2013年11月16日 星期六

[專欄] 雲端控制矩陣安全措施簡介(二) - 評估設備場所與人力資源安全

上一次我們介紹了雲端控制矩陣(CCM)針對法規遵循與資料治理的要求,並一一說明了對應的安全控制措施,接下來將繼續說明控制區域中的第三項設備場所安全,以及第四項人力資源安全的各項控制做法。

對雲端服務供應商而言,如果已經導入並取得了ISO 27001資訊安全管理系統的認證,那麼將相關的資訊安全控制要求,也涵蓋到所提供的雲端服務範圍之內,將是組織最容易強化雲端安全的做法。

目前,在雲端控制矩陣中的每一項控制措施,都可直接對應至ISO 27001的標準,因此建議組織將ISO 27001標準的實務做法,回應至雲端開放認證架構的第二層要求,在未來若想要通過第三方的獨立稽核時,就可達到事半功倍的效果。

2013年11月12日 星期二

[活動] BSI年會 - 雲端安全STAR認證正式開跑

今天參加了連續第十年舉辦的英國標準協會(BSI)年會,現場依舊是人潮滿滿、座無虛席。本次年會的重點在於說明有關ISO 27001:2013的更新內容,以及BSI與雲端安全聯盟(CSA)所合作推動的STAR認證。 

ISO 27001的更新,基本上和FDIS的內容差不多,所以我就不多說了,目前BSI也已經開始提供新版的訓練課程,至於轉版課程可能還要再等等。對我而言,最讓我感到有興趣的,其實是BSI對於雲端安全成熟度的評估方法,這將會決定想要取得STAR認證的雲端服務供應商,如何獲得其績效得分與獎牌。 

關於STAR認證

在2013年9月25日,CSA和BSI正式宣布推出STAR認證(STAR Certification),這項認證結合了ISO 27001管理系統標準的要求,藉由實施雲端控制矩陣(Cloud Control Matrix;CCM),再以成熟度評估的方式來量測雲端服務的安全水準。

2013年11月11日 星期一

[專欄] 自我評估雲端服務安全 - 雲端控制矩陣安全措施簡介(一)

如果您想要了解雲端服務供應商的安全水準,藉由雲端安全聯盟所提出的雲端開放認證架構(OCF),可以作為在選擇服務廠商時的參考,因此這對於廠商而言,確實了解雲端控制矩陣(CCM)的要求,並且回應已實施的安全控制措施,就顯得十分重要。 

上一期我們介紹了雲端安全開放認證架構(Open Certification Framework;OCF),它是一個可以用來評估雲端服務供應商的安全認證標準,在其所要求的三層式架構中,第一步就是要自我描述各項針對雲端服務的安全要求和因應措施,然後將它傳送到CSA的註冊管理單位(STAR Registry)進行審查,在此一層次中,除了使用自我評估問卷(Consensus Assessments Initiative Questionnaire;CAIQ)之外,直接採用雲端控制矩陣(Cloud Controls Matrix;CCM)所要求的安全控制,更可為第二層需要面對的外部稽核,預先做好準備。