简要
一、C-STAR 云安全评估概述

CSA(Cloud Security Alliance)在2012“安全云”大会(SecureCloud 2012conference)上正式发布了其开放认证框架(Open CertificationFramework,OCF),以帮助云服务提供商提升其云安全实践的透明度,提高云服务的市场可信度,增强云服务于用户的安全信心,以便企业和个人用户接受和使用所提供的云服务。OCF包括安全、信任和保证注册(Security、Trust and AssuranceRegistry ,STAR)三个方面的内容,可分为三个层次,每一个层次将为云服务供应商提供增量级别的信任与透明度,也为云用户提供更高级别的安全保障,OCF构成如图1所示。
 

图1 CSA开放认证框架

 
(1)第一级是自我评估。云服务提供商可以在CSA官网注册并提交自评估报告,证明自身实施的安全控制符合CSA的要求。
(2)第二级为独立第三方认证。由第三方机构进行认证,确保供应商能够满足CSA云安全控制矩阵(Cloud Controls Matrix,CCM) [30]要求,其中CCM可视为在传统ISO27001安全控制要求的基础上的补充和增强。
(3)第三级为持续监控。云服务提供商公布基于CSA云计算信任协议(The Cloud Trust Protocol,CTP)的安全监控结果,对云服务相关安全要求进行持续的审计和评估。

为协助云服务提供者展现其云服务安全水平及安全管理成熟度,赛宝认证中心(CEPREI,后简称赛宝)于2014年与CSA正式开始合作,针对OCF第2等级开展第三方评估认证,即C-STAR云安全评估。云安全评估认证采用云计算信息安全的行业黄金标准----CSA最新发布的云控制矩阵(CCM),结合国内相关法律法规(如等级保护和个人信息安全规范等)等和GB/T22080标准要求,有效评估云服务的安全状况,并用云计算信息安全管理的最佳实践指导企业提升云服务信息安全水平,从而将云服务的信息安全隐忧大幅降低。C-Star的构成如图2。

 
 
图2:C-STAR构成图
 
C-STAR评估依据CSA最新发布的云安全控制矩阵CCM V4,结合国内相关法律法规和标准要求,形成C-STAR云安全控制矩阵,从审计&保障、应用程序和接口安全、业务连续性管理和运营弹性、变更控制和配置管理、数据安全和隐私生命周期管理等17个云安全控制领域,对云服务的安全控制状况进行系统评估。同时,为了帮助企业对云安全管理成熟度进行评估和持续改进,引入了云安全管理成熟度评价(将在形成的评估报告中给出成熟度评估得分),对C-STAR云安全控制矩阵中的安全控制措施进行成熟度评分并划分为5个等级,不同分数等级代表云服务提供商的安全控制的管理成熟度水平。

企业如若通过C-STAR评估,则可获得赛宝与CSA联合颁发的C-STAR云安全证书、获得CSA官网证书注册并受到国际认可、获取云安全管理成熟度报告,通过云安全评估,提高云安全管理水平,减少可能潜在的风险隐患,保障业务持续开展与紧急恢复,更好的满足顾客的云安全要求。并证明云安全水平领先于云服务提供者行列,满足顾客的云安全要求,保障云服务业务安全有效开展,获取云服务行业竞争优势。


二、C-STAR认证


C-STAR对17个控制域评估(如图3),依据评估的评分结果将云服务的信息安全管理状况分五级,最终形成各个控制域的成熟度等级。
 

图3:CCM控制域组成图

 
针对CCM的某一控制域,分析各条控制措施及与之关联的管理过程中的管理、测量和制度化,判定其表现出的特征是否满足某一能力级别要求,如果满足,则可判定此项控制措施处于对应的能力级别。评估人员需要对一个控制域中所有的控制措施进行合理评估,以确保组织已基于风险评估,对风险实施了适当的安全控制。如果CCM中的一项安全控制措施没有切实落地,提供商需要证明该项控制措施为何没有包含在他们的风险评估/适用性声明中,或者为何没有实施补偿控制。

企业在推行C-STAR之前,应结合本企业实际情况,对上述各推行步骤进行周密的策划,并给出时间上和活动内容上的具体安排,以确保得到更有效的实施效果。通常至少要有三个月的有效运行数据。企业经过若干次内审并逐步纠正后,若认为所建立的云安全管理体系已符合C-Star的要求(具体体现为内审所发现的不符合项较少时),便可申请外部认证。
三、C-STAR作用

C-STAR作为国内首个全球性认可的云安全评估认证,受到了来北森、京东云、浪潮云、联通数科、曙光云、微盟、115、用友、有赞、紫光云、中国电信等业界知名企业的高度认可,并且在全国范围内受到了广泛的关注。

C-STAR采用云计算信息安全的行业黄金标准----CSA发布的云控制矩阵(CCM),评估过程采用国际先进的成熟度等级评价模型,同时结合国内相关法律法规和标准要求,对云计算服务进行全方位的安全评价。将有效提升云计算服务的安全水平、管理策略,改进企业安全目标和防范措施,从而将云计算服务的信息安全隐忧大幅降低。

(1)采用行业最佳云安全实践(CCM),提高安全控制水平
(2)证明安全水平领先于云服务提供者行列
(3)保持云服务业务持续发展和竞争优势
(4)更好的满足顾客的云安全要求
(5)降低安全风险、减少损失、降低成本
(6)维护企业的声誉、品牌和客户信
认证企业
本网站使用Cookies以使您获得最佳的体验。为了继续浏览本网站,您需同意我们对Cookies的使用。想要了解更多有关于Cookies的信息,或不希望当您使用网站时出现cookies,请阅读我们的Cookies声明隐私声明
全 部 接 受
拒 绝