BSI（德國聯邦資安辦公室）是德國聯邦政府的中央資安權威機構，負責推動、監督並強化德國公共部門與社會整體的資訊安全，包括政府機關、關鍵基礎設施（KRITIS）與企業社群。BSI 的法源為**《聯邦資訊安全辦公室法》（BSIG/BSI-Act）**；該法明定 BSI 隸屬德國內政部監督，並賦予其技術指導、事件通報、標準與方法制定等職權。bsi.bund.de+1

• 成立時間：1991 年

• 總部：波昂（Bonn）

• 任務：預防性地推動資訊與資安，確保德國對 ICT 的安全使用；提供政府與社會各界指引與支援。bsi.bund.de

現任主席（President）為 Claudia Plattner（自 2023-07-01 起）。bsi.bund.de+2European Central Bank+2

BSI 的核心職能

1. 制定與維護資安方法論與標準

   • IT-Grundschutz（IT 基本防護）：一套面向組織的 ISMS 方法論與控制基準，提供分級模組化控制、風險分析流程與對應工具（標準 200-1/200-2/200-3）。微軟、Azure 等國際雲服務亦提供導入對照資源。bsi.bund.de+2Compliance Aspekte+2

   • C5（Cloud Computing Compliance Criteria Catalogue）：雲端服務最低資安審查基線，供供應商／稽核員／客戶使用，建立一致的稽核與信任框架（目前常見版本為 C5:2020）。bsi.bund.de+2Google Cloud+2

2. 關鍵基礎設施與事件通報

   • 依 **NIS（含德國實施法）架構要求，KRITIS 業者須依最新技術水準（state of the art）**導入資安措施並向 BSI 回報重大事件。德國 2025 年亦完成 NIS2 與「KRITIS 傘形法」的落地，擴大保護範圍與證明義務。bsi.bund.de+1

3. 國家級資安服務與警訊

   • 包含威脅情報、弱點通報、最佳實務指南、產品與服務的安全建議，並支援公部門與企業的防護與應變。bsi.bund.de

重要名詞速懂

• BSIG（BSI-Act）：BSI 的法律依據，界定其職權、通報義務與監管框架。gesetze-im-internet.de

• IT-Grundschutz：BSI 提供的組織資安方法論與控制庫，含文件集與工具。bsi.bund.de

• C5：雲端服務之最低稽核基準，與 ISO/IEC 27001 等國際標準互補，形成一致的稽核證明。Google Cloud

• KRITIS / NIS2：關鍵基礎設施與重要實體的強制資安義務與通報制度；BSI 為中央權威。bsi.bund.de+1

對企業有什麼幫助？

• 合規與稽核路線

  • 以 IT-Grundschutz 建立/補強 ISMS（與 ISO/IEC 27001 可互補對齊）。Microsoft Learn

  • 對雲端供應鏈或自建雲服務，參考 C5 作為稽核與對客戶的可證明性依據。bsi.bund.de+1

• KRITIS/NIS2 風險管理

  • 若屬「關鍵設施」或「重要/特別重要實體」，需建立事件通報、運維安全、供應鏈安全與證明文件；BSI 網站提供最新法規與技術指南。bsi.bund.de+1

• 威脅情報與最佳實務

  • 定期關注 BSI 公告以更新防護作法（如弱點修補建議、攻擊趨勢、配置基線）。