首款第三方驗證用雲端資安標準出爐

雲端安全聯盟（Cloud Security Alliance，CSA）針對雲端服務的安全性，推出一套雲端資安標準STAR認證（The CSA Security、Trust & Assurance Registry），在9月25日舉行的雲端安全聯盟歐洲會議中，則和驗證公司BSI共同推出第一個針對雲端服務業者、且可經由第三方獨立驗證的雲端資安標準STAR 認證Level 2（第二級星級認證）。

臺灣BSI總經理蒲樹盛表示，STAR奠基在ISO 27001資安管理架構，引進可供第三方驗證的PDCA管理驗證體系，且符合開放式認證框架（Open Certification Framework，OCF），是一個國際標準等級的認證。STAR認證總共分成三個層級，第一級（Level 1）認證是一種自我評估機制，經雲端安全聯盟認可後，才將名單公布在網站上；第二級（Level 2）則是透過第三方驗證來認證；第三級（Level 3）是持續性的稽核與驗證程序，確保該資安認證的有效性，因為必須先通過第二級認證後，才能經歷第三級的再稽核程序。

在第一級認證中，雲端服務業者可以根據CSA公布的兩份雲端安全最佳實務進行自我評估，將評估結果回傳CSA，通過CSA的認可後可獲得，CSA會將通過的名單公布在網站上。這兩份最佳實務包括，一份超過140題的問卷The Consensus Assessments Initiative Questionnaire（CAIQ）1.1版，以及一份提供類似ISO 27001資安控制措施的雲端控制矩陣1.4版（Cloud Controls Matrix，CCM）。目前已經通過自我評估的業者包括亞馬遜、惠普、微軟、賽門鐵克以及臺灣的中華電信等。

第二級認證需要透過第三方獨立的驗證機構，目前是由BSI負責，透過符合PDCA資安管理體系的方式，驗證雲端服務業者是否符合規範。蒲樹盛表示，BSI會透過CSA公布的雲端控制矩陣來驗證，該矩陣類似ISO 27001的控制措施，每一個控制措施的內容都會註明需符合的對應資安法規內容，例如HIPPA、PCI DSS及COBIT等。

此次認證也首度納入成熟度能力模型，來區分雲端服務業者的成熟度等級。蒲樹盛解釋，成熟度能力模型解決了以往企業或機關雖然通過ISO 27001認證，但無法了解符合程度的問題，未來取得STAR認證的機關或企業，會依照利害關係人、政策計畫程度、技能專業能力、領導力以及監控量測等五個面向，將受測企業取得的星級認證分成金牌、銀牌和銅牌等三種類型。他說，這個區分更可以清楚得知該公司在整體受測機關或企業中的位階為何。

由於STAR認證是一個還在發展中的認證，蒲樹盛指出，所有的資安認證除了打造一套可以持續驗證的管理機制外，透過定期稽核確認驗證的有效性，更是所有資安驗證的重要關鍵。只不過，這種屬於第三級星級認證的再稽核機制，必須等到有企業開始取得第二級星級認證後，才能進行第三級的持續稽核。他表示，全球有許多電信雲端業者，尤其是通過第一級自我評估的業者，也開始評估是否取得第二級星級認證。至於臺灣，預計在今年年底至明年初，將會有第一個取得星級認證的企業。文⊙黃彥棻


想掌握最新IT動態，歡迎按贊加入iThome粉絲團