Cloud Computing Compliance Controls Catalog (C5)
概览
Cloud Computing Compliance Controls Catalog(C5)是由德国联邦信息安全办公室(BSI)引入的德国政府支持的认证方案。C5 帮助企业在使用云服务时在德国政府的“云提供商的安全建议”背景下,证明针对常见网络攻击的操作安全性。
AWS 客户及其合规顾问可以使用 C5 鉴定来了解 AWS 在将工作负载迁移到云时为满足 C5 要求而实施的安全控制。C5 增加了等同于 IT-Grundschutz 的法规规定的 IT 安全级别以及特定于云的控制力。
C5 包括与数据位置、服务预置、管辖地、现有认证和信息披露义务以及一个全方位说明相关的额外控制要求。使用此类信息,客户可以评估法律规定(即数据隐私)以及他们的政策或威胁环境与使用云计算服务的相关性。
常见问题
-
什么是 C5?
C5 (Cloud Computing Compliance Controls Catalogue) 是德国的“云计算 IT 安全性”标准。C5 控制集由 BSI 设计并于 2016 年 2 月发布。在德国客户将其复杂且受到监管的工作负载移动到云计算服务提供商(例如 AWS)时,它可以提供额外的保证。C5 涵盖以下国际标准:
- ISO/IEC 27001:2017(ISO - 国际标准化组织)
- CSA 云控制矩阵 3.01(CSA – 云安全联盟)
- 2017 年 AICPA 信托服务原则和标准(AICPA - 美国注册会计师协会)
- 可信的云数据保护配置文件 (TCDP) – 版本 1
- ISO/IEC 27017:2015
- ISO/IEC 27-18:2014
- BSI IT-Grundschutz Kompendium – 版本 2019
-
谁创立了 C5 标准?
德国国家网络安全管理局 Bundesamt für Sicherheit in der Informationstechnik(BSI)于 2016 年制定了 C5 标准。BSI 为所有政府体系制定了 IT 安全要求,大多数德国公司均使其 IT 安全政策符合 BSI 标准。BSI 于 2019 年改动并更新了 C5 目录。新版本 (C5:2020) 于 2020 年 1 月最终确定。
-
客户可从此标准中获取哪些利益?
C5 报告为我们的欧洲客户提供了一个独立的第三方鉴定,对我们的控制机制的设计适用性和运行有效性进行认证,以满足 C5 基本和附加标准。具体而言,在德国,客户习惯于寻找根据 C5 标准进行评估的云服务。C5 为客户提供的框架记录了与 IT-Grundschutz 等效的 IT 安全性级别,涵盖云计算的所有 IT 安全方面。对于联邦机构来讲,C5 鉴证是采购流程中的一项基本要求。
可以在相应的 AWS 安全性博客 C5 文章中查看有关 AWS C5 的最新信息。
-
哪些 AWS 区域在 C5 的涵盖范围内?
以下 AWS 区域在 C5 的涵盖范围内:法兰克福、爱尔兰、伦敦、巴黎、米兰、斯德哥尔摩、新加坡、苏黎世和西班牙,以及德国、爱尔兰、英国、法国、新加坡、瑞典、意大利、西班牙和瑞士的边缘站点。
-
哪些服务在涵盖范围内?
C5 目前涵盖的 AWS 服务可以在 AWS 按合规性计划提供的范围内服务中找到。如果您想要了解有关使用这些服务的更多信息,并且/或对其他服务感兴趣,请联系我们。
-
C5 与 IT-Grundschutz 之间有何区别?
IT-Grundschutz 这一标准用于为事业机构的信息建立和维护一种适当的防护体系。IT-Grundschutz Catalogues 介绍了典型业务流程、IT 系统和应用程序的防护措施,并规定了企业自有信息的防护体系。C5 提供了有关云服务提供商(CSP)产品与服务的指南。 -
如何申请 AWS C5 报告?
AWS C5 报告面向使用 AWS Artifact 的客户提供,AWS Artifact 是一个用于按需访问 AWS 合规性报告的自助服务门户。您可以登录 AWS 管理控制台中的 AWS Artifact 或通过 AWS Artifact 入门了解更多信息。
-
此标准是否会产生国际影响?
BSI 已使此标准符合 ANSSI 及其即将推出的 SecNumCloud 标签。C5 标准已与法国的 SecNumCloud 标准相互产生影响,他们的明确目标是在名为 ESCloud 的通用标签下选择互相认可。此外,欧盟网络安全机构 (ENISA) 的欧盟云服务网络安全认证方案 (EUCS) 草案在很大程度上借鉴了 C5 的安全标准。
-
认证和鉴证有什么不同?
认证是由认可的专业公司颁发且有效期通常为一到三年,而鉴证则可在某个合规性审计或核算审计期间由合格人员接收。鉴证主要注重的是持续实施方面,这意味着重新审计周期非常短,可缩短至 6 个月。根据 ISAE 3000/3402,审计流程会交付过去一段时间内适宜性和有效性的证据。认证只是一个即时快照。