クラウド・コンピューティング・コンプライアンス・コントロール・カタログ（C5）は、ドイツ連邦情報セキュリティ局（Bundesamt für Sicherheit in der Informationstechnik、またはBSI）が、クラウド・サービス・プロバイダーのサイバーセキュリティを評価し、サイバー攻撃時にコントロールを確保するためのフレームワークを提供するために作成しました。
C5は、クラウド・サービス・プロバイダーが、そのサービスにおいて最低限のセキュリティー・レベルを提供するために満たすべき要件の概要を示しています。この規格は、ISO 27001、SOC 2、BSIのIT-Grundschutzカタログなどの既存のセキュリティー規格に、データ処理の透明性を高めるためのC5固有の追加要件を加えたものです。
ドイツ連邦共和国の政府および公共部門と連携する組織が利用するクラウド・サービスでは、C5への準拠が義務付けられています。C5評価は、国際保証業務基準（ISAE）3000（改訂版）、過去の財務情報の監査またはレビュー以外の保証業務に従って実施されています。
レポートおよびその他のドキュメンテーション
「対象となるサービス」セクションにリストされているサービスのC5レポートは保護されており、要求に応じて利用できます。IBM Cloudインフラストラクチャー、IBM Cloud VPC、および/またはIBM Cloud PaaS/Cloudant C5レポートを要求するには、以下のリンクをご利用ください。
IBM を現在ご利用いただいているお客様や今後ご利用いただく可能性のあるお客様は、C5:2020レポートをクラウド・セキュリティー・コンプライアンスの検証として、またIBM Cloudの使用に関する評価の一部として使用できます。
C5レポートは、欧州連合(EU)にオフィスを構えるIBMのお客様、または包括的なクラウド・コンピューティング制御フレームワークを求めているその他の世界的なお客様にとって、とりわけ有用です。
C5レポートは、C5フレームワークに従ってコントロールを実装し、独立した監査人によって評価され、C5への準拠を裏付けるIBM サービスに対して提供される場合があります。
以下のサービスでは、コントロールの評価期間が示されているC5レポートをご利用いただけます。
IBMサービス記述（SD）は、特定の製品がC5準拠状況を維持しているかどうかを示します。以下のサービスでは毎年1回以上、C5レポートを発行しています。