[專欄] 雲端控制矩陣安全措施簡介(二) - 評估設備場所與人力資源安全

上一次我們介紹了雲端控制矩陣(CCM)針對法規遵循與資料治理的要求，並一一說明了對應的安全控制措施，接下來將繼續說明控制區域中的第三項設備場所安全，以及第四項人力資源安全的各項控制做法。

對雲端服務供應商而言，如果已經導入並取得了ISO 27001資訊安全管理系統的認證，那麼將相關的資訊安全控制要求，也涵蓋到所提供的雲端服務範圍之內，將是組織最容易強化雲端安全的做法。

目前，在雲端控制矩陣中的每一項控制措施，都可直接對應至ISO 27001的標準，因此建議組織將ISO 27001標準的實務做法，回應至雲端開放認證架構的第二層要求，在未來若想要通過第三方的獨立稽核時，就可達到事半功倍的效果。

[活動] BSI年會 - 雲端安全STAR認證正式開跑

今天參加了連續第十年舉辦的英國標準協會(BSI)年會，現場依舊是人潮滿滿、座無虛席。本次年會的重點在於說明有關ISO 27001:2013的更新內容，以及BSI與雲端安全聯盟(CSA)所合作推動的STAR認證。 

ISO 27001的更新，基本上和FDIS的內容差不多，所以我就不多說了，目前BSI也已經開始提供新版的訓練課程，至於轉版課程可能還要再等等。對我而言，最讓我感到有興趣的，其實是BSI對於雲端安全成熟度的評估方法，這將會決定想要取得STAR認證的雲端服務供應商，如何獲得其績效得分與獎牌。 

關於STAR認證

在2013年9月25日，CSA和BSI正式宣布推出STAR認證(STAR Certification)，這項認證結合了ISO 27001管理系統標準的要求，藉由實施雲端控制矩陣(Cloud Control Matrix；CCM)，再以成熟度評估的方式來量測雲端服務的安全水準。

[專欄] 自我評估雲端服務安全 - 雲端控制矩陣安全措施簡介(一)

如果您想要了解雲端服務供應商的安全水準，藉由雲端安全聯盟所提出的雲端開放認證架構(OCF)，可以作為在選擇服務廠商時的參考，因此這對於廠商而言，確實了解雲端控制矩陣(CCM)的要求，並且回應已實施的安全控制措施，就顯得十分重要。 

上一期我們介紹了雲端安全開放認證架構(Open Certification Framework；OCF)，它是一個可以用來評估雲端服務供應商的安全認證標準，在其所要求的三層式架構中，第一步就是要自我描述各項針對雲端服務的安全要求和因應措施，然後將它傳送到CSA的註冊管理單位(STAR Registry)進行審查，在此一層次中，除了使用自我評估問卷(Consensus Assessments Initiative Questionnaire；CAIQ)之外，直接採用雲端控制矩陣(Cloud Controls Matrix；CCM)所要求的安全控制，更可為第二層需要面對的外部稽核，預先做好準備。