云计算符合性条件目录 (C5)

C5 概述

2016 年,德国联邦信息安全局(Bundesamt für Sicherheit in der Informationstechnik 或 BSI)创建了云计算合规性控制目录 (C5)。 BSI 在 2020 年修订了《云计算合规性标准目录 (C5:2020) 指南。 C5 是经审核的标准,可为云安全建立必要的最低基准,并由德国政府机构以及与政府合作的组织采用公共云解决方案。 越来越多的私营部门也逐渐采用 C5。

C5 目录的要求旨在提供一致的安全框架,以便于验证云服务提供商,并使客户确信自己的数据受到安全管理。

C5 基于国际认可的 IT 安全标准,如 ISO/IEC 27001:2013、云安全联盟云控制矩阵 3.0.1 和 BSI IT-Grundschutz 目录。 目录包含跨 17 个领域(例如信息安全和物理安全组织)的 114 项要求,其中包含对所有云服务提供商的基本安全要求,以及对处理高度机密数据和需要高可用性的情况的其他要求。

BSI 还着重强调了透明化。 作为审核的一部分,云提供商必须包含详细的系统说明并披露环境参数,例如管辖权和数据处理位置、服务提供、向其他云服务颁发的其他认证以及关于云提供商对公共机关的披露义务的信息。 此系统可帮助潜在云客户确定云服务是否满足其基本要求,例如符合数据保护、公司策略等法律要求,或者能够应对工业间谍威胁。

Microsoft 和 C5

Microsoft 云服务会根据 SOC 2(AT 条例 101)标准每年至少进行一次审核。 根据 BSI,可将 C5 审核与 SOC 2 审核结合使用,对重叠控制重用部分系统描述和审核结果。 Microsoft Azure、Azure Government 和 Azure Germany 根据独立审核员进行的审核评估制定综合报告(C5、SOC 2 类型 2、CSA STAR 证明),这可证明与 C5 的合规性。

Microsoft 范围内的云平台和云服务

Azure、Dynamics 365 和 C5

有关 Azure、Dynamics 365 和其他联机服务合规性的详细信息,请参阅 德国 C5:2020 产品/服务

常见问题解答

我能否使用 Microsoft C5 合规性帮助我的组织获得自己的 C5 证明?

能。 你可以将 Microsoft 云服务证明作为需要 C5 的任何项目或计划的基础。 但是,你需要为这些服务之外或在这些服务的基础上构建的组件获得自己的 C5 证明。

C5 与 IT-Grundschutz 目录之间有何区别?

IT-Grundschutz 提供了特定方法,帮助组织确定和实施 IT 系统的安全措施,它是构建 C5 标准所需的要素之一。 C5 为云服务提供商提供一系列审核标准,但会将实施的详细信息保留给云服务提供商。

什么是 Microsoft Cloud Germany?

Microsoft Cloud Germany 实际位于德国,遵守德国隐私法的要求,该法限制向其他国家/地区传输个人数据,并防止可能违反国内法律的其他司法管辖区的当局进行访问。 Azure Germany 从数据位于德国的德国数据中心交付 Azure 服务,它通过德国法律管辖的独特数据委托模型实施严格的数据访问和控制措施。

使用 Microsoft Purview 合规性管理器评估风险

Microsoft Purview 合规性管理器Microsoft Purview 合规性门户中 的一项功能,可帮助你了解组织的合规性状况并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估

资源