The post CSA STAR認(rèn)證的特點 first appeared on 深圳市安信達(dá)咨詢有限公司.

CSA STAR認(rèn)證

云安全聯(lián)盟 (CSA) STAR 自我評估
CSA STAR 自我評估概述
云安全聯(lián)盟 (CSA) 是一家非營利性組織，它由行業(yè)從業(yè)人員、公司和其他重要利益干系人組成聯(lián)盟進(jìn)行領(lǐng)導(dǎo)。 該聯(lián)盟致力于確定可幫助確保云計算環(huán)境更加安全的最佳做法，同時幫助潛在的云客戶在將其 IT 運營過渡到云端時做出知情決策。
2010 年，CSA 發(fā)布了一套用于評估云 IT 運營的工具：CSA Governance、Risk Management 和 Compliance (GRC) Stack。 其目的在于幫助云客戶對云服務(wù)提供商 (CSP) 遵循行業(yè)最佳做法和標(biāo)準(zhǔn)以及遵守法規(guī)的情況進(jìn)行評估。
2013 年，CSA 和英國國家標(biāo)準(zhǔn)協(xié)會啟動了安全、信任及保證注冊表 (STAR)，這是一個可公開訪問的免費注冊表，CSP 可在其中發(fā)布他們與 CSA 相關(guān)的評估。
CSA STAR 基于 CSA GRC Stack 的兩大關(guān)鍵組成部分：
? 云控制矩陣 (CCM)：一個涵蓋 16 個域的基本安全原則的控制措施框架，它可幫助云客戶對 CSP 的整體安全風(fēng)險進(jìn)行評估。
? 共識評估倡議調(diào)查表 (CAIQ)：一份根據(jù) CCM 制定的調(diào)查表，其中有客戶或云審計師可能想要要求 CSP 根據(jù) CSA 最佳做法對其合規(guī)性進(jìn)行評估的 140 多個問題。
STAR 提供三種級別的保障；CSA-STAR 自我評估是第 1 級別的入門級服務(wù)，它免費提供并向所有 CSP 公開。 在保障堆棧中更深一步，第 2 級別的 STAR 計劃涉及到第三方基于評估的認(rèn)證，第 3 級別涉及到基于持續(xù)監(jiān)視授予的認(rèn)證。
Microsoft 與 CSA STAR 自我評估
作為 STAR 自我評估的一部分，CSP 可提交兩種不同類型的文檔來指出其遵守 CSA 最佳做法，它們分別是填好的 CAIQ 以及一份記錄是否符合 CCM 的報告。 在 CSA STAR 自我評估方面，Microsoft 對 Microsoft Azure 發(fā)布了 CAIQ 調(diào)查表和基于 CCM 的報告，對 Microsoft Dynamics 365 和 Microsoft Office 365 發(fā)布了基于 CCM 的報告。
Microsoft 范圍內(nèi)的云平臺和云服務(wù)
? Azure 與 Azure 政府
? Dynamics 365
? Office 365
Azure、Dynamics 365 和 CSA STAR 自我評估
有關(guān) Azure、Dynamics 365 和其他聯(lián)機服務(wù)合規(guī)性的詳細(xì)信息，請參閱 Azure CSA STAR 自我評估產(chǎn)品/服務(wù)。
Office 365 與 CSA STAR 自我評估
Office 365 云環(huán)境
Microsoft Office 365 是一個多租戶超大規(guī)模云平臺，同時面向全球多個區(qū)域的客戶提供應(yīng)用和服務(wù)的集成體驗。 大多數(shù) Office 365 服務(wù)使客戶能夠指定其客戶數(shù)據(jù)所在的區(qū)域。 Microsoft 可能會將客戶數(shù)據(jù)復(fù)制到同一地理區(qū)域（例如，美國）中的其他區(qū)域，以實現(xiàn)數(shù)據(jù)復(fù)原，但 Microsoft 不會在所選地理區(qū)域之外復(fù)制客戶數(shù)據(jù)。
本部分介紹以下 Office 365 云環(huán)境：
? Office 365（商業(yè)）：全球范圍內(nèi)提供的商業(yè)公共 Office 365 云服務(wù)。
? Office 365 政府社區(qū)云 (GCC)：Office 365 GCC 云服務(wù)適用于美國聯(lián)邦、州、地方和部落政府，以及代表美國政府持有或處理數(shù)據(jù)的承包商。
? Office 365 政府社區(qū)云 – 高 (GCC High)：Office 365 GCC High 云服務(wù)根據(jù)美國國防部 (DoD) 安全要求準(zhǔn)則級別 4 控件進(jìn)行設(shè)計，并支持嚴(yán)格監(jiān)管的聯(lián)邦和防御信息。 聯(lián)邦機構(gòu)、國防工業(yè)基地 (DIB) 和政府承包商使用此環(huán)境。
? Office 365 DoD (DoD)：Office 365 DoD 云服務(wù)根據(jù) DoD 安全要求準(zhǔn)則級別 5 控件進(jìn)行設(shè)計，并支持嚴(yán)格的聯(lián)邦和防御法規(guī)。 此環(huán)境供美國國防部專用。
使用本部分可幫助你跨受監(jiān)管行業(yè)和全球市場履行合規(guī)性義務(wù)。 若要了解哪些服務(wù)在哪些區(qū)域可用，請參閱國際可用性信息和 Microsoft 365 客戶數(shù)據(jù)的存儲位置文章。 有關(guān) Office 365 政府版云環(huán)境的詳細(xì)信息，請參閱 Office 365 政府云文章。
你的組織完全負(fù)責(zé)確保遵守所有適用的法律和法規(guī)。 本節(jié)中提供的信息不構(gòu)成法律建議，你應(yīng)咨詢法律顧問，以了解有關(guān)組織法規(guī)合規(guī)性的任何問題。
Office 365 適用性和范圍內(nèi)的服務(wù)
使用下表確定 Office 365 服務(wù)和訂閱的適用性：
適用性 范圍內(nèi)服務(wù)
商業(yè) Exchange Online, Exchange Online Protection, Office 365 客戶門戶, Office Online, Office 服務(wù)基礎(chǔ)結(jié)構(gòu), OneDrive for Business, SharePoint Online, Skype for Business
常見問題解答
CSA CCM 向哪些行業(yè)標(biāo)準(zhǔn)看齊？
CCM 與行業(yè)接受的安全標(biāo)準(zhǔn)、法規(guī)和控制措施框架相對應(yīng)，例如 ISO 27001、PCI DSS、HIPAA、AICPA SOC 2、NERC CIP、FedRAMP 和 NIST 等等。 有關(guān)最新列表，請訪問 CSA 網(wǎng)站。
CSA STAR 自我評估為什么很重要？
它讓 CSP 能夠在記錄與 CSA 發(fā)布的最佳做法的合規(guī)情況方面保證公開透明操作。 自我評估公開提供，從而可幫助云客戶了解 CSP 的安全實踐并采用同一基線對各個 CSP 進(jìn)行對比。
Office 365 獲得了哪些 CSA STAR 級別的保障？
? 級別 1：CSA STAR 自我評估：是云服務(wù)提供商免費提供的一項產(chǎn)品/服務(wù)，可用于記錄其安全控制措施，幫助客戶對服務(wù)的安全性進(jìn)行評估。
Office 365 資源
? 云安全聯(lián)盟
? 云控制矩陣 (CCM)
? 共識評估倡議調(diào)查表 (CAIQ)
? CSA 安全、信任及保證注冊表 (STAR)
? Microsoft 信任中心內(nèi)的合規(guī)性

The post 微軟MICROSOFT的CSA STAR認(rèn)證自我評估介紹 first appeared on 深圳市安信達(dá)咨詢有限公司.

CSA STAR 云安全評估認(rèn)證基于國際權(quán)威的非盈利組織云安全聯(lián)盟（Cloud Security Alliance）推出的云控制矩陣 CCM（Cloud Control Matrix），滿足云計算安全領(lǐng)域的特定要求，針對云計算安全特性的一項國際性認(rèn)證；同時它也是 ISO/IEC 27001信息安全管理體系的增強版本，將云安全的特有問題可視化，為云服務(wù)商的安全管控能力提供了直觀的評估框架。

什么是CSA STAR認(rèn)證？
成立于2008年的非營利組織-云安全聯(lián)盟（CSA）于2010年發(fā)布了云端控制矩陣（Cloud Control Matrix;CCM）作為強化云計算安全性的實施指引（包括IaaS、PaaS及SaaS服務(wù)）。CCM最顯著的特性，在于每一個云端安全的控件皆能對應(yīng)到國際公認(rèn)的信息安全標(biāo)準(zhǔn)，如：ISO 27001、PCI-DSS、ISACA COBIT及NIST等。

CSA于2013年9月25日正式發(fā)布CSA STAR認(rèn)證（Security,Trust & Assurance Registry）。它運用了ISO 27001管理體系標(biāo)準(zhǔn)的安全管控要求，結(jié)合CSA自身提出的云端控制矩陣（Cloud Control Matrix,CCM），以評分方式來展現(xiàn)云計算的安全程序。

STAR認(rèn)證的特點：
申請CSA STAR認(rèn)證需先行或同時通過ISO 27001的認(rèn)證；CSA STAR認(rèn)證為架構(gòu)于ISO 27001證書之上的一個審核程序，CSA STAR的認(rèn)證范圍必須涵蓋于組織現(xiàn)行的ISO 27001證書范圍。認(rèn)證進(jìn)行的方式與ISO 27001雷同，須遵循ISO 17021、ISO 19011及ISO 27006的規(guī)范。
云端控制矩陣（Cloud Control Matrix;CCM）作為審核的準(zhǔn)則；涵蓋法令法規(guī)、風(fēng)險管理、設(shè)施齊全、人力資源、信息安全、營運管理、發(fā)布管理、安全架構(gòu)等16個控制區(qū)域及133個控制措施。
云計算及服務(wù)已經(jīng)是一個不可避免的趨勢，企業(yè)組織也必須正視無論于提供或使用云計算上所造成的沖擊及挑戰(zhàn)。藉由CSA STAR認(rèn)證的導(dǎo)入及實施，不僅可以協(xié)助云計算服務(wù)商展現(xiàn)信息安全的落實狀態(tài)及管理能力，可更有效的差異化所提供的云計算并強化云計算使用者（企業(yè)客戶或一般使用者）的信心及信賴度。
STAR認(rèn)證所帶來的效益？
面對云計算的快速興起，加上IT行業(yè)快速變化及信息安全日新月異的挑戰(zhàn)，云計算服務(wù)商或用戶在面對云計算時，已經(jīng)不能使用過往在傳統(tǒng)信息架構(gòu)下的管理思維，這也是為何要求要通過CSA STAR認(rèn)證的企業(yè)，除了要取得ISO 27001國際標(biāo)準(zhǔn)之外，也要同時強化相關(guān)的云計算安全技術(shù)管控。

對于云計算服務(wù)商而言，透過STAR認(rèn)證的導(dǎo)入，能具體展現(xiàn)自身的云計算在安全議題上的完整設(shè)計程度，同時也能讓用戶在選擇云服務(wù)時，可以客觀得進(jìn)行評估及掌握風(fēng)險承受狀況，使其在享受使用云計算所帶來的競爭優(yōu)勢時，也能夠在風(fēng)險管理層面實現(xiàn)良好的管控。

The post 安信達(dá)咨詢簽約領(lǐng)先的云服務(wù)企業(yè)金蝶云CSA STAR云安全認(rèn)證 first appeared on 深圳市安信達(dá)咨詢有限公司.

CSA開放認(rèn)證框架

（1）第一級是自我評估。云服務(wù)提供商可以在CSA官網(wǎng)注冊并提交自評估報告，證明自身實施的安全控制符合CSA的要求。

（2）第二級為獨立第三方認(rèn)證。由第三方機構(gòu)進(jìn)行認(rèn)證，確保供應(yīng)商能夠滿足CSA云安全控制矩陣（Cloud Controls Matrix，CCM） [30]要求，其中CCM可視為在傳統(tǒng)ISO27001安全控制要求的基礎(chǔ)上的補充和增強。

（3）第三級為持續(xù)監(jiān)控。云服務(wù)提供商公布基于CSA云計算信任協(xié)議（The Cloud Trust Protocol，CTP）的安全監(jiān)控結(jié)果，對云服務(wù)相關(guān)安全要求進(jìn)行持續(xù)的審計和評估。

為協(xié)助云服務(wù)提供者展現(xiàn)其云服務(wù)安全水平及安全管理成熟度，CSA針對OCF第2等級開展第三方評估認(rèn)證，即C-STAR云安全評估。
云安全評估認(rèn)證采用云計算信息安全的行業(yè)黃金標(biāo)準(zhǔn)—-CSA最新發(fā)布的云控制矩陣(CCM)，結(jié)合國內(nèi)相關(guān)法律法規(guī)（如等級保護(hù)和個人信息保護(hù)指南等）等和GB/T22080標(biāo)準(zhǔn)要求，有效評估云服務(wù)的安全狀況，并用云計算信息安全管理的最佳實踐指導(dǎo)企業(yè)提升云服務(wù)信息安全水平，從而將云服務(wù)的信息安全隱憂大幅降低。C-Star的構(gòu)成如圖2。

CSA C-STAR 評估方法
C-STAR對16個控制域評估(如圖3），依據(jù)評估的評分結(jié)果將云服務(wù)的信息安全管理狀況分五級，最終形成各個控制域的成熟度等級。
針對CCM的某一控制域，分析各條控制措施及與之關(guān)聯(lián)的管理過程中的管理、測量和制度化，判定其表現(xiàn)出的特征是否滿足某一能力級別要求，如果滿足，則可判定此項控制措施處于對應(yīng)的能力級別。評估人員需要對一個控制域中所有的控制措施進(jìn)行合理評估，以確保組織已基于風(fēng)險評估，對風(fēng)險實施了適當(dāng)?shù)陌踩刂?。如果CCM中的一項安全控制措施沒有切實落地，提供商需要證明該項控制措施為何沒有包含在他們的風(fēng)險評估/適用性聲明中，或者為何沒有實施補償控制。
認(rèn)證程序
進(jìn)行C-STAR云安全評估時，組織應(yīng)向評估方提供評估所需的充分信息，對于多現(xiàn)場應(yīng)說明各現(xiàn)場的認(rèn)證范圍、地址及人員分布等情況，評估方將以抽樣的方式對多現(xiàn)場進(jìn)行審核；組織如要求，可向評估方提出預(yù)審核的申請；評估分兩個階段進(jìn)行：第一階段，主要進(jìn)行文件審核并確認(rèn)第二階段審核準(zhǔn)備的充分性；第二階段，主要對體系的符合性和有效性進(jìn)行評價，作出現(xiàn)場審核的推薦結(jié)論。C-STAR云安全評估流程如下圖6所示。
CSA C-STAR 作用
進(jìn)行C-STAR云安全評估時，組織應(yīng)向評估方提供評估所需的充分信息，對于多現(xiàn)場應(yīng)說明各現(xiàn)場的認(rèn)證范圍、地址及人員分布等情況，評估方將以抽樣的方式對多現(xiàn)場進(jìn)行審核；組織如要求，可向評估方提出預(yù)審核的申請；評估分兩個階段進(jìn)行：第一階段，主要進(jìn)行文件審核并確認(rèn)第二階段審核準(zhǔn)備的充分性；第二階段，主要對體系的符合性和有效性進(jìn)行評價，作出現(xiàn)場審核的推薦結(jié)論。

The post CSA STAR認(rèn)證介紹 first appeared on 深圳市安信達(dá)咨詢有限公司.