亞太區雲端安全認證服務與推廣中心正式成立

基於協助國內資安業者提升資訊安全相關技術能力,拓展國際資安產品市場,並輔導國內雲端業者強化資安防護能力以提升國際競爭力的使命,在經濟部工業局資通訊安全產業推動計畫及CSA APAC (亞太區雲端安全聯盟)的支持下,台灣雲端安全聯盟201495日「2014雲端安全聯盟亞太年會」宣布成立亞太區第一間「雲端安全認證服務與推廣中心」,除持續推廣 CSA STAR Certification國際雲端安全認證,更將積極邀請國內產官學研等相關單位,共同參與CSA APAC制定雲端安全相關認證標準,為台灣及亞太區雲端安全貢獻心力。

目前,在工業局攜手推動下,已成功輔導中華電信及遠傳電信成為全球唯二取得CSA STAR Level 2 雲端安全認證的電信業者,推廣中心的檢測對象初期以雲端服務業者為主。ㄧ但這些業者通過CSA STAR Level2第三方評鑑,將會被列在CSA全球官網-CSA STAR Registry。推廣中心未來服務對象更將擴大至資安業者。CSA STAR CertificationCSA與標準制定權威英國標準協會(BSI)所共同制訂,此驗證準則要求雲端服務提供者所提供的雲端運算及服務需滿足三項要求: 1. ISO/IEC 27001驗證、2. CSA雲控制矩陣(Cloud Control Matrix, CCM)3.成熟度模型的導入及稽核,是目前國際最嚴謹且認可度最高的雲端安全標準,讓業者能證明其雲端服務的高度安全性。另外,CSA STAR Certification要求雲端服務提供者必須針對所提供的雲端運算及服務通過ISO/IEC 27001的驗證確保雲端服務提供者已建立及符合國際標準要求的資訊安全管理制度 (ISO/IEC 27001已是全球企業組織用以展現其資訊安全有善盡管理之責的重要遵循依據),並確保各個面向的安全控制措施已被導入及實施,以提供雲端運算及服務資訊安全防護的基礎

*有意參加CSA STAR Certification 業者請與本協會聯繫

  • 20140905  雲端安全認證服務與推廣中心啟動儀式

BSI台灣經理蒲樹盛(左起)、大會主席暨台灣雲端安全聯盟理事長蔡一郎、雲端安全聯盟亞太區總裁Aloysius Cheang、經濟部工業局局長吳明機、CSA 執行長 Jim Reavis共同主持啟動儀式。

  • CSA STAR Certification Process

 

遠傳電信成為全球第三家通過CSA STAR金牌認證企業

雲端安全聯盟(CSA, Cloud Security Alliance)結合國際標標組織(ISO, International Organization for Standardization)與BSI英國標準協會,共同發展STAR雲端安全的認證,以提昇雲端服務供應商對自我雲端服務的資訊安全檢視,以及提高雲端服務使用者的資訊安全信賴,並結合ISO 27001:2013建立雲端安全基礎的資訊安全管理系統。

遠傳電信自2013年底積極投入CSA STAR認證,於20149月底通過CSA審核並同時取得全球第三家擁有CSA STAR認證金牌的企業,其間歷經自我評估、風險分析、管控強化到落實驗證的四階段努力,從系統架構、防禦及監控機制面,層層落實強化雲端資安系統的管控機制,遠傳電信投入的能量終於通過CSA STAR認證的嚴格審核,足見遠傳電信為了雲端服務平台的用戶,提供更具公信力的資訊安全保證,致力於資安技術服務的優化,並落實資訊安全與個人資料領域的控管,提供客戶高防護的承諾。亞太區目前已通過CSA STAR金牌認證的企業,已有遠傳電個與阿里巴巴兩大企業。相信未來將有更多雲端服務業者積極投入,以提昇用戶對於雲端服務平台的信賴。

註.雲端服務安全認證「CSA-STAR認證」是由BSICSA合作的國際認證,涵蓋ISO/IEC 27001 資訊安全標準,針對雲端安全再進一步劃分11個領域共98個雲端安全管控點,從法規面、營運面到技術面,以五大評估因素給予審查評分,是一經過嚴謹的驗證稽核才能取得的國際級資安認證,同時符合全球一致的雲端安全標準。

Cloud Security Alliance STAR 介紹

2014雲端安全聯盟亞太年會

雲端計算為資訊產業帶來全新的變革,不論是個人資料,或是公司的訊息都以數位的方式儲存在雲端的方式,也讓資訊安全受到空前的挑戰。在雲端運算為產業界帶來無窮商機與發展潛力的同時,資訊安全也為未來世界埋下危機的因子。

第二屆雲端安全聯盟亞太年會將於2014年9月5日在台灣台北舉行,此次會議將針對雲端運算的智識與扮演的關鍵性角色進行深入探討,我們誠摯地邀請您的參與,在會中與來自學界及產業界的代表進行交流。在9月1日到9月4日間,更將由HP及BSI分別舉辦兩天完整的相關課程,第一個系列的主題為CSA STAR Lead Auditor(9/1-9/2),第二個系列則為CCSK課程(9/3-9/4),讓參與者對於雲端運算資安的運用與在地化有更深刻的了解,加強雲端運算的實用性。

Cloud computing has brought forth an information revolution. All kinds of data, from personal data to corporate intellectual property, are now stored in digital format in the cloud. This pervasiveness of data in the cloud has made cybersecurity more challenging than ever. While cloud computing has created new business and industry opportunities, cloud computing has also led to gaps in information security management, that have become the target of malicious activity in the cyberspace.

The 2nd CSA APAC Congress will be held on the 5th of September 2014. The event aims to broaden your knowledge about the critical role that cloud computing plays and the corresponding cybersecurity concern. Besides inviting you to join in the cloud computing revolution and exposing you to the latest innovations in cloud security, this event aims to equip interested IT professionals with the relevant knowledge and skillset. From the 1st to the 4th of September, 2 back-to-back courses, lasting 2 days each, will be conducted by BSI and HP. The first course is the CSA STAR Lead Auditor (1/9 – 2/9) course and the second course will be the CCSK course (3/9 – 4/9). Finally, the event will also release the latest cloud security guidelines localised in your regional languages to enable you to safely harness the power of cloud computing for your business.

APAC Congress 年會網站:  http://2014.csa.asia/

雲端資安認證檢測服務說明會

雲端資安防護能力為使用者導入雲端與否的關鍵要素。ISO國際標準組織於2013101ISO年會中,正式推出新版的資安認證標準ISO 270012013,其中雲端系統安全項目即採用雲端安全聯盟(Cloud Security Alliance, CSA)所制定之CSA STAR 認證驗證方法與內容,預計企業最遲將在2015年全數適用。雲端產業若無相關資安驗證,將喪失國際雲端商機。

而國內雲端服務安全檢測驗證若要透過國外實驗室進行檢驗,將造成測試時程冗長,成為雲端服務國際拓銷的阻礙而喪失上市先機。

有鑑於此,經濟部工業局委由工研院執行「資通訊安全產業推動計畫」與台灣雲端安全聯盟CSA Taiwan Chapter共同推動CSA-STAR認證,並透過BSI英國標準協會成功協助中華電信成為全球第一家取得 CSA STAR Level 2認證的電信業者。同時也推動成立亞洲第一個雲端安全認證服務與推廣中心,期能引進最新雲端資安防護與檢測技術,幫助業者搶得市場先機,引領業者提升雲端服務資訊安全防護能力及國際競爭力。

希望透過此次說明會,協助國內資安業者了解台灣雲端安全發展、CSA STAR認證及雲端安全認證服務與推廣中心的運作機制,擴展國產資安產品市場、國際能見度及競爭能量。

■指導單位:經濟部工業局

■主辦單位:資通訊安全產業推動計畫

■執行單位:工業技術研究院、台灣雲端安全聯盟CSA Taiwan ChapterBSI英國標準協會、台灣雲端運算產業協會

■時  間:2014611 9:00-12:00

■地  點:台灣雲端運算產業協會 (台北市信義路四段7471)

立即報名!

二月份新增團體會員

雲端安全議題隨著雲端服務時代的來臨更顯得格外重要,台灣已取得ISMS (ISO27001)證書的企業數排名全球第三,適逢ISO 27001:2013已經釋出,目前許多企業正進行ISO改版的規劃,此時此刻配合雲端服務的提供,增加OCF架構下的STAR認證,為許多企業的選擇,BSI英國標準協會台灣德國萊因股份有限公司(TUV)於本月已加入本協會會員,共同推動台灣的雲端安全認證,各個企業可配合資訊安全管理系統的驗證,將STAR合作進行驗證,可以提昇企業本身對於雲端服務在安全管理上提供使用者更多的信賴。

雲端安全聯盟 STAR 計畫

雲端安全聯盟(CSA)和商業標準制定權威機構英國標準協會(BSI),於2013年9月25日,在雲端安全聯盟EMEA論壇,宣布推出STAR認證(STAR Certification),一個嚴謹的雲端服務供應商安全性的第三方獨立評鑑。此技術中立的認證運用了ISO/IEC 27001:2005管理系統標準的要求,結合CSA雲控制矩陣(Cloud Control Matrix, CCM)及用以量測雲端服務的能力水準之一系列準則。

企業組織採用雲端服務供應商外包處理內部資料及資訊時,總有許多安全性方面的疑慮。藉由通過STAR認證,將來不論是何種規模的雲端服務供應商,都能使潛在客戶更加瞭解他們的安全控制水準。

STAR認證是以達成ISO / IEC 27001和雲控制矩陣所列出的一系列準則為基礎,此矩陣有11個控制區域,涵蓋遵循性、資料治理、設施及場所安全、人力資源安全、資訊安全、法規、運作管理、風險管理、發行管理、恢復能力和安全架構。

此獨立評鑑將由CSA認可的驗證機構執行,例如:BSI,將對11個控制區域的每個區域進行「管理能力」的評分。每一個控制措施將會依5個管理原則被量測並給予特定的成熟度分數。

此稽核報告將對企業組織展示其流程的成熟度,以及需考慮、改善以達到最佳完善等級的區域,這些等級將被指定為「無 (No)」、「銅 (Bronze)」、「銀 (Silver)」或「金 (Gold)」等級,經過認證之企業組織,將會被列在CSASTAR Registry為「通過STAR認證(STAR Certified)」。

STAR屬於OCF框架中的驗證計畫,主要是針對雲端服務供應商,提供一個可以進行認證的標準,也可以提供一般使用者選擇雲端服務供應商上的參考。

ocf-structure.gif

台灣雲端安全聯盟正式成立

台灣雲端安全聯盟,於2013年7月26日已正式於內政部立案核准設立,立案字號為:台內團字第1020396999號,正式提供國內雲端安全相關產業與技術諮詢服務,並邀集國內雲端相關產業,共同為台灣雲端安全領域發展而努力,目前正值國內推動雲端相關產業之際,本協會的成立將提供國內資通訊軟硬體研發與服務產業,連結與參與國際雲端安全聯盟(Cloud Security Alliance)之管道,並提供來自全球雲端安全領域之發展趨勢,以提昇國內對於雲端服務相關產業之重要參考。