雲端運算合規性準則目錄 (C5)
C5 概觀
在 2016 年,德國聯邦資訊安全局 (Bundesamt für Sicherheit in der Informationstechnik 或 BSI) 建立了雲端運算合規性控制目錄 (C5)。 BSI 已在 2020 年將指引修訂為雲端運算合規性準則目錄 (C5:2020) 。 C5 是稽核的標準,為雲端安全性以及德國政府機關和與政府合作的組織採公用雲端解決方案建立強制性的最低基準。 私人部門也日益採用 C5。
C5 需求目錄的目的旨在為認證雲端服務提供者提供一致的安全架構,並向客戶保證將對其資料進行安全管理。
C5 基於國際公認的 IT 安全標準,例如 ISO/IEC 27001:2013、Cloud Security Alliance Cloud Controls Matrix 3.0.1,以及 BSI 自己的 IT-Grundschutz 目錄。 此目錄包含跨 17 個網域的 114 個需求 (例如資訊安全性與實際安全性的組織),其中包含所有雲端服務提供者的基本安全性需求,以及處理高度機密資料的其他需求和需要高可用性的情況。
BSI 也強調透明度。 在審核過程中,雲端提供者必須包含詳細的系統描述,並公開環境參數 (例如管轄權和資料處理位置、服務的佈建,以及其他發給雲端服務的認證),以及雲端提供者對公共機構有公開義務的相關資訊。 此系統可協助潛在雲端客戶決定雲端服務是否符合其基本需求,例如符合數據保護、公司原則等法律需求,或是能夠解決產業威脅。
Microsoft 和 C5
Microsoft 雲端服務針對 SOC 2 (AT 第 101 節) 標準,至少一年稽核一次。 根據 BSI,C5 稽核可與 SOC 2 稽核結合,以重複使用部分的系統描述和重疊控制的稽核結果。 Microsoft Azure、Azure Government 和 Azure 德國根據獨立稽核員執行的稽核評估來維護合併的報告 (C5、SOC 2 類型 2、CSA STAR 證明),該報告展示符合 C5 的證明。
Microsoft 範圍內雲端平台與服務
- Azure、Azure Government 和 Azure 德國
- Office 365 德國
Azure、Dynamics 365 和 C5
如需 Azure、Dynamics 365 和其他在線服務合規性的詳細資訊,請參閱 德國 C5:2020 供應專案。
常見問題集
我是否可以搭配使用 Microsoft 合規性與 C5 來協助組織取得自己的 C5 證明?
是。 您可以使用 Microsoft 雲端服務的證明,做為需要 C5 的任何方案或計畫基礎。 不過,您需要為外部元件或在這些服務之上建置的元件實現您自己的 C5 證明。
C5 與 IT-Grundschutz 目錄有何不同?
IT-Grundschutz 提供了特定的方法,可協助組織識別及實施 IT 系統的安全性措施,也是建立 C5 標準的其中一個元素。 C5 為雲端服務提供者提供一組稽核標準,但會將實作的詳細資料留給雲端服務提供者。
什麼是 Microsoft Cloud Germany?
Microsoft Cloud Germany 實際以德國為基礎,遵守德國隱私權法的要求,該法律會限制將個人資料傳輸到其他國家/國家,並提供保護,防止其他可能違反國內法律的管轄區機關存取。 Azure Germany 從資料駐留在德國的德國資料中心提供 Azure 服務,並透過受德國法律管理的獨特資料信任者模型提供嚴格的資料存取和控制措施。
使用 Microsoft Purview 合規性管理員來評估您的風險
Microsoft Purview 合規性管理員 是 Microsoft Purview 合規性 入口網站中的一項功能,可協助您了解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。
資源
- 雲端運算合規性準則 (C5:2020) (英文) (德文)
- 雲端運算提供者的安全性建議 (英文) (德文)
- Azure + Dynamics 365 + 在線服務 - 公用 & Government - SOC 2 類型 II + C5 + CSA 星型報告
- Microsoft 365 - C5 全球類型 1 報告
- 適用於 Microsoft Azure 德國的 IT-Grundschutz 活頁簿
- 適用於 Office 365 德國的 IT-Grundschutz 活頁簿 (英文)
- 適用於 Office 365 德國的 IT-Grundschutz 活頁簿 (德文)
- Microsoft 信任中心的合規性