The post CSA STAR認(rèn)證的特點(diǎn) first appeared on 深圳市安信達(dá)咨詢有限公司.

CSA STAR認(rèn)證

云安全聯(lián)盟 (CSA) STAR 自我評(píng)估
CSA STAR 自我評(píng)估概述
云安全聯(lián)盟 (CSA) 是一家非營(yíng)利性組織，它由行業(yè)從業(yè)人員、公司和其他重要利益干系人組成聯(lián)盟進(jìn)行領(lǐng)導(dǎo)。 該聯(lián)盟致力于確定可幫助確保云計(jì)算環(huán)境更加安全的最佳做法，同時(shí)幫助潛在的云客戶在將其 IT 運(yùn)營(yíng)過(guò)渡到云端時(shí)做出知情決策。
2010 年，CSA 發(fā)布了一套用于評(píng)估云 IT 運(yùn)營(yíng)的工具：CSA Governance、Risk Management 和 Compliance (GRC) Stack。 其目的在于幫助云客戶對(duì)云服務(wù)提供商 (CSP) 遵循行業(yè)最佳做法和標(biāo)準(zhǔn)以及遵守法規(guī)的情況進(jìn)行評(píng)估。
2013 年，CSA 和英國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)啟動(dòng)了安全、信任及保證注冊(cè)表 (STAR)，這是一個(gè)可公開(kāi)訪問(wèn)的免費(fèi)注冊(cè)表，CSP 可在其中發(fā)布他們與 CSA 相關(guān)的評(píng)估。
CSA STAR 基于 CSA GRC Stack 的兩大關(guān)鍵組成部分：
? 云控制矩陣 (CCM)：一個(gè)涵蓋 16 個(gè)域的基本安全原則的控制措施框架，它可幫助云客戶對(duì) CSP 的整體安全風(fēng)險(xiǎn)進(jìn)行評(píng)估。
? 共識(shí)評(píng)估倡議調(diào)查表 (CAIQ)：一份根據(jù) CCM 制定的調(diào)查表，其中有客戶或云審計(jì)師可能想要要求 CSP 根據(jù) CSA 最佳做法對(duì)其合規(guī)性進(jìn)行評(píng)估的 140 多個(gè)問(wèn)題。
STAR 提供三種級(jí)別的保障；CSA-STAR 自我評(píng)估是第 1 級(jí)別的入門(mén)級(jí)服務(wù)，它免費(fèi)提供并向所有 CSP 公開(kāi)。 在保障堆棧中更深一步，第 2 級(jí)別的 STAR 計(jì)劃涉及到第三方基于評(píng)估的認(rèn)證，第 3 級(jí)別涉及到基于持續(xù)監(jiān)視授予的認(rèn)證。
Microsoft 與 CSA STAR 自我評(píng)估
作為 STAR 自我評(píng)估的一部分，CSP 可提交兩種不同類(lèi)型的文檔來(lái)指出其遵守 CSA 最佳做法，它們分別是填好的 CAIQ 以及一份記錄是否符合 CCM 的報(bào)告。 在 CSA STAR 自我評(píng)估方面，Microsoft 對(duì) Microsoft Azure 發(fā)布了 CAIQ 調(diào)查表和基于 CCM 的報(bào)告，對(duì) Microsoft Dynamics 365 和 Microsoft Office 365 發(fā)布了基于 CCM 的報(bào)告。
Microsoft 范圍內(nèi)的云平臺(tái)和云服務(wù)
? Azure 與 Azure 政府
? Dynamics 365
? Office 365
Azure、Dynamics 365 和 CSA STAR 自我評(píng)估
有關(guān) Azure、Dynamics 365 和其他聯(lián)機(jī)服務(wù)合規(guī)性的詳細(xì)信息，請(qǐng)參閱 Azure CSA STAR 自我評(píng)估產(chǎn)品/服務(wù)。
Office 365 與 CSA STAR 自我評(píng)估
Office 365 云環(huán)境
Microsoft Office 365 是一個(gè)多租戶超大規(guī)模云平臺(tái)，同時(shí)面向全球多個(gè)區(qū)域的客戶提供應(yīng)用和服務(wù)的集成體驗(yàn)。 大多數(shù) Office 365 服務(wù)使客戶能夠指定其客戶數(shù)據(jù)所在的區(qū)域。 Microsoft 可能會(huì)將客戶數(shù)據(jù)復(fù)制到同一地理區(qū)域（例如，美國(guó)）中的其他區(qū)域，以實(shí)現(xiàn)數(shù)據(jù)復(fù)原，但 Microsoft 不會(huì)在所選地理區(qū)域之外復(fù)制客戶數(shù)據(jù)。
本部分介紹以下 Office 365 云環(huán)境：
? Office 365（商業(yè)）：全球范圍內(nèi)提供的商業(yè)公共 Office 365 云服務(wù)。
? Office 365 政府社區(qū)云 (GCC)：Office 365 GCC 云服務(wù)適用于美國(guó)聯(lián)邦、州、地方和部落政府，以及代表美國(guó)政府持有或處理數(shù)據(jù)的承包商。
? Office 365 政府社區(qū)云 – 高 (GCC High)：Office 365 GCC High 云服務(wù)根據(jù)美國(guó)國(guó)防部 (DoD) 安全要求準(zhǔn)則級(jí)別 4 控件進(jìn)行設(shè)計(jì)，并支持嚴(yán)格監(jiān)管的聯(lián)邦和防御信息。 聯(lián)邦機(jī)構(gòu)、國(guó)防工業(yè)基地 (DIB) 和政府承包商使用此環(huán)境。
? Office 365 DoD (DoD)：Office 365 DoD 云服務(wù)根據(jù) DoD 安全要求準(zhǔn)則級(jí)別 5 控件進(jìn)行設(shè)計(jì)，并支持嚴(yán)格的聯(lián)邦和防御法規(guī)。 此環(huán)境供美國(guó)國(guó)防部專用。
使用本部分可幫助你跨受監(jiān)管行業(yè)和全球市場(chǎng)履行合規(guī)性義務(wù)。 若要了解哪些服務(wù)在哪些區(qū)域可用，請(qǐng)參閱國(guó)際可用性信息和 Microsoft 365 客戶數(shù)據(jù)的存儲(chǔ)位置文章。 有關(guān) Office 365 政府版云環(huán)境的詳細(xì)信息，請(qǐng)參閱 Office 365 政府云文章。
你的組織完全負(fù)責(zé)確保遵守所有適用的法律和法規(guī)。 本節(jié)中提供的信息不構(gòu)成法律建議，你應(yīng)咨詢法律顧問(wèn)，以了解有關(guān)組織法規(guī)合規(guī)性的任何問(wèn)題。
Office 365 適用性和范圍內(nèi)的服務(wù)
使用下表確定 Office 365 服務(wù)和訂閱的適用性：
適用性 范圍內(nèi)服務(wù)
商業(yè) Exchange Online, Exchange Online Protection, Office 365 客戶門(mén)戶, Office Online, Office 服務(wù)基礎(chǔ)結(jié)構(gòu), OneDrive for Business, SharePoint Online, Skype for Business
常見(jiàn)問(wèn)題解答
CSA CCM 向哪些行業(yè)標(biāo)準(zhǔn)看齊？
CCM 與行業(yè)接受的安全標(biāo)準(zhǔn)、法規(guī)和控制措施框架相對(duì)應(yīng)，例如 ISO 27001、PCI DSS、HIPAA、AICPA SOC 2、NERC CIP、FedRAMP 和 NIST 等等。 有關(guān)最新列表，請(qǐng)?jiān)L問(wèn) CSA 網(wǎng)站。
CSA STAR 自我評(píng)估為什么很重要？
它讓 CSP 能夠在記錄與 CSA 發(fā)布的最佳做法的合規(guī)情況方面保證公開(kāi)透明操作。 自我評(píng)估公開(kāi)提供，從而可幫助云客戶了解 CSP 的安全實(shí)踐并采用同一基線對(duì)各個(gè) CSP 進(jìn)行對(duì)比。
Office 365 獲得了哪些 CSA STAR 級(jí)別的保障？
? 級(jí)別 1：CSA STAR 自我評(píng)估：是云服務(wù)提供商免費(fèi)提供的一項(xiàng)產(chǎn)品/服務(wù)，可用于記錄其安全控制措施，幫助客戶對(duì)服務(wù)的安全性進(jìn)行評(píng)估。
Office 365 資源
? 云安全聯(lián)盟
? 云控制矩陣 (CCM)
? 共識(shí)評(píng)估倡議調(diào)查表 (CAIQ)
? CSA 安全、信任及保證注冊(cè)表 (STAR)
? Microsoft 信任中心內(nèi)的合規(guī)性

The post 微軟MICROSOFT的CSA STAR認(rèn)證自我評(píng)估介紹 first appeared on 深圳市安信達(dá)咨詢有限公司.

CSA開(kāi)放認(rèn)證框架

（1）第一級(jí)是自我評(píng)估。云服務(wù)提供商可以在CSA官網(wǎng)注冊(cè)并提交自評(píng)估報(bào)告，證明自身實(shí)施的安全控制符合CSA的要求。

（2）第二級(jí)為獨(dú)立第三方認(rèn)證。由第三方機(jī)構(gòu)進(jìn)行認(rèn)證，確保供應(yīng)商能夠滿足CSA云安全控制矩陣（Cloud Controls Matrix，CCM） [30]要求，其中CCM可視為在傳統(tǒng)ISO27001安全控制要求的基礎(chǔ)上的補(bǔ)充和增強(qiáng)。

（3）第三級(jí)為持續(xù)監(jiān)控。云服務(wù)提供商公布基于CSA云計(jì)算信任協(xié)議（The Cloud Trust Protocol，CTP）的安全監(jiān)控結(jié)果，對(duì)云服務(wù)相關(guān)安全要求進(jìn)行持續(xù)的審計(jì)和評(píng)估。

為協(xié)助云服務(wù)提供者展現(xiàn)其云服務(wù)安全水平及安全管理成熟度，CSA針對(duì)OCF第2等級(jí)開(kāi)展第三方評(píng)估認(rèn)證，即C-STAR云安全評(píng)估。
云安全評(píng)估認(rèn)證采用云計(jì)算信息安全的行業(yè)黃金標(biāo)準(zhǔn)—-CSA最新發(fā)布的云控制矩陣(CCM)，結(jié)合國(guó)內(nèi)相關(guān)法律法規(guī)（如等級(jí)保護(hù)和個(gè)人信息保護(hù)指南等）等和GB/T22080標(biāo)準(zhǔn)要求，有效評(píng)估云服務(wù)的安全狀況，并用云計(jì)算信息安全管理的最佳實(shí)踐指導(dǎo)企業(yè)提升云服務(wù)信息安全水平，從而將云服務(wù)的信息安全隱憂大幅降低。C-Star的構(gòu)成如圖2。

CSA C-STAR 評(píng)估方法
C-STAR對(duì)16個(gè)控制域評(píng)估(如圖3），依據(jù)評(píng)估的評(píng)分結(jié)果將云服務(wù)的信息安全管理狀況分五級(jí)，最終形成各個(gè)控制域的成熟度等級(jí)。
針對(duì)CCM的某一控制域，分析各條控制措施及與之關(guān)聯(lián)的管理過(guò)程中的管理、測(cè)量和制度化，判定其表現(xiàn)出的特征是否滿足某一能力級(jí)別要求，如果滿足，則可判定此項(xiàng)控制措施處于對(duì)應(yīng)的能力級(jí)別。評(píng)估人員需要對(duì)一個(gè)控制域中所有的控制措施進(jìn)行合理評(píng)估，以確保組織已基于風(fēng)險(xiǎn)評(píng)估，對(duì)風(fēng)險(xiǎn)實(shí)施了適當(dāng)?shù)陌踩刂?。如果CCM中的一項(xiàng)安全控制措施沒(méi)有切實(shí)落地，提供商需要證明該項(xiàng)控制措施為何沒(méi)有包含在他們的風(fēng)險(xiǎn)評(píng)估/適用性聲明中，或者為何沒(méi)有實(shí)施補(bǔ)償控制。
認(rèn)證程序
進(jìn)行C-STAR云安全評(píng)估時(shí)，組織應(yīng)向評(píng)估方提供評(píng)估所需的充分信息，對(duì)于多現(xiàn)場(chǎng)應(yīng)說(shuō)明各現(xiàn)場(chǎng)的認(rèn)證范圍、地址及人員分布等情況，評(píng)估方將以抽樣的方式對(duì)多現(xiàn)場(chǎng)進(jìn)行審核；組織如要求，可向評(píng)估方提出預(yù)審核的申請(qǐng)；評(píng)估分兩個(gè)階段進(jìn)行：第一階段，主要進(jìn)行文件審核并確認(rèn)第二階段審核準(zhǔn)備的充分性；第二階段，主要對(duì)體系的符合性和有效性進(jìn)行評(píng)價(jià)，作出現(xiàn)場(chǎng)審核的推薦結(jié)論。C-STAR云安全評(píng)估流程如下圖6所示。
CSA C-STAR 作用
進(jìn)行C-STAR云安全評(píng)估時(shí)，組織應(yīng)向評(píng)估方提供評(píng)估所需的充分信息，對(duì)于多現(xiàn)場(chǎng)應(yīng)說(shuō)明各現(xiàn)場(chǎng)的認(rèn)證范圍、地址及人員分布等情況，評(píng)估方將以抽樣的方式對(duì)多現(xiàn)場(chǎng)進(jìn)行審核；組織如要求，可向評(píng)估方提出預(yù)審核的申請(qǐng)；評(píng)估分兩個(gè)階段進(jìn)行：第一階段，主要進(jìn)行文件審核并確認(rèn)第二階段審核準(zhǔn)備的充分性；第二階段，主要對(duì)體系的符合性和有效性進(jìn)行評(píng)價(jià)，作出現(xiàn)場(chǎng)審核的推薦結(jié)論。

The post CSA STAR認(rèn)證介紹 first appeared on 深圳市安信達(dá)咨詢有限公司.