Danh mục Biện pháp kiểm soát tuân thủ điện toán đám mây (C5)

Tổng quan

AWSC5Logo

Danh mục kiểm soát tuân thủ điện toán đám mây (C5) là một chương trình chứng thực được Chính phủ Đức hỗ trợ, do Văn phòng Liên bang về Bảo mật thông tin (BSI) đưa ra ở Đức nhằm giúp các tổ chức chứng tỏ mức độ bảo mật vận hành trước các hình thức tấn công mạng phổ biến trong bối cảnh "Đề xuất về bảo mật cho các nhà cung cấp dịch vụ đám mây" của Chính phủ Đức.

Chứng thực C5 có thể được khách hàng AWS và cố vấn tuân thủ của họ sử dụng để hiểu rõ phạm vi của các dịch vụ đảm bảo Bảo mật CNTT mà AWS cung cấp khi họ đưa khối lượng công việc của mình lên đám mây. C5 bổ sung thêm mức độ IT-Security theo quy định tương đương với IT-Grundschutz với việc bổ sung các kiểm soát đám mây cụ thể.

C5 bổ sung thêm các biện pháp kiểm soát cung cấp thông tin liên quan tới vị trí dữ liệu, cung cấp dịch vụ, vị trí lãnh thổ pháp lý, chứng nhận hiện tại, nghĩa vụ tiết lộ thông tin và mô tả đầy đủ dịch vụ. Sử dụng thông tin này, khách hàng có thể đánh giá các quy định pháp lý (như quyền riêng tư về dữ liệu), các chính sách của họ, hoặc môi trường đe dọa có liên quan như thế nào tới việc họ sử dụng dịch vụ điện toán đám mây.

Chứng thực C5 cho SaaS của bạn và Ứng dụng PaaS

Khách hàng của AWS có thể đạt được chứng thực C5 cho các ứng dụng đám mây chạy trên cơ sở hạ tầng AWS. Vào tháng 11 năm 2016, AWS là nhà cung cấp dịch vụ đám mây đầu tiên ở Đức nhận C5 ở cấp cơ sở hạ tầng. Với báo cáo C5, AWS đặt nền móng cho việc ghi nhận sự tuân thủ C5 với tư cách là Nhà cung cấp dịch vụ cơ sở hạ tầng (IaaS).

Bây giờ khách hàng của AWS có thể đạt được chứng thực C5 cho các ứng dụng đám mây của họ mà không cần phải kiểm tra bảo mật vật lý của các trung tâm dữ liệu hoặc cơ sở hạ tầng của đám mây. Khách hàng cũng có thể chứng thực các ứng dụng được triển khai dưới hình thức Dịch vụ phần mềm (SaaS) và Dịch vụ nền tảng (PaaS) theo khuôn khổ chứng thực C5. Do đó, khách hàng của họ nhận được bằng chứng rằng họ đang thực hiện hiệu quả mức độ bảo mật CNTT theo tiêu chuẩn BSI ở tất cả các lớp.

Chứng thực từ khách hàng C5

Danh mục Biện pháp kiểm soát tuân thủ điện toán đám mây (C5) của BSI bao quát mọi khía cạnh của một Dịch vụ đám mây được vận hành một cách an toàn. Đối với khách hàng AWS hiện tại, cuộc thảo luận nội bộ với Giám đốc An ninh và Tuân thủ sẽ được tạo điều kiện đáng kể. Đối với khách hàng tiềm năng, sẽ dễ dàng hơn nhiều cho họ khi chuyển Trường hợp sử dụng sang AWS. Dù trong trường hợp nào thì chứng thực cũng sẽ làm tăng đáng kể mức Sử dụng dịch vụ.

Computacenter AG & Co oHG

Chứng nhận BSI C5 là bằng chứng cho thấy Cloud Box là một giải pháp đám mây an toàn cho Quản lý nội dung doanh nghiệp. Với cam kết và đầu tư tuân thủ ở cả Đức và Châu Âu, Box cho thấy tầm quan trọng của các thị trường này đối với công ty. Trong số những cơ sở hạ tầng khác, Box sử dụng cơ sở hạ tầng AWS ở vùng Frankfurt và cơ sở hạ tầng này cũng tuân thủ C5.

Box, Inc.

"Chứng nhận AWS C5, kế hoạch được thiết kế để quản lý cơ sở hạ tầng là bằng chứng quan trọng về bảo mật thông tin cho chúng tôi và khách hàng của chúng tôi trong các lĩnh vực trung tâm dữ liệu, máy chủ, mạng lưới và dữ liệu. Nhờ khả năng bảo mật đáng tin cậy của AWS, chúng tôi có thể tập trung và dành công sức vào công việc của mình mà vẫn luôn yên tâm rằng chúng tôi được bảo mật một cách thỏa đáng."

e-Spirit AG

Các câu hỏi thường gặp sau đây nhằm mục đích hướng dẫn để nhận được chứng thực C5 cho các ứng dụng SaaS và PaaS của bạn. Bạn có thể tìm thấy thông tin bổ sung về C5 và “Danh mục biện pháp kiểm soát tuân thủ điện toán đám mây (C5) - Tiêu chí đánh giá bảo mật thông tin của dịch vụ đám mây” trên trang web của BSI.

  • Những dịch vụ AWS nào nằm trong phạm vi của C5?

    Bạn có thể tìm thấy những dịch vụ AWS được áp dụng nằm trong phạm vi cho C5 ở Dịch vụ AWS trong phạm vi của chương trình tuân thủ. Nếu bạn muốn tìm hiểu thêm về việc sử dụng những dịch vụ này và/hoặc quan tâm tới các dịch vụ khác, vui lòng liên hệ với chúng tôi.

  • C5 là gì?

    C5 (Danh mục Biện pháp kiểm soát tuân thủ điện toán đám mây) là một tiêu chuẩn “Bảo mật CNTT điện toán đám mây” ở Đức. Được thiết kế và ban hành bởi BSI vào tháng 02/2016, nhóm biện pháp kiểm soát trong C5 giúp khách hàng ở Đức an tâm hơn khi họ chuyển khối lượng công việc phức tạp và có điều chỉnh sang các nhà cung cấp Dịch vụ Điện toán đám mây như AWS. C5 áp dụng cho các tiêu chuẩn quốc tế sau:

    • ISO/IEC 27001:2013 (ISO - Tổ chức Chuẩn hóa Quốc tế)
    • Ma trận kiểm soát đám mây 3.01 của CSA (CSA - Liên minh Bảo mật Đám mây)
    • Tiêu chí nguyên tắc dịch vụ tin cậy AICPA 2014 (AICPA - Viện Kế toán viên Công Chứng Hoa Kỳ)
    • ANSSI Référentiel Secure Cloud 2.0 (Dự thảo) (ANSSI - Agence nationale de la sécurité des systèmes d'information)
    • IDW ERS FAIT 5 04.11.201 (dự thảo báo cáo kế toán: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing" ["Các nguyên tắc kế toán được chấp nhận chung đối với việc thuê ngoài dịch vụ liên quan tới kế toán, bao gồm điện toán đám mây"], Phiên bản 04/11/2014)
    • BSI IT-Grundschutz Catalogues, Phiên bản thứ 14 năm 2014
    • BSI SaaS Sicherheitsprofile 2014 [Cấu hình Bảo mật SaaS của BSI năm 2014]
  • Ai tạo ra tiêu chuẩn mới này?

    Cơ quan quản lý an ninh mạng quốc gia của Đức, Bundesamt für Sicherheit in der Informationstechnik (BSI), là tổ chức lập ra tiêu chuẩn C5. BSI xác định yêu cầu về Bảo mật CNTT cho tất cả các hệ thống của chính phủ và hầu hết các công ty của Đức phải điều chỉnh chiến lược Bảo mật CNTT của mình theo tiêu chuẩn của BSI.

  • Tại sao lại có tiêu chuẩn mới?

    Biện pháp kiểm soát từ những tiêu chuẩn nêu trên được thu thập rồi tích hợp cụ thể cho phạm vi của Điện toán đám mây. Điều này có lợi cho CSP và khách hàng bởi họ có thể hiểu rõ về vai trò của CSP và khách hàng trong Mô hình chia sẻ trách nhiệm.

  • Sự khác biệt giữa C5 và IT-Grundschutz của BSI là gì?

    IT-Grundschutz là một tiêu chuẩn về thiết lập và duy trì bảo vệ thích hợp đối với thông tin của một tổ chức. Danh mục IT-Grundschutz mô tả biện pháp bảo vệ cho các quy trình kinh doanh, hệ thống CNTT và ứng dụng điển hình, đồng thời giải quyết vấn đề bảo vệ thông tin riêng của doanh nghiệp. C5 đưa ra hướng dẫn về gói dịch vụ của nhà cung cấp dịch vụ đám mây (CSP).

  • Sự khác biệt giữa chứng chỉ và chứng thực là gì?

    Chứng nhận được cấp bởi một công ty chuyên môn có tiếng và thường kéo dài từ một đến ba năm. Bạn có thể nhận được chứng thực khi được kiểm toán tuân thủ hoặc kế toán bởi người có đủ trình độ. Chứng thực thiên về khía cạnh thực hiện liên tục, có nghĩa rằng chu kỳ kiểm toán lại ngắn hơn nhiều – giảm còn 6 tháng. Theo ISAE 3000 / 3402, quá trình kiểm toán cung cấp bằng chứng về sự phù hợp và tính hiệu quả trong một khoảng thời gian trước đó. Chứng nhận chỉ bao quát được một thời điểm.

  • Khách hàng được lợi gì từ tiêu chuẩn này?

    Cụ thể, ở Đức, khách hàng thường tìm những dịch vụ được chứng nhận theo IT-Grundschutz (mức bảo mật CNTT cơ bản) của Đức do BSI xác định. IT-Grundschutz áp dụng tốt cho các mối quan hệ thuê ngoài tại chỗ hoặc truyền thống, nhưng không được tối ưu hóa cho Điện toán đám mây. C5 cung cấp cho khách hàng một báo cáo ghi lại cấp Bảo mật CNTT tương đương với IT-Grundschutz, áp dụng cho tất cả khía cạnh Bảo mật CNTT cho Điện toán đám mây. Đối với các cơ quan, chứng thực C5 là một yêu cầu cơ bản trong quá trình cung ứng.

  • AWS sẽ hỗ trợ tôi như thế nào để nhận được chứng thực C5 cho các ứng dụng SaaS và PaaS của tôi?

    C5 chủ yếu dành cho các nhà cung cấp dịch vụ đám mây chuyên nghiệp, chuyên viên đánh giá của họ và khách hàng của các nhà cung cấp dịch vụ đám mây. Tiêu chuẩn này xác định những yêu cầu (hay còn gọi là biện pháp kiểm soát) mà nhà cung cấp đám mây phải tuân thủ hoặc những yêu cầu tối thiểu mà nhà cung cấp dịch vụ đám mây có nghĩa vụ phải đáp ứng. Khách hàng của AWS được hưởng lợi từ chứng thực C5 đối với lớp cơ sở hạ tầng (IaaS), cho phép họ tập trung chứng thực các ứng dụng lớp SaaS / PaaS của mình.

    Vào tháng 11/2016, AWS là Nhà cung cấp dịch vụ đám mây đầu tiên ở Đức nhận được C5 ở cấp cơ sở hạ tầng. Với chứng thực C5 của mình, chúng tôi đã đặt nền móng để bạn nhận được chứng thực C5 cho các ứng dụng đám mây từ kiểm toán viên của bạn. Điều này tạo cơ hội cho khách hàng của AWS có thể được nhận chứng thực C5 riêng mà không cần phải có bảo mật vật lý cho các trung tâm dữ liệu và cũng không phải quản lý phần cơ sở hạ tầng của đám mây trong phạm vi kiểm tra riêng lẻ. Ứng dụng được triển khai dưới hình thức Dịch vụ phần mềm (SaaS) và Dịch vụ nền tảng (PaaS) cũng có thể được chứng thực theo khuôn khổ chứng thực C5. Do đó, khách hàng của bạn nhận được bằng chứng rằng bạn đang thực hiện hiệu quả mức độ bảo mật CNTT theo tiêu chuẩn BSI ở tất cả các lớp.

  • Tôi làm cách nào để có được chứng thực C5?

    Danh mục các biện pháp kiểm soát tuân thủ quy định rằng chuyên viên đánh giá công phải đưa ra chứng thực cho các dịch vụ đám mây được kiểm tra theo một quy trình được công nhận trên toàn cầu. Cơ sở cho chứng nhận là báo cáo kiểm tra, trong đó chuyên viên đánh giá cho biết liệu các yêu cầu có được đáp ứng và thực hiện một cách hiệu quả không.

    Nếu có thắc mắc liên quan tới việc chuẩn bị và thực hiện kiểm tra C5, vui lòng liên hệ với chuyên viên đánh giá của bạn.

  • Tôi nên chú ý tới tiêu chí nào khi lựa chọn một chuyên viên đánh giá?

    Việc kiểm tra hàng năm thường không được thực hiện trực tiếp bởi một chuyên viên đánh giá công, mà phải bởi một nhóm chuyên viên. Nhóm này cũng bao gồm các chuyên gia CNTT. Để chứng thực theo danh mục các biện pháp kiểm soát tuân thủ, thành viên trong nhóm phải xác minh rằng họ đủ trình độ chuyên môn (xem Phần 3.5.1). Ví dụ như các chứng nhận từ chuyên viên đánh giá ISACA (CISA, CISM, CRISC), CSA (CCSK) hay ISO 27001 và IT-Grundschutz. Những bằng cấp này phải được liệt kê và xác minh trong phần xác thực.

  • Quá trình kiểm tra mất bao lâu để nhận được chứng thực C5?

    Thời hạn của quá trình kiểm tra phụ thuộc vào các chứng chỉ hiện có trong công ty của bạn. Chứng nhận như ISO 27001 sẽ rút ngắn quá trình kiểm tra. Bạn nên làm chứng thực cùng với giấy chứng nhận vì tất cả các yêu cầu của ISO IEC 27001 cũng được liệt kê trong danh mục kiểm soát tuân thủ.

  • Tiêu chuẩn này có tác động trên phạm vi toàn cầu không?

    BSI đã liên kết công việc này với ANSSI và Nhãn Đám mây An toàn sắp tới của họ. Tiêu chuẩn C5 bị ảnh hưởng bởi và có ảnh hưởng tới tiêu chuẩn Đám mây bảo mật ở Pháp, với mục tiêu rõ ràng là để có một phương án công nhận chung theo một nhãn chung gọi là ESCloud.

compliance-contactus-icon
Bạn có câu hỏi? Hãy kết nối với đại diện kinh doanh AWS
Bạn đang khám phá vai trò của tuân thủ?
Hãy đăng ký ngay hôm nay »
Bạn muốn cập nhật Tuân thủ AWS?
Hãy theo dõi chúng tôi trên Twitter »