CSA STAR管理體系認(rèn)證

一、最近幾乎每一項市場調(diào)查都預(yù)測云服務(wù)的快速擴張。著名的信息和通信技術(shù)市場研究公司加特納Gartner預(yù)測，云計算市場從2012年的1100億美元增長到2017年的1310億美元，整體增長了18.6%【1】。思科全球云指數(shù)【2】預(yù)測IaaS和SaaS服務(wù)正分別以13%的復(fù)合年增長率和33%的復(fù)合年增長率快速成長。

現(xiàn)在差不多所有的個人和消費層面的應(yīng)用均為云端應(yīng)用。但是，在企業(yè)、政府和公共服務(wù)環(huán)境中云服務(wù)的采用依然不高。根據(jù)Ciphercloud的研究顯示，合規(guī)性（64%）和數(shù)據(jù)安全（32%）是現(xiàn)階段云應(yīng)用面臨的最大的兩個挑戰(zhàn)。

二、“如果一個云服務(wù)提供商能提供安心和信心給到其用戶，證明其云服務(wù)是可靠的、符合適用法規(guī)的、符合合同要求的，并且采用了最好的行業(yè)實踐的，那么這個服務(wù)提供商就有可能成為客戶優(yōu)先選擇的云服務(wù)提供商”。在這種背景下，ISO/IEC27017、ISO/IEC27018和CSA-Star應(yīng)運而生。

三、對云營運來講，ISO/IEC27001:2013是一個很好的標(biāo)準(zhǔn)，但云服務(wù)提供商希望看到更多的針對云的控制規(guī)范，來幫助他們解決云的具體問題。ISO/IEC27017/ISO/IEC27018和CSA-Star標(biāo)準(zhǔn)是工業(yè)界提出的這些要求的結(jié)果。

四、云服務(wù)提供商提供的傳統(tǒng)服務(wù)級別協(xié)議(SLA)主要側(cè)重于數(shù)據(jù)中心的績效，如服務(wù)器和網(wǎng)絡(luò)可用性、環(huán)境和物理安全問題，以及傳統(tǒng)的服務(wù)，如備份和監(jiān)控等環(huán)節(jié)。其有特定的關(guān)注點，并且它們通常不在服務(wù)級別和合同協(xié)議中提到。

CSA STAR 是 Cloud Security Alliance Security Trust Assurance and Risk 的縮寫，中文通常譯為“云安全聯(lián)盟安全信任保證和風(fēng)險”項目。

它是一個全球性的、基于行業(yè)共識的云安全透明度和保證框架。其核心理念是：在云服務(wù)領(lǐng)域，安全不僅取決于技術(shù)，更取決于透明度和信任。

STAR項目提供三個逐級增強的保證級別，滿足不同場景的需求：
第一級：STAR注冊（自我評估）
第二級：STAR認(rèn)證（第三方獨立審計）
第三級：STAR持續(xù)監(jiān)控（基于持續(xù)評估的信任）

一、云安全評估評級: STAR等級分為金牌、銀牌或銅牌；
二、云安全標(biāo)準(zhǔn)培訓(xùn)。

一、確保管理層能夠掌握全面的信息，從而評估其管理體系是否能夠達(dá)到國際標(biāo)準(zhǔn)與云安全行業(yè)的預(yù)期。
二、開展量身定制的審計工作，反映出如何將公司目標(biāo)定位于實現(xiàn)云服務(wù)的優(yōu)化。
三、使公司通過外部認(rèn)證機構(gòu)的獨立評級，證明進(jìn)展情況和績效水平。
四、使公司將其業(yè)績表現(xiàn)與同行進(jìn)行基準(zhǔn)比較。
五、通過STAR云安全評估，接受認(rèn)證的公司將能夠使其潛在客戶更深入的了解安全控制水平。此外，STAR云安全評估將會突出公司需要關(guān)注的領(lǐng)域。

六、CSA STAR認(rèn)證通過提供一套標(biāo)準(zhǔn)化的工具和機制，幫助云服務(wù)提供商（CSP）公開其安全實踐，同時幫助云服務(wù)客戶（CSC）評估和比較不同提供商的安全水平。

CNLPQP_CSA_01 CSA STAR管理體系認(rèn)證 版本1.0

認(rèn)證對象通過 ISO/IEC 27001 認(rèn)證，提供 IaaS、PaaS、SaaS 或云解決方案服務(wù)，申請云安全聯(lián)盟CSA STAR 2級認(rèn)證。

云控制矩陣-要求 CCM-Control Specification，CCM v4.0.10

一、具體內(nèi)容

步驟1 – 簽訂合同：SGS根據(jù)組織的規(guī)模及業(yè)務(wù)類型提供定制化的審核計劃。

步驟2 – 預(yù)審核：SGS提供可選擇的針對準(zhǔn)備情況與薄弱環(huán)節(jié)的“預(yù)審”服務(wù)。

步驟3 – 正審第一階段：對組織建立的文件化體系及其他重要體系進(jìn)行評估，提出不符合項。

步驟4 – 正審第二階段：現(xiàn)場審核，提出審核發(fā)現(xiàn)，審核合格后會簽發(fā)證書。

步驟5 – 監(jiān)督審核：根據(jù)合同，每半年或一年對體系和整改計劃的實施進(jìn)行監(jiān)督審核。

步驟6 – 再認(rèn)證：證書簽發(fā)3年期滿后，實施再認(rèn)證審核。

二、圖示

1. 憑借在信息安全管理領(lǐng)域的專業(yè)服務(wù)和豐富經(jīng)驗，SGS能夠將ISO/IEC27017和ISO/IEC27018規(guī)范要求與ISO/IEC27001認(rèn)證要求進(jìn)行有效結(jié)合，幫助你向客戶展示服務(wù)水平和能力，增強客戶信心。
2. 在全球，SGS擁有龐大的審核團隊，其中大多數(shù)審核員擁有多標(biāo)準(zhǔn)資質(zhì)。這一龐大的多技能審核員隊伍意味著SGS能夠同時在世界不同的地點，處理多標(biāo)準(zhǔn)審核，加快合規(guī)保證過程，使項目達(dá)到無憂管理。
3. 作為國際公認(rèn)的檢驗、鑒定、測試和認(rèn)證機構(gòu)，SGS在IT信息安全領(lǐng)域解決方案范圍廣泛，致力于為各行業(yè)機構(gòu)提供全方位管理提升服務(wù)，包括：ISO/IEC27701、ISO/IEC29151、ISO/IEC27001、ISO/IEC20000、CSA STAR、ISO/IEC27017、ISO/IEC27018、ISO22301、GDPR等培訓(xùn)、認(rèn)證和審核相關(guān)服務(wù)。

1、ISO22301認(rèn)證
2、ISO/IEC27001信息安全管理體系認(rèn)證
3、ISO/IEC20000認(rèn)證
4、ISO/IEC27017認(rèn)證&ISO/IEC27018認(rèn)證
5、ISO/IEC27701
6、GDPR
7、TISAX