雲端安全聯盟(CSA)STAR驗證簡介 智慧應用 影音
D Book
繁體版 简体版
評估申請
快捷顧問
登入
231
Vicor
ST Microsite
熱門關鍵字
#EV
#伺服器
#半導體
#AI PC
#NB
#面板
#記憶體
#AI
#台積電
#鴻海

雲端安全聯盟(CSA)STAR驗證簡介

  • 鄭惠如台北

雲端運算及服務提供諸多便利性及優勢,已漸成為企業組織及個人日常作業或生活中的一環,但在國際間的多項調查結果顯示,有超過半數到七成的企業組織明確表達資訊安全議題將會是他們決定是否要導入雲端運算及服務的最主要的要素之一。其中又以資訊安全政策及安控措施能否有效的被實施、資料及隱私保護,資料遺失等為最主要的關鍵議題。

以聯合國貿易和發展會議(UNCTAD)於2013年的公布的報告為例,雲端服務的安全性為雲端經濟發展上最主要的挑戰(Information Economy Report 2013)。

此外,在雲端安全聯盟(CSA) 於2013年所進行的調查中(The Notorious Nine—Cloud Computing Top Threats in 2013;CSA),資料外洩、資料遺失,帳號或服務被竊取則為排名前三大的威脅,且排名自2010年大幅跳升。

為了回應國際間企業及使用者對於雲端服務商資安防護能力的疑慮,雲端安全聯盟(CSA)於2008年正式成立,為一個非營利組織。CSA首先於2010年發布雲端控制矩陣(Cloud Control Matrix;CCM)作為強化雲端服務安全性的實施指引(包括IaaS、PaaS及 SaaS服務)。

CCM最顯著的特性,在於每一個雲端安全的控制項皆能對應到國際間著名的資訊安全標準,如:ISO 27001、PCI-DSS、ISACA COBIT及NIST等。

接著CSA於2011年發佈了開放認證框架(Open Certification Framework)作為雲端服務提供商證明其資訊安全治理能力的佐證,其分為三個等級:

Level 1:自我評鑑(Self Assessment) ——由雲端服務提供商填寫自我評鑑問卷,自我宣告對於CCM的遵循程度,並上傳至CSA的官方網站供公眾查閱。

Level 2:驗證(Certification)——由第三方機構依據ISO 27001、CCM及管理能力模型進行評鑑後,授與管理能力等級獎牌的一系列活動。

Level 3:持續監視(Continious)——仍在發展中,主要精神為使用即時監視的技術,持續收集稽核證據,以確認對於顧客要求的滿足程度的方案。

雲端安全聯盟(CSA)與英國標準協會(BSI)於2013年9月25日正式發佈雲端安全聯盟(CSA)STAR驗證 (Security,Trust & Assurance Registry,安全信任與保證註冊項目)。

STAR驗證具有三個獨特的特性:

1. CSA STAR驗證的範圍(scope)需先行?同時通過ISO 27001的驗證;CSA STAR驗證為架構於ISO 27001證書之上的一個評鑑程序,CSA STAR的驗證範圍必須涵蓋於組織現行的ISO 27001證書。驗證進行的方式與ISO 27001雷同,須遵循ISO 17021、ISO 19011及ISO 27006的規範。

2. 雲端控制矩陣(Cloud Control Matrix;CCM)作為評鑑的準則;現行CSA STAR驗證以CCM 1.4版為評鑑準則。以1.4版為例,涵蓋法令法規、遵循性、資料管制、風險管理、設施安全、人力資源、資訊安全、營運管理、發佈管理、復原力、安全架構等11個控制區域及98個控制措施。

3. BSI制訂的管理能力模型(Capacity Model)作為評估成熟度及授與獎牌等級的依據。

管理能力模型為CSA STAR驗證中最核心的關鍵,此管理能力模型打破了現行管理系統驗證活動中,各組織對於pass/fail或稽核發現事項數目的迷思。

以管理能力的成熟度進行評估,能使組織重新評估資源的分配,針對管理能力較為薄弱的區域進行強化,以增加其作業上的效率及有效性,例如:人工審查資訊系統稽核日誌v.s使用自動化工具分析稽核日誌等兩種管理方式,其效率及有效性於管理能力上的差異。

此模型將CCM的各個控制措施以溝通、程序、人員技能、領導力、監督及量測等5個評估面向進行評估,再依據管理能力的成熟等級分別授與1?15的給分。最終的管理能力給分為依據各面向、控制措施及控制區域等層級給分後,最後將各控制區域給分加總平均,依據平均分決定授與獎牌等級為金牌、銀牌或銅牌。

CSA STAR驗證自發布後,全球目前已有包括HP、Pulsant、阿里雲等8家組織取得此驗證。

中華電信取得 CSA STAR銀級驗證

台灣電信業龍頭中華電信以hicloud服務作為CSA STAR驗證標的。經由一系列作業程序的優化,包括識別法令法規、營運水準協議(OLAs)、供應商管理的強化、實施自動化監視機制等活動及BSI的評鑑程序,中華電信於2014年3月正式獲得CSA STAR銀級驗證,及登錄於CSA的官方網站的CSA STAR Registry中,成為全球第一家取得此驗證的電信公司。

結語

雲端運算及服務已經是一個不可避免的趨勢,企業組織也必須正視無論於提供或使用雲端服務上所造成的衝擊及挑戰。藉由CSA STAR Certification的導入及實施,不僅可以協助雲端服務提供商展現資訊安全的落實狀態及管理能力,可更有效的差異化所提供的雲端服務並強化雲端服務使用者 (企業客戶或一般使用者) 的信心及信賴度。


關鍵字
加入已選取到「關鍵字追蹤」 什麼是「關鍵字追蹤」