大程度上借鑒了 C5 的安全標準。

  • 問:認證和證明有什麼不同?

    認證是由經過認可的專業公司發行,有效期通常為一到三年。合格人員可在合規稽核或會計稽核期間收到證明。證明則專注在持續實作方面,這表示重新稽核的週期短很多,只要 6 個月。根據 ISAE 3000/3402,稽核程序可提供過去一段時間內的適當性和有效性證明。認證類似某段時間的快照。

compliance-contactus-icon
有問題? 聯絡 AWS 業務代表
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »