雲端安全聯盟(CSA)和商業標準制定權威機構英國標準協會(BSI)日前宣布推出STAR認證(STAR Certification),一個嚴謹的雲端服務供應商安全性的第三方獨立評鑑。此技術中立的認證運用了ISO/IEC 27001:2005管理系統標準的要求,結合CSA雲控制矩陣(Cloud Control Matrix, CCM)及用以量測雲端服務的能力水準之一系列準則。
企業組織採用雲端服務供應商外包處理內部資料及資訊時,總有許多安全性方面的疑慮。藉由通過STAR認證,將來不論是何種規模的雲端服務供應商,都能使潛在客戶更加瞭解他們的安全控制水準。
雲端安全聯盟EMEA董事總經理Daniele Catteddu說:「特別是鑑於最近政府的發現,消費者和供應商對於雲端的服務,一直在尋求獨立且技術中立的認證,以幫助他們在購買和使用服務上做出更明智的決策」,「為提供嚴謹、以使用者為中心的評鑑,STAR認證將額外提供一層業界不斷呼籲的透明度機制。」
STAR認證是以達成ISO / IEC 27001和雲控制矩陣所列出的一系列準則為基礎,此矩陣有11個控制區域,涵蓋遵循性、資料治理、設施及場所安全、人力資源安全、資訊安全、法規、運作管理、風險管理、發行管理、恢復能力和安全架構。
此獨立評鑑將由CSA認可的驗證機構執行,如BSI,將對11個控制區域的每個區域進行「管理能力」的評分。每一個控制措施將會依5個管理原則被量測並給予特定的成熟度分數。
此稽核報告將對企業組織展示其流程的成熟度,以及需考慮、改善以達到最佳完善等級的區域,這些等級將被指定為「無 (No)」、「銅 (Bronze)」、「銀 (Silver)」或「金 (Gold)」等級,經過認證之企業組織,將會被列在CSASTAR Registry為「通過STAR認證(STAR Certified)」。
BSI的全球產品組合管理部門主管Elaine Munro補充說到:「在工作場所的技術發展與員工渴望彈性工作的需求,使得雲端服務的商業需求增加;然而,許多組織對於雲端服務的各種安全性問題仍有所顧慮。藉由STAR認證將會提供組織和消費者評估雲端服務供應商績效的明確標杆,有助於緩解此問題。」
CSA和BSI於台灣時間9月26日00:00舉行雲端安全聯盟EMEA論壇,為主要雲端專家們詳細解釋新的STAR認證(Star Certification)與開放式認證框架(Open Certification Framework)。
如需STAR認證的進一步資訊,請參加:
l BSI台灣 「2013前瞻國際標準趨勢資安年會」
l BSI台灣即將於11月開始提供的「CSA授權 - STAR認證訓練課程」