對雲端服務供應商而言,如果想要展現出高度的資安管理成熟度,唯有藉由第三方獨立公正的稽核,並且進一步取得國際認可的認證,才是最佳的解決方案,除了可以強化本身的市場競爭力,也能夠滿足客戶對於資安的期盼與要求。
隨著雲端運算的蓬勃發展,許多企業紛紛採用了雲端服務,以便降低營運支出成本,或是達成過去缺少資源所能達到的目標。若是從企業高層的治理與管理角度來看,一旦企業導入雲端服務,並且與本身的業務運作相互結合,那麼就必須評估,這項服務是否會對企業產生無法控制的風險。也就是說,企業需要考慮,採用雲端服務如果發生了資訊安全的問題,是否將對企業造成衝擊與影響。
因此,選擇一個安全可靠且值得信賴的雲端服務供應商,就成為企業在採用雲端服務時,降低營運風險的必要做法。只是,面對市場上眾多的雲端服務業者,到底應該要如何挑選,才能找到品質與安全兼顧的良好夥伴,就成為企業在評估時的頭痛問題。
幸好,在2013年年底,針對雲端服務供應商的安全要求,雲端安全聯盟(CSA)與英國標準協會(BSI)正式宣布推出STAR認證,這項認證結合了ISO 27001資訊安全管理系統標準的要求,並且藉由實施雲端控制矩陣(Cloud Control Matrix,CCM),再以成熟度評估的方式來量測出雲端服務的安全水準。
取得STAR認證的必要條件
雲端安全聯盟指出,「STAR認證是以達成ISO 27001和雲端控制矩陣所列出的一系列準則作為基礎,此一矩陣共有11項控制領域,涵蓋了法規遵循、資料治理、設施及場所安全、人力資源安全、資訊安全、法令法規、營運管理、風險管理、發行管理、恢復能力及安全架構。」對雲端服務供應商來說,如果想要取得STAR認證,需要具備以下三個條件:
1. 已取得ISO 27001認證:ISO 27001主要是從資訊安全的角度出發,要求雲端服務供應商基於客戶的安全期許與要求,在所提供的雲端服務範圍內,導入系統化的資訊安全管理制度,業者必須要識別服務中所面臨的風險,實施適當的安全控制措施,以降低風險至可以接受的程度。因此,ISO 27001的認證範圍,也就不得小於STAR認證的範圍。
2. 導入CCM的安全控制要求:CCM是針對雲端服務中的各項特定的重要領域,實施對應的安全控制措施,以便確保業者所提供的雲端服務已具備足夠的安全防護,降低資訊安全的風險。
3. 達到成熟度評估的水準:業者必須申請由第三方獨立驗證機構來進行安全成熟度的評估,這項做法可以確保CCM並非只是最低的自我安全要求,而是能夠展現在各個雲端安全控制領域中,已有運行良好的管理活動,確保安全問題能夠持續地獲得關注和改善。
雲端安全成熟度評估的要素
雲端服務供應商如果想要通過STAR驗證,就必須在所有CCM要求的控制領域中,展現已經實施的安全做法與相關證據,若是組織對於自己的雲端安全管理有信心,接下來就可以申請實施獨立的第三方驗證,BSI將以管理成熟度評估方式,針對CCM的每一項控制領域來進行查驗,至於CCM的實務措施與做法,讀者可以參照先前一系列有關雲端控制矩陣之介紹文章。
基本上,在雲端控制矩陣的每一項的控制領域裡,稽核員都會分別依據以下五個管理要素來進行評分:
- 溝通和利害關係人的參與
- 政策、計畫、程序及系統化方法
- 技巧和專業能力
- 負責態度、領導能力和管理
- 監控與量測
換句話說,在每個控制領域中,稽核員都會依照所實施的管理活動,在五個管理要素中給予1?15的評分,如果其中有一個管理要素獲得較低的分數,那麼這項控制領域就會以此最低的分數作為其總體獲得的評分。以CCM v1.4來說,業者在11項控制領域中,就會獲得11項1?15分不等的分數,而每項分數都是取決於五個管理要素所獲得的評分結果。以「政策、計畫、程序及系統化方法」的管理要素為例,其評分所依據的準則如下:
‧無正式實施方法 (No Formal Approach) : 若只有很少的證據可顯示在營運和管理方面,已有相關的計畫、流程、政策及作業程序,將獲得1分;如果業者已實施了效果有限的作業流程,可獲得2分;在一些關鍵的區域中,作業流程已被實施和遵從,將可得到3分。
‧被動式實施方法 (Reactive Approach) : 若有一些證據顯示,某些員工對於關鍵區域的主要控制要求已經有所了解,將獲得4分;如果大多數的計畫、流程、政策及程序都已更新,可獲得5分;有證據顯示這些的計畫、流程、政策及程序已經被實施和遵從,將可得到6分。
‧主動式實施方法 (Proactive Approach) : 若業者已有廣泛的計畫、流程、政策及程序,並已涵蓋了大多數的控制和作業區域,將獲得7分;如果計畫、流程、政策及程序已被定期的檢視審查,可獲得8分;員工已熟知並且能找出對應的計畫、流程、政策及程序,將可得到9分。
‧持續改進實施方法 (Improvement-Based Approach) : 若有證據顯示相關的計畫、流程、政策及程序,已經涵蓋日常的作業和緊急應變措施,將獲得10分;如果針對營運活動可能的風險,對於相關計畫、流程、政策及程序已進行檢視審查,可獲得11分;員工能夠主動地涉入風險管理和風險消除,將可得到12分。
‧最佳化實施方法 (Optimising Approach) : 針對營運活動的改變,管理階層對於相關計畫、流程、政策及程序皆有強健的領導力和因應做法,將獲得13分;如果相關計畫、流程、政策及程序已與組織外的最佳實務做法進行比較,可獲得14分;相關的計畫、流程、政策及程序,皆能與營運願景維持一致,並且獲得了正面評價,將可得到15分。