Katalog Kontrol Kepatuhan Komputasi Cloud (C5)

Gambaran Umum

Katalog Kontrol Kepatuhan Komputasi Cloud (C5) merupakan skema pengesahan yang didukung oleh Pemerintah Jerman dan diperkenalkan di Jerman oleh Kantor Federal untuk Keamanan Informasi (BSI). C5 membantu organisasi dalam menunjukkan keamanan operasional terhadap serangan siber umum saat menggunakan layanan cloud dalam konteks "Rekomendasi Keamanan untuk Penyedia Cloud" Pemerintah Jerman.

Pengesahan C5 dapat digunakan oleh pelanggan AWS dan penasihat kepatuhan mereka untuk memahami kontrol keamanan yang diterapkan oleh AWS guna memenuhi persyaratan C5 saat mereka memindahkan beban kerja ke cloud. C5 menambahkan tingkat Keamanan IT yang ditentukan undang-undang setara dengan IT-Grundschutz dengan tambahan kontrol khusus cloud.

C5 menyertakan persyaratan kontrol tambahan terkait lokasi data, penyediaan layanan, tempat yurisdiksi, sertifikasi yang ada, kewajiban pengungkapan informasi, dan deskripsi layanan penuh. Menggunakan informasi ini, pelanggan dapat mengevaluasi peraturan hukum (seperti privasi data), kebijakan mereka sendiri, atau lingkungan ancaman terkait penggunaan layanan komputasi cloud mereka.

FAQ

  • C5 (Katalog Kontrol Kepatuhan Komputasi Cloud) merupakan standar “Keamanan IT komputasi cloud” di Jerman. Dirancang dan dirilis pertama kali oleh BSI pada 2016, set kontrol C5 menawarkan jaminan tambahan kepada pelanggan di Jerman saat mereka memindahkan beban kerja mereka yang kompleks dan teregulasi ke penyedia Layanan Komputasi Cloud seperti AWS.

    C5 saat ini dirilis pada tahun 2020 dan mencakup persyaratan dari standar serta publikasi berikut:

    • ISO/IEC 27001:2013 – Sistem manajemen keamanan informasi – Persyaratan
    • ISO/IEC 27002:2016 – Prosedur keamanan IT – Panduan untuk langkah-langkah keamanan informasi
    • ISO/IEC 27017:2015 – Teknik keamanan – Kode praktik untuk kontrol keamanan informasi berdasarkan ISO/IEC 27002 untuk layanan cloud
    • BSIIT-Grundschutz-Kompendium, Edisi kedua 2019
    • CSA – Cloud Controls Matrix 3.0.1 (CSA - Cloud Security Alliance)
    • AICPA Trust Service Principles Criteria 2017 (AICPA - American Institute of Certified Public Accountants)
    • ANSSI (Agence nationale de la sécurité des systèmes d’information, National Cybersecurity Agency of France) – Penyedia layanan komputasi cloud v. 3.1 (SecNumCloud)
    • IDW (Institut der Wirtschaftsprüfer, the German Institute of Certified Public Accountants) RS FAIT 5 – Pernyataan tentang Pelaporan Keuangan: “Prinsip Akuntansi yang Terstruktur untuk Pengalihdayaan Layanan yang Berkaitan dengan Pelaporan Keuangan, termasuk Komputasi Cloud”, per 4 November 2015

  • Otoritas keamanan siber nasional Jerman, Bundesamt für Sicherheit in der Informationstechnik (BSI), merupakan pihak yang mengembangkan standar C5 pada tahun 2016. BSI menentukan persyaratan Keamanan IT untuk seluruh sistem pemerintahan, dan sebagian besar perusahaan Jerman menyelaraskan strategi Keamanan IT mereka dengan standar BSI. BSI mengerjakan kembali dan memperbarui katalog C5 pada tahun 2019. Versi baru (C5:2020) difinalisasi di bulan Januari 2020. 

  • Laporan C5 memberikan pengesahan pihak ketiga independen kepada pelanggan kami di Eropa mengenai kesesuaian desain dan efektivitas operasional pengendalian kami untuk memenuhi kriteria dasar dan tambahan C5. khususnya di Jerman, di mana pelanggan terbiasa mencari layanan cloud yang dinilai dengan kriteria C5. C5 memberi para pelanggan kerangka kerja yang mendokumentasikan tingkat Keamanan IT yang setara dengan IT-Grundschutz yang mencakup semua aspek Keamanan IT untuk Komputasi Cloud. Untuk otoritas federal, pengesahan C5 merupakan persyaratan dasar dalam proses pengadaan.

    Informasi terkini tentang C5 di AWS dapat ditinjau pada tiap-tiap posting C5 Blog AWS Security.

  • AWS Region yang termasuk dalam cakupan C5 mencakup Frankfurt, Irlandia, London, Paris, Milan, Stockholm, Singapura, Zurich, dan Spanyol, serta lokasi Edge di Jerman, Irlandia, Inggris, Prancis, Singapura, Swedia, Italia, Spanyol, dan Swiss.

  • Layanan AWS tercakup yang sudah berada dalam lingkup C5 dapat ditemukan di Layanan AWS dalam Lingkup menurut Program Kepatuhan. Jika Anda ingin mempelajari lebih lanjut tentang penggunaan layanan tersebut dan/atau tertarik dengan layanan lainnya, hubungi kami.

  • IT-Grundschutz merupakan standar yang digunakan untuk menetapkan dan menjaga perlindungan yang tepat atas informasi sebuah lembaga. IT-Grundschutz Catalogues menjelaskan perlindungan untuk proses bisnis umum, sistem IT, dan aplikasi serta menangani perlindungan informasi milik perusahaan. C5 menyediakan panduan untuk penawaran penyedia layanan cloud (CSP).

  • Laporan AWS C5 tersedia untuk pelanggan dengan menggunakan AWS Artifact, yaitu portal layanan mandiri untuk akses sesuai permintaan ke laporan kepatuhan AWS. Masuk ke AWS Artifact di Konsol Manajemen AWS, atau pelajari selengkapnya di Memulai AWS Artifact.

  • BSI telah menyelaraskan pekerjaan ini dengan ANSSI dan Label SecNumCloud mereka yang akan segera hadir. Standar C5 telah dipengaruhi oleh dan juga memengaruhi standar SecNumCloud di Prancis, dengan tujuan yang jelas untuk memiliki opsi bagi pengakuan bersama dalam label umum yang disebut ESCloud. Juga, versi draf dari Skema Sertifikasi Keamanan Siber Uni Eropa untuk Layanan Cloud (EUCS) milik Agensi Uni Eropa untuk Keamanan Siber (ENISA) secara signifikan mengambil dari standar keamanan C5.

  • Sertifikasi diterbitkan oleh sebuah perusahaan khusus yang terakreditasi dan umumnya habis berlaku dalam satu hingga tiga tahun. Pengesahan dapat diperoleh selama audit kepatuhan atau audit keuangan oleh personel berkualifikasi. Pengesahan lebih berfokus pada aspek implementasi berkelanjutan, yang berarti siklus audit ulangnya lebih pendek – hingga 6 bulan. Berdasarkan ISAE 3000/3402, proses audit menghasilkan bukti kesesuaian dan efektivitas selama jangka waktu yang lalu. Sertifikasi hanyalah capaian pada waktu tersebut.

Sumber Daya C5

 Amazon Web Services: Praktik Terbaik untuk Keamanan, Identitas & Kepatuhan  Amazon Web Services: Risiko dan Kepatuhan
Ada pertanyaan? Hubungi perwakilan bisnis AWS
Ingin menyelami lebih jauh pentingnya kepatuhan?
Daftar sekarang »
Ingin info terbaru tentang AWS Compliance?
Ikuti kami di Twitter »