(CWW)近日,中國信息通信研究院(以下簡(jiǎn)稱“中國信通院”)獲得了STAR認(rèn)證資質(zhì),此認(rèn)證不僅可以協(xié)助云計(jì)算服務(wù)商展現(xiàn)信息安全的落實(shí)狀態(tài)及管理能力,可更有效地差異化所提供的云計(jì)算并強(qiáng)化云計(jì)算使用者(企業(yè)客戶或一般使用者)的信心及信賴度。
CSA STAR認(rèn)證是由CSA(Cloud Security Alliance,云安全聯(lián)盟)提出的全球性云安全評(píng)估與認(rèn)證標(biāo)準(zhǔn),云安全、信任、保障和風(fēng)險(xiǎn)(Security, Trust, Assurance and Risk,STAR)認(rèn)證是針對(duì)云服務(wù)提供商安全等級(jí)評(píng)價(jià)的嚴(yán)格獨(dú)立的第三方評(píng)審和注冊(cè),采用云計(jì)算安全的行業(yè)黃金框架——CCM(Cloud Control Matrix,云安全控制矩陣)。
對(duì)于云計(jì)算服務(wù)商而言,通過STAR認(rèn)證的導(dǎo)入,能具體展現(xiàn)自身的云計(jì)算在安全議題上的完整設(shè)計(jì)程度,同時(shí)也能讓用戶在選擇云服務(wù)時(shí),可以客觀得進(jìn)行評(píng)估及掌握風(fēng)險(xiǎn)承受狀況,使其在享受使用云計(jì)算所帶來的競(jìng)爭(zhēng)優(yōu)勢(shì)時(shí),也能夠在風(fēng)險(xiǎn)管理層面實(shí)現(xiàn)良好的管控。
STAR認(rèn)證提供三種級(jí)別的保障:
第1級(jí)別是CSA-STAR 自我評(píng)估,是入門級(jí)服務(wù),它免費(fèi)提供并向所有云服務(wù)提供商(Cloud Service Provider,CSP) 公開。云服務(wù)提供商可以在CSA官網(wǎng)注冊(cè)并提交自評(píng)估報(bào)告,證明自身實(shí)施的安全控制符合CSA的要求。
第2級(jí)別是獨(dú)立第三方認(rèn)證,涉及到第三方基于評(píng)估的認(rèn)證,由第三方機(jī)構(gòu)進(jìn)行認(rèn)證,確保供應(yīng)商能夠滿足CSA云安全控制矩陣(Cloud Controls Matrix,CCM)要求,其中CCM 與行業(yè)接受的安全標(biāo)準(zhǔn)、法規(guī)和控制措施框架相對(duì)應(yīng),例如 ISO 27001、PCI DSS、HIPAA、AICPA SOC 2、NERC CIP、FedRAMP 和 NIST 等。
第3級(jí)別是持續(xù)監(jiān)控,涉及到基于持續(xù)監(jiān)視授予的認(rèn)證。云服務(wù)提供商公布基于CSA云計(jì)算信任協(xié)議(The Cloud Trust Protocol,CTP)的安全監(jiān)控結(jié)果,對(duì)云服務(wù)相關(guān)安全要求進(jìn)行持續(xù)的審計(jì)和評(píng)估。
STAR認(rèn)證模型圖
企業(yè)通過STAR評(píng)估,則可獲得中國信通院頒發(fā)的STAR云安全證書,獲取云安全管理成熟度報(bào)告,通過云安全評(píng)估提高云安全管理水平,減少可能潛在的風(fēng)險(xiǎn)隱患,更好地滿足顧客的云安全要求。此外,企業(yè)通過STAR評(píng)估,還可以證明其云安全水平領(lǐng)先于云服務(wù)提供者行列,可充分滿足顧客的云安全要求,保障云服務(wù)業(yè)務(wù)安全有效開展,成為安全領(lǐng)域毋庸置疑的先驅(qū)者,獲取云服務(wù)行業(yè)競(jìng)爭(zhēng)優(yōu)勢(shì)。
關(guān)鍵詞: 80