Danh mục Tiêu chí tuân thủ điện toán đám mây
(C5)
Tổng quan
Danh mục Tiêu chí tuân thủ điện toán đám mây (C5) là một chương trình chứng thực được Chính phủ Đức hỗ trợ, do Cơ quan liên bang về Bảo mật thông tin (BSI) đưa ra ở Đức. C5 giúp các tổ chức chứng tỏ mức độ bảo mật vận hành trước những hình thức tấn công mạng phổ biến khi sử dụng các dịch vụ đám mây trong bối cảnh "Đề xuất về bảo mật cho các nhà cung cấp dịch vụ đám mây" của Chính phủ Đức.
Chứng thực C5 có thể được khách hàng AWS và cố vấn tuân thủ của họ sử dụng để hiểu rõ các biện pháp kiểm soát bảo mật mà AWS triển khai nhằm đáp ứng các yêu cầu C5 khi họ đưa khối lượng công việc của mình lên đám mây. C5 bổ sung thêm mức độ IT-Security theo quy định tương đương với IT-Grundschutz với việc bổ sung các kiểm soát đám mây cụ thể.
C5 bao gồm thêm các yêu cầu kiểm soát liên quan tới vị trí dữ liệu, cung cấp dịch vụ, vị trí lãnh thổ pháp lý, chứng nhận hiện tại, nghĩa vụ tiết lộ thông tin và mô tả đầy đủ dịch vụ. Sử dụng thông tin này, khách hàng có thể đánh giá các quy định pháp lý (tức là quyền riêng tư về dữ liệu), các chính sách của họ hoặc môi trường đe dọa có liên quan như thế nào tới việc họ sử dụng dịch vụ điện toán đám mây.
Câu hỏi thường gặp
Mở tất cả- ISO/IEC 27001:2013 – Hệ thống quản lý bảo mật thông tin – Yêu cầu
- ISO/IEC 27002:2016 – Quy trình bảo mật CNTT – Hướng dẫn về các biện pháp bảo mật thông tin
- ISO/IEC 27017:2015 – Kỹ thuật bảo mật – Quy tắc thực hành kiểm soát bảo mật thông tin dựa trên ISO/IEC 27002 cho các dịch vụ đám mây
- BSI – IT-Grundschutz Kompendium – Phiên bản 2 năm 2019
- CSA – Ma trận kiểm soát đám mây 3.0.1 (CSA – Liên minh Bảo mật Đám mây)
- Tiêu chí nguyên tắc dịch vụ tin cậy AICPA 2017 (AICPA – Viện Kế toán Công chứng Hoa Kỳ)
- ANSSI (Agence nationale de la securité des systèmes d'information, Cơ quan An ninh mạng Quốc gia Pháp) – Nhà cung cấp dịch vụ điện toán đám mây phiên bản 3.1 (SecNumCloud)
- IDW (Institut der Wirtschaftsprüfer, Viện Kế toán Công chứng Đức) RS FAIT 5 – Tuyên bố về báo cáo tài chính: “Nguyên tắc kế toán có trật tự cho việc thuê ngoài các dịch vụ liên quan đến báo cáo tài chính bao gồm điện toán đám mây”, tính đến ngày 4 tháng 11 năm 2015
C5 (Danh mục Tiêu chí tuân thủ điện toán đám mây) là một tiêu chuẩn “Bảo mật CNTT điện toán đám mây” ở Đức. Được thiết kế và ban hành lần đầu bởi BSI vào năm 2016, nhóm biện pháp kiểm soát trong C5 giúp khách hàng ở Đức an tâm hơn khi họ chuyển khối lượng công việc phức tạp và có quy định điều chỉnh sang các nhà cung cấp Dịch vụ điện toán đám mây như AWS.
C5 hiện tại được phát hành vào năm 2020 và bao gồm các yêu cầu từ các tiêu chuẩn và ấn bản sau:
Cơ quan quản lý an ninh mạng quốc gia của Đức, Bundesamt für Sicherheit in der Informationstechnik (BSI), là tổ chức phát triển tiêu chuẩn C5 năm 2016. BSI xác định yêu cầu về Bảo mật CNTT cho tất cả các hệ thống của chính phủ và hầu hết các công ty của Đức phải điều chỉnh chiến lược Bảo mật CNTT của mình theo tiêu chuẩn của BSI. Phiên bản hiện tại (C5:2020) được hoàn tất vào tháng 1 năm 2020.
Báo cáo C5 cung cấp cho khách hàng châu Âu một chứng thực độc lập của bên thứ ba về tính phù hợp của thiết kế và hiệu quả hoạt động của các biện pháp kiểm soát mà chúng tôi cung cấp nhằm đáp ứng các tiêu chí cơ bản và bổ sung của C5. Cụ thể, những khách hàng ở Đức thường tìm kiếm các dịch vụ đám mây đã được đánh giá theo các tiêu chí của C5. C5 cung cấp cho khách hàng một khung ghi lại cấp Bảo mật CNTT tương đương với IT-Grundschutz, áp dụng cho tất cả khía cạnh Bảo mật CNTT cho Điện toán đám mây. Đối với các cơ quan liên bang, chứng thực C5 là một yêu cầu cơ bản trong quá trình mua sắm.
Bạn có thể xem lại thông tin hiện tại về C5 tại AWS trên các bài đăng về C5 trên Blog bảo mật AWS tương ứng.
Các Khu vực AWS thuộc phạm vi C5 bao gồm Frankfurt, Ireland, London, Paris, Milan, Stockholm, Singapore, Zurich và Tây Ban Nha, cũng như các vị trí biên ở Áo, Bỉ, Bulgaria, Croatia, Cộng hòa Séc, Đan Mạch, Estonia, Phần Lan, Pháp, Đức, Hy Lạp, Hungary, Ireland, Ý, Hà Lan, Na Uy, Ba Lan, Bồ Đào Nha, Romania, Singapore, Tây Ban Nha, Thụy Điển, Thụy Sĩ và Vương quốc Anh.
Bạn có thể tìm thấy những dịch vụ AWS được áp dụng nằm trong phạm vi cho C5 ở Dịch vụ AWS trong phạm vi theo Chương trình tuân thủ. Nếu bạn muốn tìm hiểu thêm về việc sử dụng các dịch vụ này và/hoặc quan tâm đến các dịch vụ khác, vui lòng liên hệ với chúng tôi.
IT-Grundschutz là một tiêu chuẩn về thiết lập và duy trì biện pháp bảo vệ thích hợp đối với thông tin của một tổ chức. Danh mục IT-Grundschutz mô tả biện pháp bảo vệ cho các quy trình kinh doanh, hệ thống CNTT và ứng dụng điển hình, đồng thời giải quyết vấn đề bảo vệ thông tin riêng của doanh nghiệp. C5 đưa ra hướng dẫn về dịch vụ của nhà cung cấp dịch vụ đám mây (CSP).
Báo cáo AWS C5 được cung cấp cho khách hàng bằng cách sử dụng AWS Artifact, một cổng thông tin tự phục vụ để truy cập báo cáo tuân thủ AWS theo nhu cầu. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS hoặc tìm hiểu thêm tại Bắt đầu sử dụng AWS Artifact.
Vào tháng 1 năm 2026, chúng tôi đã công bố cung cấp rộng rãi AWS European Sovereign Cloud, nền tảng đám mây độc lập mới dành cho khu vực Châu Âu nằm hoàn toàn trong lãnh thổ Liên minh Châu Âu (EU) và tách biệt về mặt vật lý cũng như logic với tất cả các Khu vực AWS khác. Báo cáo AWS European Sovereign Cloud C5 chuyên dụng cung cấp cho khách hàng của chúng tôi chứng thực độc lập của bên thứ ba về sự phù hợp trong thiết kế của các biện pháp kiểm soát mà AWS đặt ra nhằm đáp ứng các tiêu chí cơ bản và bổ sung của C5.
Để tìm hiểu thêm về báo cáo AWS European Sovereign Cloud C5 và phạm vi của báo cáo, hãy truy cập https://aws.eu/compliance/.