CSA STAR认证介绍

///
Categories

简要
CSA(Cloud Security Alliance)在2012“安全云”大会(SecureCloud 2012 conference)上正式发布了其开放认证框架(Open Certification Framework,OCF),以帮助云服务提供商提升其云安全实践的透明度,提高云服务的市场可信度,增强云服务于用户的安全信心,以便企业和个人用户接受和使用所提供的云服务。OCF包括安全、信任和保证注册(Security、Trmust and Assurance Registry ,STAR)三个方面的内容,可分为三个层次,每一个层次将为云服务供应商提供增量级别的信任与透明度,也为云用户提供更高级别的安全保障,OCF构成如图1所示。

CSA开放认证框架

(1)第一级是自我评估。云服务提供商可以在CSA官网注册并提交自评估报告,证明自身实施的安全控制符合CSA的要求。

(2)第二级为独立第三方认证。由第三方机构进行认证,确保供应商能够满足CSA云安全控制矩阵(Cloud Controls Matrix,CCM) [30]要求,其中CCM可视为在传统ISO27001安全控制要求的基础上的补充和增强。

(3)第三级为持续监控。云服务提供商公布基于CSA云计算信任协议(The Cloud Trust Protocol,CTP)的安全监控结果,对云服务相关安全要求进行持续的审计和评估。

为协助云服务提供者展现其云服务安全水平及安全管理成熟度,CSA针对OCF第2等级开展第三方评估认证,即C-STAR云安全评估。
云安全评估认证采用云计算信息安全的行业黄金标准—-CSA最新发布的云控制矩阵(CCM),结合国内相关法律法规(如等级保护和个人信息保护指南等)等和GB/T22080标准要求,有效评估云服务的安全状况,并用云计算信息安全管理的最佳实践指导企业提升云服务信息安全水平,从而将云服务的信息安全隐忧大幅降低。C-Star的构成如图2。

CSA C-STAR 评估方法
C-STAR对16个控制域评估(如图3),依据评估的评分结果将云服务的信息安全管理状况分五级,最终形成各个控制域的成熟度等级。
针对CCM的某一控制域,分析各条控制措施及与之关联的管理过程中的管理、测量和制度化,判定其表现出的特征是否满足某一能力级别要求,如果满足,则可判定此项控制措施处于对应的能力级别。评估人员需要对一个控制域中所有的控制措施进行合理评估,以确保组织已基于风险评估,对风险实施了适当的安全控制。如果CCM中的一项安全控制措施没有切实落地,提供商需要证明该项控制措施为何没有包含在他们的风险评估/适用性声明中,或者为何没有实施补偿控制。
认证程序
进行C-STAR云安全评估时,组织应向评估方提供评估所需的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况,评估方将以抽样的方式对多现场进行审核;组织如要求,可向评估方提出预审核的申请;评估分两个阶段进行:第一阶段,主要进行文件审核并确认第二阶段审核准备的充分性;第二阶段,主要对体系的符合性和有效性进行评价,作出现场审核的推荐结论。C-STAR云安全评估流程如下图6所示。
CSA C-STAR 作用
进行C-STAR云安全评估时,组织应向评估方提供评估所需的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况,评估方将以抽样的方式对多现场进行审核;组织如要求,可向评估方提出预审核的申请;评估分两个阶段进行:第一阶段,主要进行文件审核并确认第二阶段审核准备的充分性;第二阶段,主要对体系的符合性和有效性进行评价,作出现场审核的推荐结论。