[專欄] 展現雲端服務的安全成熟度 - 及早取得STAR認證

對雲端服務供應商而言，如果想要展現出高度的資安管理成熟度，唯有藉由第三方獨立公正的稽核，並且進一步取得國際認可的認證，才是最佳的解決方案，除了可以強化本身的市場競爭力，也能夠滿足客戶對於資安的期盼與要求。 

隨著雲端運算的蓬勃發展，許多企業紛紛採用了雲端服務，以便降低營運支出成本，或是達成過去缺少資源所能達到的目標。若是從企業高層的治理與管理角度來看，一旦企業導入了雲端服務，並且與本身的業務運作相互結合，那麼就必須評估這項服務，是否會對企業產生無法控制的風險，也就是說，企業需要考慮採用了雲端服務，如果發生了資訊安全的問題，是否將對企業造成衝擊與影響。 

因此，選擇一個安全可靠且值得信賴的雲端服務供應商，就成為企業在採用雲端服務時，也能降低營運風險的必要做法。只是，面對市場上眾多的雲端服務業者，到底應該要如何挑選，才能找到品質與安全兼顧的良好夥伴，就成為企業在評估時的頭痛問題。幸好，在2013年年底，針對雲端服務供應商的安全要求，雲端安全聯盟(CSA)與英國標準協會(BSI)正式宣布推出STAR認證，這項認證結合了ISO 27001資訊安全管理系統標準的要求，並且藉由實施雲端控制矩陣(Cloud Control Matrix；CCM)，再以成熟度評估的方式來量測出雲端服務的安全水準。

[新知] 雲端安全聯盟正式發佈CCM和CAIQ v.3.0.1

雲端安全聯盟(CSA)已正式發佈更新版本的 Cloud Controls Matrix (CCM) 和 Consensus Assessments Initiative Questionnaire (CAIQ) v.3.0.1，有興趣的朋友可以自行至CSA的網站下載這兩項文件。

CCM v.3.0.1 - https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1/

CAIQ v.3.0.1 - https://cloudsecurityalliance.org/download/consensus-assessments-initiative-questionnaire-v3-0-1/

新版的雲端控制矩陣CCM提供了雲端服務供應商基本的安全原則，可以協助業者自行評估所面臨的雲端風險，在CCM v.3.0.1中包括了16項安全領域和基本的安全控制措施，並且可以和業界與國際標準相互參照，以減少稽核時的重覆性與複雜性。

不同於v.3.0的新版主要更新重點如下：

• 新版CCM更新為16項安全領域，並且對應至常見的其他標準，如AICPA 2014 TSC, COBIT 5.0, ISO/IEC 27001:2013等。 

• 新版CCM整合了重覆的控制措施，從舊版v.3.0的136個減少至133個，同時重新改寫了控制措施內容，讓目的更清楚，並且可以滿足STAR認證的要求。

• 新版的CAIQ則提供了更簡要清楚的問題內容，並且對應至CCM和雲端運算安全指南v3.0的內容，讓雲端服務供應商可以更容易地進行自我評估，以滿足客戶的期待與要求。

[專欄] 雲端控制矩陣安全措施簡介(八) - 強化雲端安全架構 從底層打好強健基礎

上一篇我們說明了在雲端控制矩陣之中，有關發行安全管理和災難回復能力之要求，本期將說明有關雲端安全控制要求的最後一項-安全架構之內容。 

在雲端控制矩陣中的第十一項是針對安全架構的要求，希望藉由強化底層的網路基礎設施與應用程式，以減少營運時可能面臨的安全風險。以下將說明安全架構中的15個控制措施，以及可對應參考的ISO 27001標準與實務建議。