新北市政府與雲端安全聯盟(CSA)雙方於日前簽訂雲端安全聯盟開放認證框架(OCF)先導計畫(Cloud Security Alliance Open Certification Framework Pilot Program)的合作意向書(MOI),希望共同提升台灣與新北市雲端運算與安全領域之發展,為雲端服務供應商及使用者提供一個更高層次的雲端服務及安全領域。
新北市政府積極推動雲端產業的發展,從基礎建設投資、應用軟體產業發展,以至雲端產業園區群聚的推動,現更進一步搶先參與雲端安全聯盟之開放認證框架先導計畫,成為全球第一個以政府角色參與並將取得OCF認證計畫之政府單位。先導計畫的認證過程與完成將作為訂定日後OCF認證標準之重要參考與依據。新北市政府也將分享政府雲端服務(G-Cloud)之成功經驗,共同發展出一個值得信賴的雲端生態系統。
新北市研考會主委吳肇銘表示,所謂雲端安全認證,是透過一百多項嚴格的指標,確認被認證機構所提供的雲端服務是否符合國際標準,而這項認證不僅在國內是首見的嚴格挑戰,在國際上亦視為雲端科技的前驅指標,雲端安全聯盟選擇以新北市政府為第一個示範點,不僅希望將這套機制導入到國內,也希望藉由新北市政府分享推動雲端服務的成功經驗,對於後續「雲端運算」產業以及雲端發展生態產生重大的正向影響。
雲端安全聯盟CSA亞太地區總經理張潤才(Mr. Aloysius Cheang)表示,雲端安全聯盟CSA積極計畫加強在亞太地區的成長,2012年CSA將總部移設於新加坡,並且與新加坡資訊通信發展管理局(IDA)、新加坡經濟發展局(EDB)建立合作關係,得到新加坡政府的大力支持,CSA致力於發展安全、可靠、保證的雲服務,提供一個值得信賴的雲端服務給在地與全球的用戶。
雲端安全聯盟CSA台灣區會長林鴻源說,CSA開放認證框架是一個全球認可的雲端產業計劃,提供3層式信任架構,每層提供雲服務供應商更高層次的保證,可見性和透明度的增量水平給雲服務使用者並根據雲安全聯盟行業領先的安全指導和控制目標為原則,整合第三方認證機構之評估和認證報告,具備靈活、漸進、多層次的雲服務供商認證。
雲端使用者面對各雲端服務供應商所提供的各種雲端服務和模式,常面臨著困難選擇,尤其是對於雲端運算安全,由於知識和資源的限制,更是無從下手。鑑於此,CSA宣佈了開放認證框架,支持獨立的第三方評估方式為雲端服務供應商們提供評估認證,在ISO27001的ISMS認證基礎上包含CSA的雲控制矩陣CCM(Cloud Control Matrix)所列出的控制措施認證標準,而CCM則涵蓋了雲端安全的一系列控制措施(措施對應於安全指南要求)。OCF認證為雲端使用者在選擇雲端服務供應商時提供了可信任的參考。