CSA STAR認證介紹

Date10 9 月 2021

簡要
CSA（Cloud Security Alliance）在2012“安全云”大會（SecureCloud 2012 conference）上正式發(fā)布了其開放認證框架（Open Certification Framework，OCF），以幫助云服務(wù)提供商提升其云安全實踐的透明度，提高云服務(wù)的市場可信度，增強云服務(wù)于用戶的安全信心，以便企業(yè)和個人用戶接受和使用所提供的云服務(wù)。OCF包括安全、信任和保證注冊（Security、Trmust and Assurance Registry ，STAR）三個方面的內(nèi)容，可分為三個層次，每一個層次將為云服務(wù)供應(yīng)商提供增量級別的信任與透明度，也為云用戶提供更高級別的安全保障，OCF構(gòu)成如圖1所示。

CSA開放認證框架

（1）第一級是自我評估。云服務(wù)提供商可以在CSA官網(wǎng)注冊并提交自評估報告，證明自身實施的安全控制符合CSA的要求。

（2）第二級為獨立第三方認證。由第三方機構(gòu)進行認證，確保供應(yīng)商能夠滿足CSA云安全控制矩陣（Cloud Controls Matrix，CCM） [30]要求，其中CCM可視為在傳統(tǒng)ISO27001安全控制要求的基礎(chǔ)上的補充和增強。

（3）第三級為持續(xù)監(jiān)控。云服務(wù)提供商公布基于CSA云計算信任協(xié)議（The Cloud Trust Protocol，CTP）的安全監(jiān)控結(jié)果，對云服務(wù)相關(guān)安全要求進行持續(xù)的審計和評估。

為協(xié)助云服務(wù)提供者展現(xiàn)其云服務(wù)安全水平及安全管理成熟度，CSA針對OCF第2等級開展第三方評估認證，即C-STAR云安全評估。
云安全評估認證采用云計算信息安全的行業(yè)黃金標(biāo)準(zhǔn)—-CSA最新發(fā)布的云控制矩陣(CCM)，結(jié)合國內(nèi)相關(guān)法律法規(guī)（如等級保護和個人信息保護指南等）等和GB/T22080標(biāo)準(zhǔn)要求，有效評估云服務(wù)的安全狀況，并用云計算信息安全管理的最佳實踐指導(dǎo)企業(yè)提升云服務(wù)信息安全水平，從而將云服務(wù)的信息安全隱憂大幅降低。C-Star的構(gòu)成如圖2。

CSA C-STAR 評估方法
C-STAR對16個控制域評估(如圖3），依據(jù)評估的評分結(jié)果將云服務(wù)的信息安全管理狀況分五級，最終形成各個控制域的成熟度等級。
針對CCM的某一控制域，分析各條控制措施及與之關(guān)聯(lián)的管理過程中的管理、測量和制度化，判定其表現(xiàn)出的特征是否滿足某一能力級別要求，如果滿足，則可判定此項控制措施處于對應(yīng)的能力級別。評估人員需要對一個控制域中所有的控制措施進行合理評估，以確保組織已基于風(fēng)險評估，對風(fēng)險實施了適當(dāng)?shù)陌踩刂啤Ｈ绻鸆CM中的一項安全控制措施沒有切實落地，提供商需要證明該項控制措施為何沒有包含在他們的風(fēng)險評估/適用性聲明中，或者為何沒有實施補償控制。
認證程序
進行C-STAR云安全評估時，組織應(yīng)向評估方提供評估所需的充分信息，對于多現(xiàn)場應(yīng)說明各現(xiàn)場的認證范圍、地址及人員分布等情況，評估方將以抽樣的方式對多現(xiàn)場進行審核；組織如要求，可向評估方提出預(yù)審核的申請；評估分兩個階段進行：第一階段，主要進行文件審核并確認第二階段審核準(zhǔn)備的充分性；第二階段，主要對體系的符合性和有效性進行評價，作出現(xiàn)場審核的推薦結(jié)論。C-STAR云安全評估流程如下圖6所示。
CSA C-STAR 作用
進行C-STAR云安全評估時，組織應(yīng)向評估方提供評估所需的充分信息，對于多現(xiàn)場應(yīng)說明各現(xiàn)場的認證范圍、地址及人員分布等情況，評估方將以抽樣的方式對多現(xiàn)場進行審核；組織如要求，可向評估方提出預(yù)審核的申請；評估分兩個階段進行：第一階段，主要進行文件審核并確認第二階段審核準(zhǔn)備的充分性；第二階段，主要對體系的符合性和有效性進行評價，作出現(xiàn)場審核的推薦結(jié)論。