2014年7月22日 星期二

[專欄] 展現雲端服務的安全成熟度 - 及早取得STAR認證

對雲端服務供應商而言,如果想要展現出高度的資安管理成熟度,唯有藉由第三方獨立公正的稽核,並且進一步取得國際認可的認證,才是最佳的解決方案,除了可以強化本身的市場競爭力,也能夠滿足客戶對於資安的期盼與要求。 

隨著雲端運算的蓬勃發展,許多企業紛紛採用了雲端服務,以便降低營運支出成本,或是達成過去缺少資源所能達到的目標。若是從企業高層的治理與管理角度來看,一旦企業導入了雲端服務,並且與本身的業務運作相互結合,那麼就必須評估這項服務,是否會對企業產生無法控制的風險,也就是說,企業需要考慮採用了雲端服務,如果發生了資訊安全的問題,是否將對企業造成衝擊與影響。 

因此,選擇一個安全可靠且值得信賴的雲端服務供應商,就成為企業在採用雲端服務時,也能降低營運風險的必要做法。只是,面對市場上眾多的雲端服務業者,到底應該要如何挑選,才能找到品質與安全兼顧的良好夥伴,就成為企業在評估時的頭痛問題。幸好,在2013年年底,針對雲端服務供應商的安全要求,雲端安全聯盟(CSA)與英國標準協會(BSI)正式宣布推出STAR認證,這項認證結合了ISO 27001資訊安全管理系統標準的要求,並且藉由實施雲端控制矩陣(Cloud Control Matrix;CCM),再以成熟度評估的方式來量測出雲端服務的安全水準。

2014年7月18日 星期五

[新知] 雲端安全聯盟正式發佈CCM和CAIQ v.3.0.1

雲端安全聯盟(CSA)已正式發佈更新版本的 Cloud Controls Matrix (CCM) 和 Consensus Assessments Initiative Questionnaire (CAIQ) v.3.0.1,有興趣的朋友可以自行至CSA的網站下載這兩項文件。

CCM v.3.0.1 - https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1/

CAIQ v.3.0.1 - https://cloudsecurityalliance.org/download/consensus-assessments-initiative-questionnaire-v3-0-1/

新版的雲端控制矩陣CCM提供了雲端服務供應商基本的安全原則,可以協助業者自行評估所面臨的雲端風險,在CCM v.3.0.1中包括了16項安全領域和基本的安全控制措施,並且可以和業界與國際標準相互參照,以減少稽核時的重覆性與複雜性。

不同於v.3.0的新版主要更新重點如下:
  • 新版CCM更新為16項安全領域,並且對應至常見的其他標準,如AICPA 2014 TSC, COBIT 5.0, ISO/IEC 27001:2013等。 
  • 新版CCM整合了重覆的控制措施,從舊版v.3.0的136個減少至133個,同時重新改寫了控制措施內容,讓目的更清楚,並且可以滿足STAR認證的要求。
  • 新版的CAIQ則提供了更簡要清楚的問題內容,並且對應至CCM和雲端運算安全指南v3.0的內容,讓雲端服務供應商可以更容易地進行自我評估,以滿足客戶的期待與要求。

2014年7月9日 星期三

[專欄] 雲端控制矩陣安全措施簡介(八) - 強化雲端安全架構 從底層打好強健基礎

上一篇我們說明了在雲端控制矩陣之中,有關發行安全管理和災難回復能力之要求,本期將說明有關雲端安全控制要求的最後一項-安全架構之內容。 

在雲端控制矩陣中的第十一項是針對安全架構的要求,希望藉由強化底層的網路基礎設施與應用程式,以減少營運時可能面臨的安全風險。以下將說明安全架構中的15個控制措施,以及可對應參考的ISO 27001標準與實務建議。