為了讓雲端安全能夠跟上國際化標準與業界的腳步,雲端安全聯盟(CSA)已正式更新了雲端安全控制措施-雲端安全控制矩陣(Cloud Control Matrix; CCM)和自我主動評估問卷(Consensus Assessments Initiatives Questionnaire; CAIQ),讓雲端服務供應商可以藉此來評估雲端服務的安全水準,並且因應雲端服務本身可能面臨的安全風險。
在最新版的CCM和CAIQ v3.0.1中,內容描述已和雲端安全聯盟的雲端運算安全關鍵指南v3.0趨於一致,還有助於雲端服務供應商進一步取得CSA的STAR認證。對此,雲端安全聯盟執行長Jim Reavis表示,更新這兩項重要的安全文件,除了讓雲端服務供應商能夠以透明化方式完成自我安全評估之外,也可以幫助需要採用雲端服務的消費者,更聰明有效地選擇安全可靠的雲端服務業者。
在2013年9月25日,CSA和BSI英國標準協會共同合作推出
STAR認證(STAR Certification),這項認證結合了ISO 27001資安管理系統標準的要求,藉由實施雲端控制矩陣的各項安全措施,再以成熟度評估的方式來量測雲端服務的安全水準。在雲端安全STAR認證之中,最基本的兩項要求就是必須通過ISO 27001的驗證,同時也要實施雲端安全控制矩陣中的安全控制措施。
在STAR認證之中,第一階段的CAIQ提供了一系列的簡要問題,讓雲端服務供應商藉由回答「是」或「不是」的過程中,快速有效的掌握目前的安全現況和所面臨的安全風險。 第二階段的CCM則是透過所要求的16個安全控制領域,要求實施各項的安全控制措施,讓雲端服務供應商有能力可以確保客戶資料的安全,並且適時處理所面臨的安全風險,以滿足客戶對於資訊安全的期望。
目前,由CCM所提供的安全框架,已經可以和業界與國際標準相互結合,包括像是ISO 27001:2013、COBIT 5.0、PCI:DSS v3、AICPA 2014等,可以滿足企業組織中面對不同標準的驗證要求。CCM的優勢在於既可以運用現有國際認可的安全措施來強化雲端安全,更可以利用標準化的安全營運與風險管理方式,因應不同組織的安全期許與要求,達到降低雲端安全弱點與抑制威脅的目標。
關於
CAIQ v3.0.1 與
CCM v3.0.1的文件,已可以透過CSA的網站免費下載。