雲端安全聯盟 STAR 計畫

雲端安全聯盟(CSA)和商業標準制定權威機構英國標準協會(BSI),於2013年9月25日,在雲端安全聯盟EMEA論壇,宣布推出STAR認證(STAR Certification),一個嚴謹的雲端服務供應商安全性的第三方獨立評鑑。此技術中立的認證運用了ISO/IEC 27001:2005管理系統標準的要求,結合CSA雲控制矩陣(Cloud Control Matrix, CCM)及用以量測雲端服務的能力水準之一系列準則。

企業組織採用雲端服務供應商外包處理內部資料及資訊時,總有許多安全性方面的疑慮。藉由通過STAR認證,將來不論是何種規模的雲端服務供應商,都能使潛在客戶更加瞭解他們的安全控制水準。

STAR認證是以達成ISO / IEC 27001和雲控制矩陣所列出的一系列準則為基礎,此矩陣有11個控制區域,涵蓋遵循性、資料治理、設施及場所安全、人力資源安全、資訊安全、法規、運作管理、風險管理、發行管理、恢復能力和安全架構。

此獨立評鑑將由CSA認可的驗證機構執行,例如:BSI,將對11個控制區域的每個區域進行「管理能力」的評分。每一個控制措施將會依5個管理原則被量測並給予特定的成熟度分數。

此稽核報告將對企業組織展示其流程的成熟度,以及需考慮、改善以達到最佳完善等級的區域,這些等級將被指定為「無 (No)」、「銅 (Bronze)」、「銀 (Silver)」或「金 (Gold)」等級,經過認證之企業組織,將會被列在CSASTAR Registry為「通過STAR認證(STAR Certified)」。

STAR屬於OCF框架中的驗證計畫,主要是針對雲端服務供應商,提供一個可以進行認證的標準,也可以提供一般使用者選擇雲端服務供應商上的參考。

ocf-structure.gif