雲端運算合規標準目錄

C5 (雲端運算合規標準型錄) 是德國的「雲端運算 IT 安全性」標準。在 2016 年由 BSI 設計和率先發布，當德國客戶將複雜且受規範的工作負載移到 AWS 等雲端運算服務提供者時，C5 控制組可提供額外的保證。

目前的 C5 於 2020 年發布，並包括以下標準和發布要求：

• ISO/IEC 27001:2013 – 資訊安全管理系統 – 要求
• ISO/IEC 27002:2016 – IT 安全程序 – 資訊安全措施指引
• ISO/IEC 27017:2015 – 依據 ISO/IEC 27002 關於雲端服務的資訊安全控制實務準則
• BSI – IT-Grundschutz-Kompendium，2019 年第二版
• CSA – Cloud Controls Matrix 3.0.1 (CSA – 雲端安全聯盟)
• AICPA Trust Service Principles Criteria 2017 (AICPA – 美國會計師協會)
• ANSSI (Agence nationale de la sécurité des systèmes d’information，法國國家網路安全局) – 雲端運算服務供應商3.1 版 (SecNumCloud)
• IDW (Institut der Wirtschaftsprüfer，德國註冊會計師學會計學院) RS FAIT 5 – 財務報告聲明：《雲端運算等財務報告相關服務外包的有序會計原則》，截至 2015 年 11 月 4 日

C5 標準是由德國國家網路安全機構 Bundesamt für Sicherheit in der Informationstechnik (BSI) 於 2016 年制定。BSI 定義了所有政府系統的 IT 安全性需求，而且大多數德國公司的 IT 安全性策略都遵守 BSI 標準。目前版本 (C5:2020) 已於 2020 年 1 月完成。

C5 報告向我們的歐洲客戶提供了獨立的第三方證明，證明我們的控制設計是否合適，以及操作有效性是否符合 C5 基本和附加標準。具體來說，在德國，客戶習慣於尋找根據 C5 標准進行評估的雲端服務。C5 為客戶提供一份等同於 IT-Grundschutz IT 安全性級別的架構文件，涵蓋雲端運算 IT 安全性的各個方面。對於聯邦管理機構而言，C5 證明是採購程序的基本需求。

您可以在個別的AWS 安全部落格 C5 文章中檢閱有關 AWS C5 的最新資訊。

C5 適用範圍內的 AWS 區域包括法蘭克福、愛爾蘭、倫敦、巴黎、米蘭、斯德哥爾摩、新加坡、蘇黎世與西班牙，以及位於奧地利、比利時、保加利亞、克羅埃西亞、捷克共和國、丹麥、愛沙尼亞、芬蘭、法國、德國、希臘、匈牙利、愛爾蘭、義大利、荷蘭、挪威、波蘭、葡萄牙、羅馬尼亞、新加坡、西班牙、瑞典、瑞士與英國的邊緣節點。

您可以在合規計畫的 AWS 服務範圍找到涵蓋於 C5 範圍內的 AWS 服務。如果您想進一步了解使用這些服務的資訊及/或對其他服務感興趣，請聯絡我們。

IT-Grundschutz 是開發和維護機構資訊保護措施的適用標準。IT-Grundschutz Catalogues 說明一般業務程序、IT 系統和應用程式的保護措施，以及提供企業保護內部資訊的方法。C5 針對雲端服務供應商 (CSP) 產品提供指導。

使用 AWS Artifact (一個隨需存取 AWS 合規報告的自助服務入口網站) 可將 AWS C5 報告提供給客戶。登入 AWS 管理主控台中的 AWS Artifact，或者參閱 AWS Artifact 入門進一步了解詳細資訊。

2026 年 1 月，我們宣布 AWS European Sovereign Cloud 正式全面推出，這是一個全新的、獨立的歐洲雲端，完全位於歐盟 (EU) 境內，並在實體與邏輯上與所有其他 AWS 區域分離。專屬的 AWS European Sovereign Cloud C5 報告為客戶提供獨立的第三方認證，證明 AWS 控制措施的設計適合用於滿足 C5 基本與附加標準。

若要進一步了解 AWS European Sovereign Cloud C5 報告及其適用範圍，請造訪 https://aws.eu/compliance/。