STAR Certification 雲端安全聯盟 英國標準協會 CSA BSI

雲端服務安全度 看STAR認證

2014-01-17
STAR認證(STAR Certification)必須與ISO/IEC 27001:2005管理系統標準一起存在,簡單地說,就是透過ISO/IEC 27001:2005管理系統標準作為打底的工作,以這個為基礎,再結合CSA雲控制矩陣(Cloud Control Matrix,CCM)以及用以量測雲端服務的能力水準之一系列準則。
儘管雲端服務提供了許多便利性與優勢,但是企業要導入雲端服務卻有諸多考量,而其中一個關鍵因素就是資訊安全。近期多家資訊巨頭紛紛遭駭或發生個資外洩事件,也加深彰顯資訊安全的疑慮。

正因為如此,對於雲端服務供應商來說,能不能有一套方法可以有效地規範資訊安全,並且能夠符合國際標準與實務要求也就相對重要,也是給予企業客戶的信心保證。日前,CSA(雲端安全聯盟)與英國標準協會(BSI)合作,正式針對雲端環境,推出STAR認證(STAR Certification)。藉由STAR認證,未來不論是何種規模的雲端服務供應商,都能讓使用者更加瞭解他們在安全控制的投入與水準。

BSI英國標準協會驗證部協理謝君豪指出,全球雲端服務業者普遍都面臨信任度問題,使用者對於雲端服務最大的疑慮便在於資訊的安全性。但是環顧國際間可以用來驗證雲端服務是否安全的方法,只有ISO/IEC 27001:2005管理系統標準,然而即使取得ISO/IEC 27001:2005管理系統標準驗證,也只能證明其資安措施有符合國際標準的最低要求,並不能得知該業者投入多少心力於資安控制上。


▲STAR認證證書範例。(圖片來源:https://cloudsecurityalliance.org/star/certification/)

「也因此,STAR認證的最大特色是依照成熟度來判定,並且給予無(No)、銅(Bronze)、銀(Silver)、金(Gold)等級。」他以油品問題舉例提到,現在油品問題嚴重,同樣都通過GMP,A家是以90分的標準在做食品安全,但B家可能覺得60分過關就好,如此一來就很難把安全性差異化。成熟度是用來判別服務商認真看待雲端安全的一項指標,試想一家拿到金牌認證、另一家拿到銅牌認證,誰做得比較認真自然一目瞭然。

目前STAR認證必須與ISO/IEC 27001:2005管理系統標準一起存在,簡單地說,就是透過ISO/IEC 27001:2005管理系統標準作為打底的工作,以這個為基礎,再結合CSA雲控制矩陣(Cloud Control Matrix,CCM)以及用以量測雲端服務的能力水準之一系列準則。而這項雲控制矩陣有11個控制區域,涵蓋遵循性、資料治理、設施及場所安全、人力資源安全、資訊安全、法規、運作管理、風險管理、發行管理、恢復能力和安全架構等。

謝君豪提到,在台灣,許多好的制度常常會被形式化,為了避免驗證過於浮濫,目前STAR認證只能透過英國標準協會驗證,以確保稽核的嚴謹度。而未來若有其他驗證單位想提供驗證服務,所有人員的教育訓練都必須透過BSI。原因無非就是希望能一開始就建立良好的規範,做出公信度。

「目前全球已經有三家取得STAR認證,包括HP、Pulsant以及阿里巴巴。」他強調,STAR認證也並非一稽定終生,如果受稽單位原本取得銅牌,但往後想繼續投入,升級到銀牌或金牌時,只要重新申請STAR認證即可。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!