클라우드 컴퓨팅 규정 준수 조건 카탈로그(C5)
C5 개요
2016에서 정보 보안을 위한 독일어 (Bundesamt für Sicherheit, BSI)는 클라우드 컴퓨팅 준수 컨트롤 카탈로그 (C5)를 만들었습니다. BSI는 2020년에 클라우드 컴퓨팅 규정 준수 기준 카탈로그(C5:2020)로 지침을 수정했습니다. C5는 감사 표준으로, 클라우드 보안을 위한 필수 최소 기준을 설정하고 독일 정부 기관 및 정부와 협력하는 조직의 퍼블릭 클라우드 솔루션 채택을 설정합니다. 또한 C5는 민간 부문에서도 도입 사례가 점차 늘고 있습니다.
C5 요구 사항 카탈로그의 목적은 클라우드 서비스 공급자를 인증하기 위한 일관된 보안 프레임워크를 제공하고 고객에게 데이터가 안전하게 관리된다는 확신을 제공하는 것입니다.
C5는 ISO/IEC 27001:2013, 클라우드 보안 제휴 클라우드 컨트롤 매트릭스 3.0.1 및 BSI의 IT-Grundschutz 카달로그와 같은 국제적으로 유명한 보안 표준을 바탕으로 합니다. 이 카탈로그는 17개의 도메인(예: 정보 보안 및 물리적 보안 조직)에 대한 114개의 요구 사항으로 구성되어 있으며 모든 클라우드 서비스 제공자의 기본 보안 요구 사항과 기밀성이 높은 데이터 및 고가용성이 필요한 상황을 처리하기 위한 기타 요구 사항이 포함되어 있습니다.
또한 BSI는 투명성에 중점을 둡니다. 감사의 일환으로, 클라우드 제공자는 상세한 시스템 설명을 포함하고 관할권 및 데이터 처리 위치, 서비스 제공 및 클라우드 서비스에 발행된 기타 인증과 같은 환경 매개 변수와 클라우드 제공자의 공공기관에 대한 공개 의무에 대한 정보를 공개해야 합니다. 이 시스템은 잠재적 클라우드 고객이 클라우드 서비스가 데이터 보호, 회사 정책 또는 산업 스파이 위협을 해결하는 기능과 같은 법적 요구 사항 준수와 같은 필수 요구 사항을 충족하는지 여부를 결정하는 데 도움이 됩니다.
Microsoft와 C5
SOC 2(AT Section 101) 표준에 따라 Microsoft 클라우드 서비스를 적어도 매년 감사합니다. BSI에 따르면 C5 감사는 SOC 2 감사와 결합되어 시스템 설명의 일부 및 겹치는 컨트롤에 대한 감사 결과를 재사용할 수 있습니다. Microsoft Azure, Azure Government 및 Azure Germany는 독립 감사원이 수행한 감사 평가를 기반으로 C5 준수 여부를 증명하는 결합된 보고서(C5, SOC 2 유형 2, CSA STAR 증명)를 유지 관리합니다.
Microsoft 범위 내 클라우드 플랫폼 및 서비스
- Azure, Azure Government, Azure Germany
- Office 365 Germany
Azure, Dynamics 365 및 C5
Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 독일 C5:2020 제품을 참조하세요.
자주하는 질문
사용자가 C5에 대한 Microsoft 규정 준수를 사용하여 조직에서 자신의 C5 증명을 받을 수 있나요?
예. C5가 요구되는 프로그램이나 이니셔티브에 대한 기초로서 Microsoft 클라우드 서비스의 증명을 활용할 수 있습니다. 그러나 이러한 서비스 외부에 있거나 이러한 서비스에 구축 된 구성 요소에 대해서 자체적인 C5 증명을 달성해야 합니다.
C5와 IT-Grundschutz 카탈로그의 차이점은 무엇인가요?
IT-Grundschutz는 조직이 IT 시스템에 대한 보안 조치를 식별하고 구현하는 데 도움이 되는 특정 방법론을 제공하며 C5 표준이 구축되는 요소 중 하나입니다. C5는 클라우드 서비스 제공자를 위한 일련의 감사 표준을 제공하지만 구현 세부 사항은 클라우드 서비스 제공자에 맡깁니다.
Microsoft Cloud Germany 란 무엇인가요?
Microsoft 클라우드 독일은 독일에 물리적으로 기반을 두고 있으며, 독일 개인 정보 보호법의 요구 사항을 준수하여 다른 국가로의 개인 데이터 전송을 제한하고 국내법을 위반할 수 있는 다른 관할권의 당국의 액세스를 보호합니다. Azure Germany는 독일의 데이터 상주가 있는 독일 데이터 센터의 Azure 서비스를 제공하며 독일 법률에 따라 통제되는 고유한 데이터 피신탁 모델을 통해 제공되는 엄격한 데이터 액세스 및 제어 수단을 제공합니다.
Microsoft Purview 준수 관리자를 사용하여 위험 평가
Microsoft Purview 준수 관리자는 조직의 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취할 수 있도록 도와주는 Microsoft Purview 규정 준수 포털 의 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.
리소스
- 클라우드 컴퓨팅 규정 준수 조건 카탈로그(C5:2020)(영어)(독일어)
- 클라우드 컴퓨팅 공급자에 대한 보안 권장 사항(영어) (독일어)
- Azure + Dynamics 365 + 온라인 서비스 - 공용 & Government - SOC 2 유형 II + C5 + CSA 별 보고서
- Microsoft 365 - C5 Worldwide Type 1 보고서
- Microsoft Azure 독일용 IT-Grundschutz 통합 문서
- OFFICE 365 독일용 IT-Grundschutz 통합 문서(영어)
- OFFICE 365 독일용 IT-Grundschutz 통합 문서(독일어)
- Microsoft 보안 센터에 대한 규정 준수