ISO 27001的更新,基本上和FDIS的內容差不多,所以我就不多說了,目前BSI也已經開始提供新版的訓練課程,至於轉版課程可能還要再等等。對我而言,最讓我感到有興趣的,其實是BSI對於雲端安全成熟度的評估方法,這將會決定想要取得STAR認證的雲端服務供應商,如何獲得其績效得分與獎牌。
關於STAR認證
在2013年9月25日,CSA和BSI正式宣布推出STAR認證(STAR Certification),這項認證結合了ISO 27001管理系統標準的要求,藉由實施雲端控制矩陣(Cloud Control Matrix;CCM),再以成熟度評估的方式來量測雲端服務的安全水準。
對雲端服務供應商來說,想要取得STAR認證,需要具備以下三個條件:
1. 已取得ISO 27001認證
2. 導入CCM的安全控制要求
3. 已達到成熟度評估的水準
因此,雲端服務供應商必須確認其所提供的雲端服務,已在ISO 27001認證的範圍之內,然後實施CCM的安全控制要求,以CCM v1.4而言,它涵蓋了法規遵循、資料治理、設施及場所安全、人力資源安全、資訊安全、法律議題、營運管理、風險管理、發行管理、回復能力和安全架構等11項控制領域,其中包括了98個安全控制措施,這些控制措施都可參照ISO 27001本文和附錄A的內容,彼此達到互補的功能。
關於雲端安全成熟度
如果組織對自己的雲端安全管理有信心,接下來就可以請BSI來實施獨立的第三方驗證,BSI將以成熟度評估方式,針對CCM的11項控制領域,分別依據以下五個管理能力來進行評分:
- 溝通和利害關係人的參與
- 政策、計劃、程序及系統化方法
- 技巧和專業能力
- 負責態度、領導能力和管理
- 監控與量測
- 無正式實施方法(1-3分) : 指沒有證據顯示在營運和管理方面,針對服務的存取、身分識別、權限的指派已有相關的作業程序。
- 被動式實施方法(4-6分) : 指證據僅顯示在營運和作業流程方面,每當作業方式變更時,相關文件化的程序才會隨之改變。
- 主動式實施方法(7-9分) : 指組織已採取文件化的計畫方式,並涵蓋了所有控制領域。
- 持續改進實施方法(10-12分) : 指有證據顯示針對營運持續議題,以及可能的安全事件,加以識別並且實施了風險分析。
- 最佳化實施方法(13-15分) : 所有的政策、作業程序及計畫發展,皆與營運策略維持一致。
根據BSI表示,目前全球已有三個組織正式取得了STAR認證,英國兩家為惠普(HP)與脈動(Pulsant),亞洲一家是阿里巴巴,三家都取得了銀牌。預計在2014年第二季,台灣預計也會有2~3家取得這項認證。所以,雲端服務供應商可藉由STAR認證來展現自己的安全成熟度,以贏得客戶的信心;而消費者也多了一項管道,可以得知所選擇的服務廠商,是否有足夠的能量來確保資訊安全,這對雙方來說的確是一項福音。
資料來源 : CSA官方網站、BSI英國標準協會
沒有留言:
張貼留言