C-STAR云安全认证


C-STAR云安全评估

  一、C-STAR 云安全评估概述

  CSA(Cloud Security Alliance)在2012“安全云”大会(SecureCloud 2012conference)上正式发布了其开放认证框架(Open CertificationFramework,OCF),以帮助云服务提供商提升其云安全实践的透明度,提高云服务的市场可信度,增强云服务于用户的安全信心,以便企业和个人用户接受和使用所提供的云服务。OCF包括安全、信任和保证注册(Security、Trust and AssuranceRegistry ,STAR)三个方面的内容,可分为三个层次,每一个层次将为云服务供应商提供增量级别的信任与透明度,也为云用户提供更高级别的安全保障,OCF构成如图1所示。

  http://www.ceprei.org/gzsbrz201606272593/uploadfiles/2016/11/201611211134533453.png

  图1 CSA开放认证框架

  (1)第一级是自我评估。云服务提供商可以在CSA官网注册并提交自评估报告,证明自身实施的安全控制符合CSA的要求。

  (2)第二级为独立第三方认证。由第三方机构进行认证,确保供应商能够满足CSA云安全控制矩阵(Cloud Controls Matrix,CCM) [30]要求,其中CCM可视为在传统ISO27001安全控制要求的基础上的补充和增强。

  (3)第三级为持续监控。云服务提供商公布基于CSA云计算信任协议(The Cloud Trust Protocol,CTP)的安全监控结果,对云服务相关安全要求进行持续的审计和评估。

  

为协助云服务提供者展现其云服务安全水平及安全管理成熟度,赛宝认证中心(CEPREI,后简称赛宝)于2014年与CSA正式开始合作,针对OCF第2等级开展第三方评估认证,即C-STAR云安全评估。云安全评估认证采用云计算信息安全的行业黄金标准----CSA最新发布的云控制矩阵(CCM),结合国内相关法律法规(如等级保护和个人信息安全规范等)等和GB/T22080标准要求,有效评估云服务的安全状况,并用云计算信息安全管理的最佳实践指导企业提升云服务信息安全水平,从而将云服务的信息安全隐忧大幅降低。C-Star的构成如图2。

  图2:C-STAR构成图

  C-STAR评估依据CSA最新发布的云安全控制矩阵CCM V4,结合国内相关法律法规和标准要求,形成C-STAR云安全控制矩阵,从审计&保障、应用程序和接口安全、业务连续性管理和运营弹性、变更控制和配置管理、数据安全和隐私生命周期管理等17个云安全控制领域,对云服务的安全控制状况进行系统评估。同时,为了帮助企业对云安全管理成熟度进行评估和持续改进,引入了云安全管理成熟度评价(将在形成的评估报告中给出成熟度评估得分),对C-STAR云安全控制矩阵中的安全控制措施进行成熟度评分并划分为5个等级,不同分数等级代表云服务提供商的安全控制的管理成熟度水平。

  企业如若通过C-STAR评估,则可获得赛宝与CSA联合颁发的C-STAR云安全证书、获得CSA官网证书注册并受到国际认可、获取云安全管理成熟度报告,通过云安全评估,提高云安全管理水平,减少可能潜在的风险隐患,保障业务持续开展与紧急恢复,更好的满足顾客的云安全要求。并证明云安全水平领先于云服务提供者行列,满足顾客的云安全要求,保障云服务业务安全有效开展,获取云服务行业竞争优势。

  二、C-STAR认证

  (一) C-STAR评估方法

  

C-STAR对17个控制域评估(如图3),依据评估的评分结果将云服务的信息安全管理状况分五级,最终形成各个控制域的成熟度等级。

  图3:CCM控制域组成图

  针对CCM的某一控制域,分析各条控制措施及与之关联的管理过程中的管理、测量和制度化,判定其表现出的特征是否满足某一能力级别要求,如果满足,则可判定此项控制措施处于对应的能力级别。评估人员需要对一个控制域中所有的控制措施进行合理评估,以确保组织已基于风险评估,对风险实施了适当的安全控制。如果CCM中的一项安全控制措施没有切实落地,提供商需要证明该项控制措施为何没有包含在他们的风险评估/适用性声明中,或者为何没有实施补偿控制。

  C - STAR认证针对17个控制域评估,依据审核的评分结果将云服务的信息安全管理状况分为五个等级:

  评分结果

  等级描述

  1级

  不安全

  2级

  被动安全级

  3级

  主动安全级

  4级

  改进提升级

  5级

  系统优化级

  (二)认证程序

  进行C-STAR云安全评估时,组织应向赛宝提供评估所需的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况,赛宝将以抽样的方式对多现场进行审核;组织如要求,可向赛宝提出预审核的申请;评估分两个阶段进行:第一阶段,主要进行文件审核并确认第二阶段审核准备的充分性;第二阶段,主要对体系的符合性和有效性进行评价,做出现场审核的推荐结论。C-STAR云安全评估流程如下图4所示。

  http://www.ceprei.org/gzsbrz201606272593/uploadfiles/2016/11/20161121113606366.png

  图4:C-STAR云安全评估流程

  企业在推行C-STAR之前,应结合本企业实际情况,对上述各推行步骤进行周密的策划,并给出时间上和活动内容上的具体安排,以确保得到更有效的实施效果。通常至少要有三个月的有效运行数据。企业经过若干次内审并逐步纠正后,若认为所建立的云安全管理体系已符合C-Star的要求(具体体现为内审所发现的不符合项较少时),便可申请外部认证。

  三、C-STAR作用

  赛宝基于数十年的信息安全管理领域的经验,结合CSA的研究成果开发出了C-STAR评估服务。C-STAR作为国内首个全球性认可的云安全评估认证,受到了来自中科曙光、金山、浪潮、平安、用友、北森等业界知名企业的高度认可,并且在全国范围内受到了广泛的关注。

  C-STAR采用云计算信息安全的行业黄金标准----CSA发布的云控制矩阵(CCM),评估过程采用国际先进的成熟度等级评价模型,同时结合国内相关法律法规和标准要求,对云计算服务进行全方位的安全评价。将有效提升云计算服务的安全水平、管理策略,改进企业安全目标和防范措施,从而将云计算服务的信息安全隐忧大幅降低。

  (1)采用行业最佳云安全实践(CCM),提高安全控制水平

  (2)证明安全水平领先于云服务提供者行列

  (3)保持云服务业务持续发展和竞争优势

  (4)更好的满足顾客的云安全要求

  (5)降低安全风险、减少损失、降低成本

  (6)维护企业的声誉、品牌和客户信任

  四、赛宝能力

  赛宝&CSA的联合授权,全球市场接受度高。CSA已在全球其它范围内开展云计算安全认证,但在中国市场尚未开展有效的认证业务,赛宝&CSA的联合授权认证,让企业云安全成为云计算信息安全认证体系的样板工程,并能得到国际市场和机构的认可,有效提升企业的市场推广和宣传效果、助力开拓和发展国内外市场。

  丰富的实施经验,保障企业的云计算安全。赛宝是国内领先的信息安全管理体系实施机构,具有长达数十年的信息安全管理实施经验;CSA是国际知名的云安全服务机构,其云安全标准得到了业界的广泛认可。通过赛宝实施云安全管理体系标准的培训、审核和认证,使企业的云计算安全得到有效保障。