Cloud Computing Compliance Criteria Catalogue
C5
ภาพรวม
Cloud Computing Compliance Criteria Catalogue (C5) คือโครงการรับรองที่ได้รับการสนับสนุนจากรัฐบาลเยอรมนี ซึ่งเปิดตัวในเยอรมนีโดยสำนักงานรัฐบาลกลางเพื่อการรักษาความปลอดภัยของข้อมูล (BSI) C5 ช่วยให้องค์กรแสดงถึงการรักษาความปลอดภัยในการปฏิบัติงานต่อการโจมตีทางไซเบอร์ทั่วไปเมื่อใช้บริการระบบคลาวด์ภายในบริบทของ "คำแนะนำด้านการรักษาความปลอดภัยสำหรับผู้ให้บริการระบบคลาวด์" ของรัฐบาลเยอรมนี
ลูกค้า AWS และที่ปรึกษาด้านการปฏิบัติตามข้อกำหนดสามารถใช้การรับประกัน C5 นี้ในการทำความเข้าใจการควบคุมการรักษาความปลอดภัยที่ AWS นำมาใช้เพื่อให้เป็นไปตามข้อกำหนด C5 เมื่อตนย้ายเวิร์กโหลดไปยังระบบคลาวด์ C5 เพิ่มระดับ IT-Security ที่กำหนดโดยกฎระเบียบเทียบเท่ากับ IT-Grundschutz โดยมีปัจจัยควบคุมคลาวด์แบบเฉพาะเพิ่มเข้ามา
C5 รวมข้อกำหนดการควบคุมเพิ่มเติมซึ่งเกี่ยวกับสถานที่ตั้งข้อมูล การจัดเตรียมบริการ ขอบเขตอำนาจศาล การรับรองที่มีอยู่ ภาระผูกพันในการเปิดเผยข้อมูล และคำอธิบายแบบครบวงจร เมื่อใช้ข้อมูลนี้ ลูกค้าสามารถประเมินว่าข้อปฏิบัติทางกฎหมาย (เช่น ความเป็นส่วนตัวของข้อมูล) นโยบายของตนเอง หรือสภาพแวดล้อมของภัยคุกคาม มาเกี่ยวข้องกับการใช้บริการการประมวลผลระบบคลาวด์ของพวกเขาได้อย่างไร
หัวข้อของหน้า
คำถามที่พบบ่อย
เปิดทั้งหมดลูกค้าได้ประโยชน์อะไรจากมาตรฐานนี้
รายงาน C5 ให้การรับรองจากองค์กรอิสระภายนอกแก่ลูกค้าในยุโรปของเราเกี่ยวกับความเหมาะสมของการออกแบบและประสิทธิภาพในการดำเนินงานด้านการควบคุมของเรา เพื่อให้เป็นไปตามเกณฑ์พื้นฐานและเกณฑ์อื่น ๆ เพิ่มเติมของ C5 โดยเฉพาะอย่างยิ่ง ลูกค้าในเยอรมนีคุ้นเคยกับการมองหาบริการระบบคลาวด์ที่ได้รับการประเมินตามเกณฑ์ C5 C5 จะมอบเฟรมเวิร์กที่เป็นบันทึกข้อมูลระดับ IT-Security ที่เทียบเท่ากับ IT-Grundschutz ซึ่งครอบคลุมประเด็นในทุกๆ ด้านของ IT-Security สำหรับการประมวลผลบนระบบคลาวด์ให้แก่ลูกค้า สำหรับหน่วยงานกำกับดูแลของรัฐบาลกลาง การรับประกัน C5 ถือเป็นข้อกำหนดพื้นฐานในกระบวนการการจัดหา
ข้อมูลปัจจุบันเกี่ยวกับ C5 ที่ AWS หาอ่านได้ที่โพสต์ C5 ของบล็อกการรักษาความปลอดภัย AWS ที่เกี่ยวข้อง
ฉันจะขอรายงาน AWS C5 ได้อย่างไร
ลูกค้าสามารถดูรายงาน AWS C5 ได้โดยใช้ AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับการเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ตามต้องการ ลงชื่อเข้าใช้ AWS Artifact ในคอนโซลการจัดการของ AWS หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact
มาตรฐานนี้มีผลกระทบในระดับสากลหรือไม่
BSI ปรับงานนี้ให้สอดคล้องกับ ANSSI และ SecNumCloud Label ที่กำลังจะมีขึ้น มาตรฐาน C5 ได้รับอิทธิพลจากและในทางกลับกันก็มีอิทธิพลกับมาตรฐาน SecNumCloud ในฝรั่งเศส ด้วยเป้าหมายที่ชัดเจนในการมีตัวเลือกสำหรับการยอมรับร่วมกันภายใต้ตราร่วมที่เรียกว่า ESCloud นอกจากนี้ European Union Cybersecurity Certification Scheme for Cloud Services (EUCS) ฉบับร่างของ European Union Agency for Cybersecurity (ENISA) นำมาจากมาตรฐานความปลอดภัยของ C5 เป็นส่วนใหญ่
บริการใดที่อยู่ในขอบเขต
บริการของ AWS ที่ครอบคลุมซึ่งอยู่ในขอบข่ายของ C5 อยู่แล้วนั้นได้รับการระบุไว้ในบริการของ AWS ซึ่งอยู่ในขอบข่ายโปรแกรมการปฏิบัติตามข้อกำหนด หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการใช้บริการเหล่านี้ และ/หรือสนใจในบริการอื่น ๆ โปรดติดต่อเรา
AWS Region ใดที่อยู่ในขอบเขตสำหรับ C5
AWS Region ที่อยู่ในขอบเขตสำหรับ C5 ได้แก่ แฟรงเฟิร์ต ไอร์แลนด์ ลอนดอน ปารีส มิลาน สตอกโฮล์ม สิงคโปร์ ซูริก และสเปน รวมถึง Edge Location ในเยอรมนี ไอร์แลนด์ อังกฤษ ฝรั่งเศส สิงคโปร์ สวีเดน อิตาลี สเปน และสวิตเซอร์แลนด์
ใบรับประกันและการรับรองแตกต่างกันอย่างไร
ใบรับรองออกโดยบริษัทผู้เชี่ยวชาญที่ได้รับการรับรองและมักจะมีอายุระหว่างหนึ่งถึงสามปี สามารถรับใบรับประกันได้ระหว่างการตรวจสอบการปฏิบัติตามข้อกำหนดหรือการตรวจสอบการทำบัญชีโดยบุคลากรที่มีคุณสมบัติ การรับประกันมุ่งเน้นที่มุมมองการใช้งานอย่างต่อเนื่องมากกว่า ซึ่งหมายความว่าวงจรการตรวจสอบซ้ำจะสั้นลงมากเป็นทุกๆ 6 เดือน ตาม ISAE 3000 / 3402 นั้น กระบวนการตรวจสอบจะนำส่งหลักฐานของความเหมาะสมและประสิทธิภาพตลอดระยะเวลาที่ผ่านไป ใบรับรองสามารถรับรองได้เพียงช่วงเวลาสั้นๆ เท่านั้น
C5 กับ IT-Grundschutz แตกต่างกันอย่างไร
IT-Grundschutz คือมาตรฐานสำหรับการสร้างและรักษาการปกป้องข้อมูลขององค์กรที่เหมาะสม IT-Grundschutz Catalogues อธิบายการป้องกันสำหรับกระบวนการทางธุรกิจทั่วไป ระบบด้าน IT และแอปพลิเคชัน และกล่าวถึงการป้องกันข้อมูลขององค์กร C5 มอบคำแนะนำเกี่ยวกับข้อเสนอของผู้ให้บริการระบบคลาวด์ (CSP)
C5 คืออะไร
C5 (Cloud Computing Compliance Criteria Catalogue) เป็นมาตรฐาน “IT-Security ด้านการประมวลผลบนคลาวด์” ในเยอรมนี ออกแบบและจำหน่ายครั้งแรกโดย BSI ในปี 2016 ชุดการควบคุม C5 จะมีการรับประกันเพิ่มเติมให้แก่ลูกค้าในเยอรมนี ขณะที่พวกเขาย้ายเวิร์กโหลดที่ซับซ้อนและมีการควบคุมไปยังผู้ให้บริการการประมวลผลบนคลาวด์เช่น AWS
C5 ปัจจุบันได้รับการเผยแพร่ในปี 2020 และรวมถึงข้อกำหนดจากมาตรฐานและสิ่งพิมพ์ต่อไปนี้:
- ISO/IEC 27001:2013 – ระบบการจัดการความปลอดภัยข้อมูล – ข้อกำหนด
- ISO/IEC-27002:2016 – ขั้นตอนการรักษาความปลอดภัยด้านไอที – แนวทางสำหรับมาตรการรักษาความปลอดภัยของข้อมูล
- ISO/IEC 27017:2015 – เทคนิคความปลอดภัย – แนวทางปฏิบัติสำหรับการควบคุมความปลอดภัยข้อมูลตาม ISO/IEC 27002 สำหรับบริการคลาวด์
- BSI – IT-Grundschutz-Kompendium, 2nd Edition 2019
- CSA – Cloud Controls Matrix 3.0.1 (CSA - Cloud Security Alliance)
- AICPA Trust Service Principles Criteria 2017 (AICPA – American Institute of Certified Public Accountants)
- ANSSI (Agence nationale de la securité des systemèmes d'information หน่วยงานความปลอดภัยทางไซเบอร์แห่งชาติของฝรั่งเศส) – ผู้ให้บริการการประมวลผลบนคลาวด์ v. 3.1 (SecNumCloud)
- IDW (Institut der Wirtschaftsprüfer สถาบันนักบัญชีสาธารณะที่ผ่านการรับรองของเยอรมัน) RS FAIT 5 – รายงานงบทางการเงิน: “หลักการบัญชีอย่างเป็นระเบียบสำหรับการเอาท์ซอร์สบริการที่เกี่ยวข้องกับการรายงานทางการเงินรวมถึงการประมวลผลบนคลาวด์” ณ วันที่ 4 พฤศจิกายน 2015
ใครเป็นผู้สร้างมาตรฐาน C5
สำนักงานความมั่นคงทางไซเบอร์แห่งชาติของเยอรมนี "Bundesamt für Sicherheit in der Informationstechnik (BSI)" ได้สร้างมาตรฐาน C5 ขึ้นในปี 2016 BSI นิยามข้อกำหนด IT-Security สำหรับระบบหน่วยงานของรัฐทั้งหมด และบริษัทในเยอรมนีส่วนใหญ่ปรับกลยุทธ์ด้าน IT-Security ของตนให้สอดคล้องกับมาตรฐาน BSI BSI ได้ดำเนินการปรับปรุงแก้ไขและอัปเดตแค็ตตาล็อก C5 ในปี 2019 เวอร์ชันใหม่ (C5:2020) แล้วเสร็จในเดือนมกราคม 2020