CSA STAR - 云安全管理体系
CSA STAR 运用了 ISO/IEC 27001 管理体系标准的安全管控要求,结合 CSA 自身提出的云端控制矩阵(Cloud Control Matrix, CCM),以评分方式来展现云计算的安全程度。
云计算及服务以其诸多的便利性及优势,已日渐成为组织及个人日常生活中的一环。但国际上多项调查结果显示,有超过半数以上的组织明确表达信息安全问题将会是他们决定是否要导入云计算及服务的最主要的因素之一。其中又以信息安全策略及安控措施能否有效地被实施、数据及隐私保护,数据遗失等为最主要的关键议题。
联合国贸易和发展会议公布的报告明确指出:云计算的安全性为云经济发展上最主要的挑战。2016年 CSA 发布的12大威胁中,以资料外泄、凭证被盗身份验证管理不足以及界面与 API 被黑为首。
CSA STAR
成立于2008年的非营利组织,云安全联盟(CSA)于2010年发布了云端控制矩阵(Cloud Control Matrix, CCM)作为强化云计算安全性的实施指引(包括 IaaS、PaaS 及 SaaS 服务)。CCM 最显著的特性,在于每一个云端安全的控件皆能对应到国际公认的信息安全标准,如:ISO/IEC 27001、PCI-DSS、ISACA COBIT 及 NIST 等。
CSA 于2013年9月25日正式发布 CSA STAR 认证(Security, Trust & Assurance Registry)。它运用了 ISO/IEC 27001 管理体系标准的安全管控要求,结合 CSA 自身提出的云端控制矩阵(Cloud Control Matrix, CCM),以评分方式来展现云计算的安全程度。
STAR 认证的特点
- 申请 CSA STAR 认证需先行或同时通过 ISO/IEC 27001 的认证;CSA STAR 认证为架构于 ISO/IEC 27001 证书之上的一个审核程序,CSA STAR 的认证范围必须涵盖于组织现行的 ISO/IEC 27001 证书范围之内。认证进行的方式与 ISO/IEC 27001 相同,须遵循 ISO 17021、ISO 19011 及 ISO 27006 的规范。
- 云端控制矩阵(Cloud Control Matrix, CCM)作为审核的准则;涵盖法律法规、风险管理、设施完备、人力资源、信息安全、营运管理、发布管理、安全架构等16个控制区域及133个控制措施。
云计算及服务已经是一个不可避免的趋势,企业组织也必须正视无论提供或使用云计算所造成的冲击及挑战。藉由 CSA STAR 认证的导入及实施,不仅可以协助云计算服务商展现信息安全的落实状态及管理能力,而且可更有效地提供差异化的云计算服务并强化云计算使用者(企业客户或一般使用者)的信心及信赖度。
获得认证后的优势
面对云计算的快速兴起,加上 IT 行业快速变化及信息安全日新月异的挑战,云计算服务商或用户在面对云计算时,已经不能使用过往在传统信息架构下的管理思维,这也是为何要求要通过 CSA STAR 认证的企业,除了要满足 ISO/IEC 27001 国际标准之外,也要同时强化相关的云计算安全技术管控。
对于云计算服务商而言,通过 CSA STAR 认证的导入,能具体展现自身的云计算在安全议题上的完整设计程度,同时也能让用户在选择云服务时,可以客观地评估及掌握风险承受状况,使其在享受使用云计算所带来的竞争优势时,也能够在风险管理层面实现良好的管控。
如何获得认证
为了获得认证,您需要按照标准实施有效信息安全管理体系。DNV 是经认可的第三方认证机构,提供 CSA STAR 的相关培训服务和标准认证服务。请阅读认证之路,了解踏上认证之路的方法。