在2013年9月25日,CSA和BSI正式宣布推出STAR認證(STAR Certification),這項認證結合了ISO 27001管理系統標準的要求,藉由實施雲端控制矩陣(Cloud Control Matrix;CCM),再以成熟度評估的方式來量測雲端服務的安全水準。
對雲端服務供應商來說,想要取得STAR認證,需要具備以下三個條件:
1. 已取得ISO 27001認證
2. 導入CCM的安全控制要求
3. 已達到成熟度評估的水準
因此,雲端服務供應商必須確認其所提供的雲端服務,已在ISO 27001認證的範圍之內,然後實施CCM的安全控制要求,以CCM v1.4而言,它涵蓋了法規遵循、資料治理、設施及場所安全、人力資源安全、資訊安全、法律議題、營運管理、風險管理、發行管理、回復能力和安全架構等11項控制領域,其中包括了98個安全控制措施,這些控制措施都可參照ISO 27001本文和附錄A的內容,彼此達到互補的功能。
§ 關於雲端安全成熟度
如果組織對自己的雲端安全管理有信心,接下來就可以請BSI來實施獨立的第三方驗證,BSI將以成熟度評估方式,針對CCM的11項控制領域,分別依據以下五個管理能力來進行評分:
► 政策、計劃、程序及系統化方法
► 技巧和專業能力
► 負責態度、領導能力和管理
► 監控與量測
針對每一個控制領域,BSI都會依據5個管理能力進行成熟度量測和評分,以「政策、計劃、程序及系統化方法」的管理能力為例,其評分的準則如下。
► 無正式實施方法 (1-3分)
指沒有證據顯示在營運和管理方面,針對服務的存取、身分識別、權限的指派已有相關的作業程序。
► 被動式實施方法 (4-6分)
指證據僅顯示在營運和作業流程方面,每當作業方式變更時,相關文件化的程序才會隨之改變。
► 主動式實施方法 (7-9分)
指組織已採取文件化的計畫方式,並涵蓋了所有控制領域。
► 持續改進實施方法 (10-12分)
指有證據顯示針對營運持續議題,以及可能的安全事件,加以識別並且實施了風險分析。
► 最佳化實施方法 (13-15分)
所有的政策、作業程序及計畫發展,皆與營運策略維持一致。
最後,每一個控制領域的得分會加以平均,若平均得分為3~6分,可取得銅牌;6~9分則為銀牌;9分以上則可獲得金牌。一旦獲得了STAR的獎牌,雲端服務供應商就可展現給客戶,以達到市場的區隔並建立口碑。
根據BSI表示,目前全球已有三個組織正式取得了STAR認證(英國二家,亞洲一家是阿里巴巴,三家都取得了銀牌)。預計在2014年第二季,台灣預計也會有2~3家取得這項認證。所以,雲端服務供應商可藉由STAR認證來展現自己的安全成熟度,以贏得客戶的信心;而消費者也多了一項管道,可以得知所選擇的服務廠商,是否有足夠的能量來確保資訊安全,這對雙方來說的確是一項福音。
資料來源 : CSA官方網站、BSI英國標準協會