C5 개요
2016에서 정보 보안을 위한 독일어 (Bundesamt für Sicherheit, BSI)는 클라우드 컴퓨팅 준수 컨트롤 카탈로그 (C5)를 만들었습니다. BSI는 2020년에 클라우드 컴퓨팅 규정 준수 기준 카탈로그(C5:2020)로 지침을 수정했습니다. C5는 감사 표준으로, 클라우드 보안을 위한 필수 최소 기준을 설정하고 독일 정부 기관 및 정부와 협력하는 조직의 퍼블릭 클라우드 솔루션 채택을 설정합니다. 민간 부문도 점점 더 C5를 채택하고 있습니다.
요구 사항의 C5 카탈로그의 목적은 클라우드 서비스 공급자를 인증하기 위한 일관된 보안 프레임워크를 제공하고 고객에게 데이터가 안전하게 관리된다는 확신을 제공하는 것입니다.
C5는 ISO/IEC 27001:2013, 클라우드 보안 제휴 클라우드 컨트롤 매트릭스 3.0.1 및 BSI의 IT-Grundschutz 카달로그와 같은 국제적으로 유명한 보안 표준을 바탕으로 합니다. 이 카탈로그는 17개의 도메인(예: 정보 보안 및 물리적 보안 조직)에 대한 114개의 요구 사항으로 구성되어 있으며 모든 클라우드 서비스 제공자의 기본 보안 요구 사항과 기밀성이 높은 데이터 및 고가용성이 필요한 상황을 처리하기 위한 기타 요구 사항이 포함되어 있습니다.
BSI는 투명성도 강조합니다. 감사의 일환으로, 클라우드 제공자는 상세한 시스템 설명을 포함하고 관할권 및 데이터 처리 위치, 서비스 제공 및 클라우드 서비스에 발행된 기타 인증과 같은 환경 매개 변수와 클라우드 제공자의 공공기관에 대한 공개 의무에 대한 정보를 공개해야 합니다. 이 시스템은 잠재적 클라우드 고객이 클라우드 서비스가 데이터 보호, 회사 정책 또는 산업 스파이 위협을 해결하는 기능과 같은 법적 요구 사항 준수와 같은 필수 요구 사항을 충족하는지 여부를 결정하는 데 도움이 됩니다.
Microsoft와 C5
SOC 2(AT Section 101) 표준에 따라 Microsoft 클라우드 서비스를 적어도 매년 감사합니다. BSI에 따르면 C5 감사는 SOC 2 감사와 결합되어 시스템 설명의 일부 및 겹치는 컨트롤에 대한 감사 결과를 재사용할 수 있습니다. Microsoft Azure, Azure Government 및 Azure Germany는 독립 감사원이 수행한 감사 평가를 기반으로 C5 준수 여부를 증명하는 결합된 보고서(C5, SOC 2 유형 2, CSA STAR 증명)를 유지 관리합니다.
Microsoft 범위 내 클라우드 플랫폼 및 서비스
- Azure, Azure Government, Azure Germany
- Microsoft 365 Germany
Azure, Dynamics 365 및 C5
Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 독일 C5:2020 제품을 참조하세요.
자주하는 질문
사용자가 C5에 대한 Microsoft 규정 준수를 사용하여 조직에서 자신의 C5 증명을 받을 수 있나요?
예. Microsoft 클라우드 서비스의 증명을 C5가 필요한 모든 프로그램 또는 이니셔티브의 기초로 사용할 수 있습니다. 그러나 이러한 서비스 외부에 있거나 이러한 서비스에 구축 된 구성 요소에 대해서 자체적인 C5 증명을 달성해야 합니다.
C5와 IT-Grundschutz 카탈로그의 차이점은 무엇인가요?
IT-Grundschutz는 조직이 IT 시스템에 대한 보안 조치를 식별하고 구현하는 데 도움이 되는 특정 방법론을 제공하며 C5 표준이 구축되는 요소 중 하나입니다. C5는 클라우드 서비스 제공자를 위한 일련의 감사 표준을 제공하지만 구현 세부 사항은 클라우드 서비스 제공자에 맡깁니다.
Microsoft Cloud Germany 란 무엇인가요?
Microsoft 클라우드 독일은 독일에 물리적으로 기반을 두고 있으며, 독일 개인 정보 보호법의 요구 사항을 준수하여 다른 국가로의 개인 데이터 전송을 제한하고 국내법을 위반할 수 있는 다른 관할권의 당국의 액세스를 보호합니다. Azure Germany는 독일의 데이터 상주가 있는 독일 데이터 센터의 Azure 서비스를 제공하며 독일 법률에 따라 통제되는 고유한 데이터 피신탁 모델을 통해 제공되는 엄격한 데이터 액세스 및 제어 수단을 제공합니다.
Microsoft Purview 준수 관리자를 사용하여 위험 평가
Microsoft Purview 준수 관리자는Microsoft Purview 포털의 기능으로, organization 규정 준수 상태를 이해하고 위험을 줄이는 데 도움이 되는 조치를 취할 수 있습니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.
리소스
- 클라우드 컴퓨팅 규정 준수 조건 카탈로그(C5:2020)(영어)(독일어)
- 클라우드 컴퓨팅 공급자에 대한 보안 권장 사항(영어) (독일어)
- Azure + Dynamics 365 + 온라인 서비스 - 공용 & Government - SOC 2 유형 II + C5 + CSA 별 보고서
- Microsoft 365 - C5 Worldwide - C5 유형 2 보고서
- Microsoft Azure 독일용 IT-Grundschutz 통합 문서
- Office 365 독일용 IT-Grundschutz 통합 문서(영어)
- Office 365 독일을 위한 IT-그런슈츠 통합 문서(독일어)
- Microsoft 보안 센터에 대한 규정 준수