而有关云安全的认证也是越来越受到关注和重视,云安全认证首推CSA STAR认证。
该认证包含三块内容:
第一块是与AICPA联合的CSA STAR Attestation,该认证基于AICPA (Trust Service Principles, AT 101)和CSA云控制矩阵,用来指导SOC 2的执行;
第二块是CSA STAR Certification,由CSA指定第三方认证机构基于ISO27001 CSA云控制矩阵来进行评估,算是最正宗的CSA云安全认证;
第三块是针对我大天朝的CSA C-STAR评估,基于GB/T 22080-2008 等级保护基本要求+GB/Z 28828-2012以及CSA的云控制矩阵。
国内有一家公司获得了全球第一张云安全国际认证金牌(CSA-STAR),大伙觉得是谁,不用猜,还是阿里云。
关于云计算安全评估还有两个ISO27000系列的标准可以进行认证,分别是:
《ISO27017:2015 基于27002的云计算服务的信息安全控制措施实用规则》
《ISO27018:2014 公共云计算服务的数据保护控制措施实用规则》
ISO27017:2015针对云服务的信息安全控制提供了实施指导。
ISO27018:2014是首个专注于云中个人数据保护的国际行为准则。
基于ISO27002,并针对适用于公有云个人可识别信息(PII)的ISO27002控制体系提供了实施指南。
国内也发布了两个云计算服务的相关标准,《GB/T 31167-2014 信息安全技术 云计算服务安全指南》和《GB/T 31168-2014 信息安全技术 云计算服务安全能力要求》,至于谁来执行,暂时没看到更多信息。
为什么要强调合规?
合规不能保证绝对安全,但合规是安全的基础,也是当前提升企业安全保障能力的重要途径,这也是越来越多的企业青睐认证的缘由。
大家应该清楚合规和安全的关系,开车上路就必须得持有驾照,必须得系安全带,这就是交通领域的合规,但是你即使完全合规,也不能100%保证不发生安全事故。
合规的意义是什么,让你掌握驾驶技能、交通法规和安全驾驶技巧。能够像安全带一样,在发生交通事故时把伤害降低到最低,合规是安全的基石,做与不做差别很大。
再回到信息安全领域,甲方会遇到很多的合规需求,像等级保护、pci dss、iso27001等等,但一部分人对合规的认知有所偏差,认为满足合规就安全了,其实还远远不够,合规是让你的信息安全保障能力达到一个基本60分、70分、80分的水平,但是70分和80分不是安全建设的目标和终点。
最后再讲一句,金杯银杯不如客户的口碑,把合规带来的能力变成附加值,反馈客户,普惠大众,这才是合规的价值。
