通信世界网消息(CWW)近日,中国信息通信研究院(以下简称“中国信通院”)获得了STAR认证资质,此认证不仅可以协助云计算服务商展现信息安全的落实状态及管理能力,可更有效地差异化所提供的云计算并强化云计算使用者(企业客户或一般使用者)的信心及信赖度。
CSA STAR认证是由CSA(Cloud Security Alliance,云安全联盟)提出的全球性云安全评估与认证标准,云安全、信任、保障和风险(Security, Trust, Assurance and Risk,STAR)认证是针对云服务提供商安全等级评价的严格独立的第三方评审和注册,采用云计算安全的行业黄金框架——CCM(Cloud Control Matrix,云安全控制矩阵)。
对于云计算服务商而言,通过STAR认证的导入,能具体展现自身的云计算在安全议题上的完整设计程度,同时也能让用户在选择云服务时,可以客观得进行评估及掌握风险承受状况,使其在享受使用云计算所带来的竞争优势时,也能够在风险管理层面实现良好的管控。
STAR认证提供三种级别的保障:
第1级别是CSA-STAR 自我评估,是入门级服务,它免费提供并向所有云服务提供商(Cloud Service Provider,CSP) 公开。云服务提供商可以在CSA官网注册并提交自评估报告,证明自身实施的安全控制符合CSA的要求。
第2级别是独立第三方认证,涉及到第三方基于评估的认证,由第三方机构进行认证,确保供应商能够满足CSA云安全控制矩阵(Cloud Controls Matrix,CCM)要求,其中CCM 与行业接受的安全标准、法规和控制措施框架相对应,例如 ISO 27001、PCI DSS、HIPAA、AICPA SOC 2、NERC CIP、FedRAMP 和 NIST 等。
第3级别是持续监控,涉及到基于持续监视授予的认证。云服务提供商公布基于CSA云计算信任协议(The Cloud Trust Protocol,CTP)的安全监控结果,对云服务相关安全要求进行持续的审计和评估。
STAR认证模型图
企业通过STAR评估,则可获得中国信通院颁发的STAR云安全证书,获取云安全管理成熟度报告,通过云安全评估提高云安全管理水平,减少可能潜在的风险隐患,更好地满足顾客的云安全要求。此外,企业通过STAR评估,还可以证明其云安全水平领先于云服务提供者行列,可充分满足顾客的云安全要求,保障云服务业务安全有效开展,成为安全领域毋庸置疑的先驱者,获取云服务行业竞争优势。
