DNV GL China

CSA STAR - 信息安全管理体系

CSA STAR运用了ISO 27001管理体系标准的安全管控要求,结合CSA自身提出的云端控制矩阵(Cloud Control Matrix, CCM),以评分方式来展现云计算的安全程度。

联系我们

联系您当地的DNV GL办事处

办事处联系方式

联系我们的专家

发送您的查询
分享:
打印:
ICT PHOTO

云计算及服务以其诸多的便利性及优势,已日渐成为组织及个人日常生活中的一环。但国际上多项调查结果显示,有超过半数以上的组织明确表达信息安全问题将会是他们决定是否要导入云计算及服务的最主要的因素之一。其中又以信息安全策略及安控措施能否有效得被实施、数据及营私保护,数据遗失等为最主要的关键议题。

联合国贸易和发展会议公布的报告明确指出:云计算的安全性为云经济发展上最主要的挑战。2016年CSA发布的12大威胁中,以资料外泄、凭证被盗身份验证管理不足以及界面与API被黑为首。

什么是CSA STAR? 

成立于2008年的非营利组织-云安全联盟(CSA)于2010年发布了云端控制矩阵(Cloud Control Matrix;CCM)作为强化云计算安全性的实施指引(包括IaaS、PaaS及SaaS服务)。CCM最显著的特性,在于每一个云端安全的控件皆能对应到国际公认的信息安全标准,如:ISO 27001、PCI-DSS、ISACA COBIT及NIST等。

CSA于2013年9月25日正式发布CSA STAR认证(Security,Trust & Assurance Registry)。它运用了ISO 27001管理体系标准的安全管控要求,结合CSA自身提出的云端控制矩阵(Cloud Control Matrix,CCM),以评分方式来展现云计算的安全程序。

STAR认证的特点:

  • 申请CSA STAR认证需先行或同时通过ISO 27001的认证;CSA STAR认证为架构于ISO 27001证书之上的一个审核程序,CSA STAR的认证范围必须涵盖于组织现行的ISO 27001证书范围。认证进行的方式与ISO 27001雷同,须遵循ISO 17021、ISO 19011及ISO 27006的规范。 
  • 云端控制矩阵(Cloud Control Matrix;CCM)作为审核的准则;涵盖法令法规、风险管理、设施齐全、人力资源、信息安全、营运管理、发布管理、安全架构等16个控制区域及133个控制措施。
云计算及服务已经是一个不可避免的趋势,企业组织也必须正视无论于提供或使用云计算上所造成的冲击及挑战。藉由CSA STAR认证的导入及实施,不仅可以协助云计算服务商展现信息安全的落实状态及管理能力,可更有效的差异化所提供的云计算并强化云计算使用者(企业客户或一般使用者)的信心及信赖度。

STAR认证所带来的效益? 

面对云计算的快速兴起,加上IT行业快速变化及信息安全日新月异的挑战,云计算服务商或用户在面对云计算时,已经不能使用过往在传统信息架构下的管理思维,这也是为何要求要通过CSA STAR认证的企业,除了要取得ISO 27001国际标准之外,也要同时强化相关的云计算安全技术管控。

对于云计算服务商而言,透过STAR认证的导入,能具体展现自身的云计算在安全议题上的完整设计程度,同时也能让用户在选择云服务时,可以客观得进行评估及掌握风险承受状况,使其在享受使用云计算所带来的竞争优势时,也能够在风险管理层面实现良好的管控。

如何开始呢? 

为了获得认证,您需要按照标准实施有效质量管理体系。我们是经认可的第三方认证机构,提供CSA STAR的相关培训和标准认证服务。请阅读认证之路,了解踏上认证之旅的方法。