The post CSA STAR認證的特點 first appeared on 深圳市安信達咨詢有限公司.

CSA STAR認證

云安全聯(lián)盟 (CSA) STAR 自我評估
CSA STAR 自我評估概述
云安全聯(lián)盟 (CSA) 是一家非營利性組織，它由行業(yè)從業(yè)人員、公司和其他重要利益干系人組成聯(lián)盟進行領(lǐng)導(dǎo)。 該聯(lián)盟致力于確定可幫助確保云計算環(huán)境更加安全的最佳做法，同時幫助潛在的云客戶在將其 IT 運營過渡到云端時做出知情決策。
2010 年，CSA 發(fā)布了一套用于評估云 IT 運營的工具：CSA Governance、Risk Management 和 Compliance (GRC) Stack。 其目的在于幫助云客戶對云服務(wù)提供商 (CSP) 遵循行業(yè)最佳做法和標(biāo)準以及遵守法規(guī)的情況進行評估。
2013 年，CSA 和英國國家標(biāo)準協(xié)會啟動了安全、信任及保證注冊表 (STAR)，這是一個可公開訪問的免費注冊表，CSP 可在其中發(fā)布他們與 CSA 相關(guān)的評估。
CSA STAR 基于 CSA GRC Stack 的兩大關(guān)鍵組成部分：
? 云控制矩陣 (CCM)：一個涵蓋 16 個域的基本安全原則的控制措施框架，它可幫助云客戶對 CSP 的整體安全風(fēng)險進行評估。
? 共識評估倡議調(diào)查表 (CAIQ)：一份根據(jù) CCM 制定的調(diào)查表，其中有客戶或云審計師可能想要要求 CSP 根據(jù) CSA 最佳做法對其合規(guī)性進行評估的 140 多個問題。
STAR 提供三種級別的保障；CSA-STAR 自我評估是第 1 級別的入門級服務(wù)，它免費提供并向所有 CSP 公開。 在保障堆棧中更深一步，第 2 級別的 STAR 計劃涉及到第三方基于評估的認證，第 3 級別涉及到基于持續(xù)監(jiān)視授予的認證。
Microsoft 與 CSA STAR 自我評估
作為 STAR 自我評估的一部分，CSP 可提交兩種不同類型的文檔來指出其遵守 CSA 最佳做法，它們分別是填好的 CAIQ 以及一份記錄是否符合 CCM 的報告。 在 CSA STAR 自我評估方面，Microsoft 對 Microsoft Azure 發(fā)布了 CAIQ 調(diào)查表和基于 CCM 的報告，對 Microsoft Dynamics 365 和 Microsoft Office 365 發(fā)布了基于 CCM 的報告。
Microsoft 范圍內(nèi)的云平臺和云服務(wù)
? Azure 與 Azure 政府
? Dynamics 365
? Office 365
Azure、Dynamics 365 和 CSA STAR 自我評估
有關(guān) Azure、Dynamics 365 和其他聯(lián)機服務(wù)合規(guī)性的詳細信息，請參閱 Azure CSA STAR 自我評估產(chǎn)品/服務(wù)。
Office 365 與 CSA STAR 自我評估
Office 365 云環(huán)境
Microsoft Office 365 是一個多租戶超大規(guī)模云平臺，同時面向全球多個區(qū)域的客戶提供應(yīng)用和服務(wù)的集成體驗。 大多數(shù) Office 365 服務(wù)使客戶能夠指定其客戶數(shù)據(jù)所在的區(qū)域。 Microsoft 可能會將客戶數(shù)據(jù)復(fù)制到同一地理區(qū)域（例如，美國）中的其他區(qū)域，以實現(xiàn)數(shù)據(jù)復(fù)原，但 Microsoft 不會在所選地理區(qū)域之外復(fù)制客戶數(shù)據(jù)。
本部分介紹以下 Office 365 云環(huán)境：
? Office 365（商業(yè)）：全球范圍內(nèi)提供的商業(yè)公共 Office 365 云服務(wù)。
? Office 365 政府社區(qū)云 (GCC)：Office 365 GCC 云服務(wù)適用于美國聯(lián)邦、州、地方和部落政府，以及代表美國政府持有或處理數(shù)據(jù)的承包商。
? Office 365 政府社區(qū)云 – 高 (GCC High)：Office 365 GCC High 云服務(wù)根據(jù)美國國防部 (DoD) 安全要求準則級別 4 控件進行設(shè)計，并支持嚴格監(jiān)管的聯(lián)邦和防御信息。 聯(lián)邦機構(gòu)、國防工業(yè)基地 (DIB) 和政府承包商使用此環(huán)境。
? Office 365 DoD (DoD)：Office 365 DoD 云服務(wù)根據(jù) DoD 安全要求準則級別 5 控件進行設(shè)計，并支持嚴格的聯(lián)邦和防御法規(guī)。 此環(huán)境供美國國防部專用。
使用本部分可幫助你跨受監(jiān)管行業(yè)和全球市場履行合規(guī)性義務(wù)。 若要了解哪些服務(wù)在哪些區(qū)域可用，請參閱國際可用性信息和 Microsoft 365 客戶數(shù)據(jù)的存儲位置文章。 有關(guān) Office 365 政府版云環(huán)境的詳細信息，請參閱 Office 365 政府云文章。
你的組織完全負責(zé)確保遵守所有適用的法律和法規(guī)。 本節(jié)中提供的信息不構(gòu)成法律建議，你應(yīng)咨詢法律顧問，以了解有關(guān)組織法規(guī)合規(guī)性的任何問題。
Office 365 適用性和范圍內(nèi)的服務(wù)
使用下表確定 Office 365 服務(wù)和訂閱的適用性：
適用性 范圍內(nèi)服務(wù)
商業(yè) Exchange Online, Exchange Online Protection, Office 365 客戶門戶, Office Online, Office 服務(wù)基礎(chǔ)結(jié)構(gòu), OneDrive for Business, SharePoint Online, Skype for Business
常見問題解答
CSA CCM 向哪些行業(yè)標(biāo)準看齊？
CCM 與行業(yè)接受的安全標(biāo)準、法規(guī)和控制措施框架相對應(yīng)，例如 ISO 27001、PCI DSS、HIPAA、AICPA SOC 2、NERC CIP、FedRAMP 和 NIST 等等。 有關(guān)最新列表，請訪問 CSA 網(wǎng)站。
CSA STAR 自我評估為什么很重要？
它讓 CSP 能夠在記錄與 CSA 發(fā)布的最佳做法的合規(guī)情況方面保證公開透明操作。 自我評估公開提供，從而可幫助云客戶了解 CSP 的安全實踐并采用同一基線對各個 CSP 進行對比。
Office 365 獲得了哪些 CSA STAR 級別的保障？
? 級別 1：CSA STAR 自我評估：是云服務(wù)提供商免費提供的一項產(chǎn)品/服務(wù)，可用于記錄其安全控制措施，幫助客戶對服務(wù)的安全性進行評估。
Office 365 資源
? 云安全聯(lián)盟
? 云控制矩陣 (CCM)
? 共識評估倡議調(diào)查表 (CAIQ)
? CSA 安全、信任及保證注冊表 (STAR)
? Microsoft 信任中心內(nèi)的合規(guī)性

The post 微軟MICROSOFT的CSA STAR認證自我評估介紹 first appeared on 深圳市安信達咨詢有限公司.

CSA STAR 云安全評估認證基于國際權(quán)威的非盈利組織云安全聯(lián)盟（Cloud Security Alliance）推出的云控制矩陣 CCM（Cloud Control Matrix），滿足云計算安全領(lǐng)域的特定要求，針對云計算安全特性的一項國際性認證；同時它也是 ISO/IEC 27001信息安全管理體系的增強版本，將云安全的特有問題可視化，為云服務(wù)商的安全管控能力提供了直觀的評估框架。

什么是CSA STAR認證？
成立于2008年的非營利組織-云安全聯(lián)盟（CSA）于2010年發(fā)布了云端控制矩陣（Cloud Control Matrix;CCM）作為強化云計算安全性的實施指引（包括IaaS、PaaS及SaaS服務(wù)）。CCM最顯著的特性，在于每一個云端安全的控件皆能對應(yīng)到國際公認的信息安全標(biāo)準，如：ISO 27001、PCI-DSS、ISACA COBIT及NIST等。

CSA于2013年9月25日正式發(fā)布CSA STAR認證（Security,Trust & Assurance Registry）。它運用了ISO 27001管理體系標(biāo)準的安全管控要求，結(jié)合CSA自身提出的云端控制矩陣（Cloud Control Matrix,CCM），以評分方式來展現(xiàn)云計算的安全程序。

STAR認證的特點：
申請CSA STAR認證需先行或同時通過ISO 27001的認證；CSA STAR認證為架構(gòu)于ISO 27001證書之上的一個審核程序，CSA STAR的認證范圍必須涵蓋于組織現(xiàn)行的ISO 27001證書范圍。認證進行的方式與ISO 27001雷同，須遵循ISO 17021、ISO 19011及ISO 27006的規(guī)范。
云端控制矩陣（Cloud Control Matrix;CCM）作為審核的準則；涵蓋法令法規(guī)、風(fēng)險管理、設(shè)施齊全、人力資源、信息安全、營運管理、發(fā)布管理、安全架構(gòu)等16個控制區(qū)域及133個控制措施。
云計算及服務(wù)已經(jīng)是一個不可避免的趨勢，企業(yè)組織也必須正視無論于提供或使用云計算上所造成的沖擊及挑戰(zhàn)。藉由CSA STAR認證的導(dǎo)入及實施，不僅可以協(xié)助云計算服務(wù)商展現(xiàn)信息安全的落實狀態(tài)及管理能力，可更有效的差異化所提供的云計算并強化云計算使用者（企業(yè)客戶或一般使用者）的信心及信賴度。
STAR認證所帶來的效益？
面對云計算的快速興起，加上IT行業(yè)快速變化及信息安全日新月異的挑戰(zhàn)，云計算服務(wù)商或用戶在面對云計算時，已經(jīng)不能使用過往在傳統(tǒng)信息架構(gòu)下的管理思維，這也是為何要求要通過CSA STAR認證的企業(yè)，除了要取得ISO 27001國際標(biāo)準之外，也要同時強化相關(guān)的云計算安全技術(shù)管控。

對于云計算服務(wù)商而言，透過STAR認證的導(dǎo)入，能具體展現(xiàn)自身的云計算在安全議題上的完整設(shè)計程度，同時也能讓用戶在選擇云服務(wù)時，可以客觀得進行評估及掌握風(fēng)險承受狀況，使其在享受使用云計算所帶來的競爭優(yōu)勢時，也能夠在風(fēng)險管理層面實現(xiàn)良好的管控。

The post 安信達咨詢簽約領(lǐng)先的云服務(wù)企業(yè)金蝶云CSA STAR云安全認證 first appeared on 深圳市安信達咨詢有限公司.

CSA開放認證框架

（1）第一級是自我評估。云服務(wù)提供商可以在CSA官網(wǎng)注冊并提交自評估報告，證明自身實施的安全控制符合CSA的要求。

（2）第二級為獨立第三方認證。由第三方機構(gòu)進行認證，確保供應(yīng)商能夠滿足CSA云安全控制矩陣（Cloud Controls Matrix，CCM） [30]要求，其中CCM可視為在傳統(tǒng)ISO27001安全控制要求的基礎(chǔ)上的補充和增強。

（3）第三級為持續(xù)監(jiān)控。云服務(wù)提供商公布基于CSA云計算信任協(xié)議（The Cloud Trust Protocol，CTP）的安全監(jiān)控結(jié)果，對云服務(wù)相關(guān)安全要求進行持續(xù)的審計和評估。

為協(xié)助云服務(wù)提供者展現(xiàn)其云服務(wù)安全水平及安全管理成熟度，CSA針對OCF第2等級開展第三方評估認證，即C-STAR云安全評估。
云安全評估認證采用云計算信息安全的行業(yè)黃金標(biāo)準—-CSA最新發(fā)布的云控制矩陣(CCM)，結(jié)合國內(nèi)相關(guān)法律法規(guī)（如等級保護和個人信息保護指南等）等和GB/T22080標(biāo)準要求，有效評估云服務(wù)的安全狀況，并用云計算信息安全管理的最佳實踐指導(dǎo)企業(yè)提升云服務(wù)信息安全水平，從而將云服務(wù)的信息安全隱憂大幅降低。C-Star的構(gòu)成如圖2。

CSA C-STAR 評估方法
C-STAR對16個控制域評估(如圖3），依據(jù)評估的評分結(jié)果將云服務(wù)的信息安全管理狀況分五級，最終形成各個控制域的成熟度等級。
針對CCM的某一控制域，分析各條控制措施及與之關(guān)聯(lián)的管理過程中的管理、測量和制度化，判定其表現(xiàn)出的特征是否滿足某一能力級別要求，如果滿足，則可判定此項控制措施處于對應(yīng)的能力級別。評估人員需要對一個控制域中所有的控制措施進行合理評估，以確保組織已基于風(fēng)險評估，對風(fēng)險實施了適當(dāng)?shù)陌踩刂?。如果CCM中的一項安全控制措施沒有切實落地，提供商需要證明該項控制措施為何沒有包含在他們的風(fēng)險評估/適用性聲明中，或者為何沒有實施補償控制。
認證程序
進行C-STAR云安全評估時，組織應(yīng)向評估方提供評估所需的充分信息，對于多現(xiàn)場應(yīng)說明各現(xiàn)場的認證范圍、地址及人員分布等情況，評估方將以抽樣的方式對多現(xiàn)場進行審核；組織如要求，可向評估方提出預(yù)審核的申請；評估分兩個階段進行：第一階段，主要進行文件審核并確認第二階段審核準備的充分性；第二階段，主要對體系的符合性和有效性進行評價，作出現(xiàn)場審核的推薦結(jié)論。C-STAR云安全評估流程如下圖6所示。
CSA C-STAR 作用
進行C-STAR云安全評估時，組織應(yīng)向評估方提供評估所需的充分信息，對于多現(xiàn)場應(yīng)說明各現(xiàn)場的認證范圍、地址及人員分布等情況，評估方將以抽樣的方式對多現(xiàn)場進行審核；組織如要求，可向評估方提出預(yù)審核的申請；評估分兩個階段進行：第一階段，主要進行文件審核并確認第二階段審核準備的充分性；第二階段，主要對體系的符合性和有效性進行評價，作出現(xiàn)場審核的推薦結(jié)論。

The post CSA STAR認證介紹 first appeared on 深圳市安信達咨詢有限公司.