CSA STAR管理體系認(rèn)證

一、最近幾乎每一項(xiàng)市場(chǎng)調(diào)查都預(yù)測(cè)云服務(wù)的快速擴(kuò)張。著名的信息和通信技術(shù)市場(chǎng)研究公司加特納Gartner預(yù)測(cè)，云計(jì)算市場(chǎng)從2012年的1100億美元增長(zhǎng)到2017年的1310億美元，整體增長(zhǎng)了18.6%【1】。思科全球云指數(shù)【2】預(yù)測(cè)IaaS和SaaS服務(wù)正分別以13%的復(fù)合年增長(zhǎng)率和33%的復(fù)合年增長(zhǎng)率快速成長(zhǎng)。

現(xiàn)在差不多所有的個(gè)人和消費(fèi)層面的應(yīng)用均為云端應(yīng)用。但是，在企業(yè)、政府和公共服務(wù)環(huán)境中云服務(wù)的采用依然不高。根據(jù)Ciphercloud的研究顯示，合規(guī)性（64%）和數(shù)據(jù)安全（32%）是現(xiàn)階段云應(yīng)用面臨的最大的兩個(gè)挑戰(zhàn)。

二、“如果一個(gè)云服務(wù)提供商能提供安心和信心給到其用戶，證明其云服務(wù)是可靠的、符合適用法規(guī)的、符合合同要求的，并且采用了最好的行業(yè)實(shí)踐的，那么這個(gè)服務(wù)提供商就有可能成為客戶優(yōu)先選擇的云服務(wù)提供商”。在這種背景下，ISO/IEC27017、ISO/IEC27018和CSA-Star應(yīng)運(yùn)而生。

三、對(duì)云營(yíng)運(yùn)來講，ISO/IEC27001:2013是一個(gè)很好的標(biāo)準(zhǔn)，但云服務(wù)提供商希望看到更多的針對(duì)云的控制規(guī)范，來幫助他們解決云的具體問題。ISO/IEC27017/ISO/IEC27018和CSA-Star標(biāo)準(zhǔn)是工業(yè)界提出的這些要求的結(jié)果。

四、云服務(wù)提供商提供的傳統(tǒng)服務(wù)級(jí)別協(xié)議(SLA)主要側(cè)重于數(shù)據(jù)中心的績(jī)效，如服務(wù)器和網(wǎng)絡(luò)可用性、環(huán)境和物理安全問題，以及傳統(tǒng)的服務(wù)，如備份和監(jiān)控等環(huán)節(jié)。其有特定的關(guān)注點(diǎn)，并且它們通常不在服務(wù)級(jí)別和合同協(xié)議中提到。

CSA STAR 是 Cloud Security Alliance Security Trust Assurance and Risk 的縮寫，中文通常譯為“云安全聯(lián)盟安全信任保證和風(fēng)險(xiǎn)”項(xiàng)目。

它是一個(gè)全球性的、基于行業(yè)共識(shí)的云安全透明度和保證框架。其核心理念是：在云服務(wù)領(lǐng)域，安全不僅取決于技術(shù)，更取決于透明度和信任。

STAR項(xiàng)目提供三個(gè)逐級(jí)增強(qiáng)的保證級(jí)別，滿足不同場(chǎng)景的需求：
第一級(jí)：STAR注冊(cè)（自我評(píng)估）
第二級(jí)：STAR認(rèn)證（第三方獨(dú)立審計(jì)）
第三級(jí)：STAR持續(xù)監(jiān)控（基于持續(xù)評(píng)估的信任）

一、云安全評(píng)估評(píng)級(jí): STAR等級(jí)分為金牌、銀牌或銅牌；
二、云安全標(biāo)準(zhǔn)培訓(xùn)。

一、確保管理層能夠掌握全面的信息，從而評(píng)估其管理體系是否能夠達(dá)到國(guó)際標(biāo)準(zhǔn)與云安全行業(yè)的預(yù)期。
二、開展量身定制的審計(jì)工作，反映出如何將公司目標(biāo)定位于實(shí)現(xiàn)云服務(wù)的優(yōu)化。
三、使公司通過外部認(rèn)證機(jī)構(gòu)的獨(dú)立評(píng)級(jí)，證明進(jìn)展情況和績(jī)效水平。
四、使公司將其業(yè)績(jī)表現(xiàn)與同行進(jìn)行基準(zhǔn)比較。
五、通過STAR云安全評(píng)估，接受認(rèn)證的公司將能夠使其潛在客戶更深入的了解安全控制水平。此外，STAR云安全評(píng)估將會(huì)突出公司需要關(guān)注的領(lǐng)域。

六、CSA STAR認(rèn)證通過提供一套標(biāo)準(zhǔn)化的工具和機(jī)制，幫助云服務(wù)提供商（CSP）公開其安全實(shí)踐，同時(shí)幫助云服務(wù)客戶（CSC）評(píng)估和比較不同提供商的安全水平。

CNLPQP_CSA_01 CSA STAR管理體系認(rèn)證 版本1.0

認(rèn)證對(duì)象通過 ISO/IEC 27001 認(rèn)證，提供 IaaS、PaaS、SaaS 或云解決方案服務(wù)，申請(qǐng)?jiān)瓢踩?lián)盟CSA STAR 2級(jí)認(rèn)證。

云控制矩陣-要求 CCM-Control Specification，CCM v4.0.10

一、具體內(nèi)容

步驟1 – 簽訂合同：SGS根據(jù)組織的規(guī)模及業(yè)務(wù)類型提供定制化的審核計(jì)劃。

步驟2 – 預(yù)審核：SGS提供可選擇的針對(duì)準(zhǔn)備情況與薄弱環(huán)節(jié)的“預(yù)審”服務(wù)。

步驟3 – 正審第一階段：對(duì)組織建立的文件化體系及其他重要體系進(jìn)行評(píng)估，提出不符合項(xiàng)。

步驟4 – 正審第二階段：現(xiàn)場(chǎng)審核，提出審核發(fā)現(xiàn)，審核合格后會(huì)簽發(fā)證書。

步驟5 – 監(jiān)督審核：根據(jù)合同，每半年或一年對(duì)體系和整改計(jì)劃的實(shí)施進(jìn)行監(jiān)督審核。

步驟6 – 再認(rèn)證：證書簽發(fā)3年期滿后，實(shí)施再認(rèn)證審核。

二、圖示

1. 憑借在信息安全管理領(lǐng)域的專業(yè)服務(wù)和豐富經(jīng)驗(yàn)，SGS能夠將ISO/IEC27017和ISO/IEC27018規(guī)范要求與ISO/IEC27001認(rèn)證要求進(jìn)行有效結(jié)合，幫助你向客戶展示服務(wù)水平和能力，增強(qiáng)客戶信心。
2. 在全球，SGS擁有龐大的審核團(tuán)隊(duì)，其中大多數(shù)審核員擁有多標(biāo)準(zhǔn)資質(zhì)。這一龐大的多技能審核員隊(duì)伍意味著SGS能夠同時(shí)在世界不同的地點(diǎn)，處理多標(biāo)準(zhǔn)審核，加快合規(guī)保證過程，使項(xiàng)目達(dá)到無憂管理。
3. 作為國(guó)際公認(rèn)的檢驗(yàn)、鑒定、測(cè)試和認(rèn)證機(jī)構(gòu)，SGS在IT信息安全領(lǐng)域解決方案范圍廣泛，致力于為各行業(yè)機(jī)構(gòu)提供全方位管理提升服務(wù)，包括：ISO/IEC27701、ISO/IEC29151、ISO/IEC27001、ISO/IEC20000、CSA STAR、ISO/IEC27017、ISO/IEC27018、ISO22301、GDPR等培訓(xùn)、認(rèn)證和審核相關(guān)服務(wù)。

1、ISO22301認(rèn)證
2、ISO/IEC27001信息安全管理體系認(rèn)證
3、ISO/IEC20000認(rèn)證
4、ISO/IEC27017認(rèn)證&ISO/IEC27018認(rèn)證
5、ISO/IEC27701
6、GDPR
7、TISAX