CSA STAR认证

Posted by Harid2020 - Jul - 24 留个言

什么是STAR认证

STAR认证旨在应对与云安全相关的特定问题。
STAR认证是由英国标准协会(BSI)与云安全联盟(CSA)联手推出,是信息安全管理体系(ISO/IEC 27001)的增强版本。
英国标准协会(BSI)前身为英国工程标准委员会,致力于标准制定,信息安全、质量保证等方面的认证。
云安全联盟(CSA)于2009年RSA大会上成立,非盈利组织 ,致力于在云计算环境下为业界提供最佳安全解决方案。

STAR认证构成

  • 信息安全管理体系认证 —— ISO/IEC 27001
  • 云安全联盟提出的云控制矩阵 —— CCM
  • BSI提出的管理能力成熟度模型 —— Maturity Model

其中前两部分是认证标准,第三部分是评估模型和框架。
也就是说通过前两个标准建立信息安全体系,有了安全策略和流程,但是我们应该有一套方法去评估这些策略和流程的有效性,具体就是通过管理能力成熟度模型来进行评估。

STAR认证的影响

至今已有70+个国际国内云计算产品通过认证,400+个云计算产品通过自评估。
广度上,涵盖国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、计算提供商。
深度上,不乏国际知名企业,如百度和阿里巴巴。

ISO 27000系列及关系

ISO 27000是一个标准系列,是一个标准族,该标准族中有很多延伸标准,并且以27000这个标准为基础,通过27000对整个标准族中涉及到的术语和基本原则进行介绍,27000是该标准族中最基本和最基础的标准。

其它的标准主要分为两类:

  • 要求 : 可以认证的标准;
  • 指导方针 : 是实施的指导,并不是认证的要求;

其中认证要求主要是两个:

标准 说明
ISO 27001 对信息安全管理体系的要求。通过哪个标准来指导我们建立信息安全管理体系,除了信息安全管理体系的要求之外,我们在建立信息安全管理体系之后,如何评估这个信息安全体系是有效的,如何对它进行审核,就需要专门的机构来作审核。那么这个机构应该具备哪些资质,应该具备哪些能力,是通过27006这个标准来要求的。
ISO 27006 对评估机构资质审查的标准

除了上述两个要求之外,其它的标准基本上都是一些指南。

标准 说明
27002 信息安全管理体系 - 实践准则
27003 信息安全管理体系 - 实施指南
27004 信息安全管理体系 - 测量
27005 信息安全风险管理
27007 信息安全管理体系 - 审核指南

ISO 27001

ISO 27001的具体要求,其中涵盖14个域,共114项控制项。

A5 - 安全方针

我们要确定我们组织的信息安全方针,为信息安全管理提供指引,对信息安全策略进行定期的评审。

A6 - 信息安全的组织

组织内部设置信息安全的角色,职责要定义清晰,与相关方如政府部门定义相关的团队要建立联系,并确立接口人。

A7 - 人力资源安全

规定人员在雇佣前的审查流程,确定员工的任用条款和条件。明确在职员工的职责,要进行信息安全意识教育和培训,制订惩戒措施。雇佣终止或角色变化的时候,要进行权限的处理。

A8 - 资产管理

要规定资产管理制度,明确 信息的分类和介质处理的要求。要有资产的清单和责任人,资产的使用和处置,要有固定的流程。

A9 - 访问控制

规定访问控制策略,如系统 的访问控制策略,网络 的访问管制 策略,用户的访问管理。

A10 - 密码学

要规定密码的使用策略,如密钥管理。

A11 - 物理和环境安全

要规定环境区域和相关设备的使用方法。防止对办公场所和机房的设备 ,未授权的访问和破坏。

A12 - 操作安全

要制订操作规程,保证操作的正确性。

A13 - 通信安全

如邮件的外发管理,子网的划分。

A14 - 信息系统获取、开发和维护

A15 - 供应关系

A16 - 信息安全事件管理

报告信息安全弱点,及时采取纠正措施。

A17 - 信息安全方面的业务连续性管理

如可靠性冗余等,要减少业务活动的中断。

A18 - 符合性

法律遵从,合同满足,外部审计的要求。

CCM 云控制矩阵

CCM要求组织处理具体的重要的云安全问题。
CCM最显著的特性,在于每一个云安全的控制项皆能对应到国际间著名的咨询安全标准,如: ISO27001、PCI-DSS、ISACA COBIT及NIST等。

CCM3.0.1版构成共16个控制域,133个控制项。

关注的是云里面的风险。

管理能力成熟度模型

管理能力模型为CSA STAR验证中最核心的关键,以管理能力的成熟度进行评估,能使组织重新评估资源的分配,针对管理能力较为薄弱的区域进行强化,以增加其作业上的效率及有效性。

重点关注以下5个方面的管理能力:

  • 沟通和利益相关者参与
  • 策略、计划、过程和系统方法
  • 技能和知识
  • 拥有者、领导和管理
  • 监督和测量

SART认证环节

1、选择认证机构
2.、预认证
3、第一阶段 : 信息安全及云安全管理体系文件审核; 对建立的信息安全及云安全管理体系在各部门的运行状况和实施效果进行实施评估;
4、第二阶段
5、第一年监督审核
6、第二年监督审核
7、第三年换证审核

   声明:本文采用 BY-NC-SA 协议进行授权 | 星期九
   原创文章转载请注明:转自《CSA STAR认证

No comments yet.
2 + 5 =  
comment_ad
  

 NOTICE1: You should type some Chinese word (like “你好”) in your comment to pass the spam-check, thanks for your patience!