隨著雲端運算的蓬勃發展,許多企業紛紛採用了雲端服務,以便降低營運支出成本,或是達成過去缺少資源所能達到的目標。若是從企業高層的治理與管理角度來看,一旦企業導入了雲端服務,並且與本身的業務運作相互結合,那麼就必須評估這項服務,是否會對企業產生無法控制的風險,也就是說,企業需要考慮採用了雲端服務,如果發生了資訊安全的問題,是否將對企業造成衝擊與影響。
因此,選擇一個安全可靠且值得信賴的雲端服務供應商,就成為企業在採用雲端服務時,也能降低營運風險的必要做法。只是,面對市場上眾多的雲端服務業者,到底應該要如何挑選,才能找到品質與安全兼顧的良好夥伴,就成為企業在評估時的頭痛問題。幸好,在2013年年底,針對雲端服務供應商的安全要求,雲端安全聯盟(CSA)與英國標準協會(BSI)正式宣布推出STAR認證,這項認證結合了ISO 27001資訊安全管理系統標準的要求,並且藉由實施雲端控制矩陣(Cloud Control Matrix;CCM),再以成熟度評估的方式來量測出雲端服務的安全水準。
取得STAR認證的必要條件
雲端安全聯盟指出,「STAR認證是以達成ISO 27001和雲端控制矩陣所列出的一系列準則作為基礎,此一矩陣共有11項控制領域,涵蓋了法規遵循、資料治理、設施及場所安全、人力資源安全、資訊安全、法令法規、營運管理、風險管理、發行管理、恢復能力及安全架構」。
對雲端服務供應商來說,如果想要取得STAR認證,需要具備以下三個條件:
- 已取得ISO 27001認證:ISO 27001主要是從資訊安全的角度出發,要求雲端服務供應商基於客戶的安全期許與要求,在所提供的雲端服務範圍內,導入系統化的資訊安全管理制度,業者必須要識別服務中所面臨的風險,實施適當的安全控制措施,以降低風險至可以接受的程度。因此,ISO 27001的認證範圍,也就不得小於STAR認證的範圍。
- 導入CCM的安全控制要求:CCM是針對雲端服務中的各項特定的重要領域,實施對應的安全控制措施,以便確保業者所提供的雲端服務已具備足夠的安全防護,降低資訊安全的風險。
- 達到成熟度評估的水準:業者必須申請由第三方獨立驗證機構來進行安全成熟度的評估,這項作法可以確保CCM並非只是最低的自我安全要求,而是能夠展現在各個雲端安全控制領域中,已有運行良好的管理活動,確保安全問題能夠持續地獲得關注和改善。
雲端安全成熟度評估的要素
雲端服務供應商如果想要通過STAR驗證,就必須在所有CCM要求的控制領域中,展現已經實施的安全作法與相關證據,若是組織對於自己的雲端安全管理有信心,接下來就可以申請實施獨立的第三方驗證,BSI將以管理成熟度評估方式,針對CCM的每一項控制領域來進行查驗,至於CCM的實務措施與做法,讀者可以參照先前一系列有關雲端控制矩陣之介紹文章。
基本上,在雲端控制矩陣的每一項的控制領域裡,稽核員都會分別依據以下五個管理要素來進行評分:
- 溝通和利害關係人的參與
- 政策、計劃、程序及系統化方法
- 技巧和專業能力
- 負責態度、領導能力和管理
- 監控與量測
以CCM v1.4來說,業者在11項的控制領域中,就會獲得11項1-15分不等的分數,而每一項分數都是取決於五個管理要素所獲得的評分結果。以「政策、計劃、程序及系統化方法」的管理要素為例,其評分所依據的準則如下。
- 無正式實施方法 (No Formal Approach) : 若只有很少的證據可顯示在營運和管理方面,已有相關的計畫、流程、政策及作業程序,將獲得1分;如果業者已實施了效果有限的作業流程,可獲得2分;在一些關鍵的區域中,作業流程已被實施和遵從,將可得到3分。
- 被動式實施方法 (Reactive Approach) : 若有一些證據顯示,某些員工對於關鍵區域的主要控制要求已經有所了解,將獲得4分;如果大多數的計畫、流程、政策及程序都已更新,可獲得5分;有證據顯示這些的計畫、流程、政策及程序已經被實施和遵從,將可得到6分。
- 主動式實施方法 (Proactive Approach) : 若業者已有廣泛的計畫、流程、政策及程序,並已涵蓋了大多數的控制和作業區域,將獲得7分;如果計畫、流程、政策及程序已被定期的檢視審查,可獲得8分;員工已熟知並且能找出對應的計畫、流程、政策及程序,將可得到9分。
- 持續改進實施方法 (Improvement-Based Approach) : 若有證據顯示相關的計畫、流程、政策及程序,已經涵蓋日常的作業和緊急應變措施,將獲得10分;如果針對營運活動可能的風險,對於相關計畫、流程、政策及程序已進行檢視審查,可獲得11分;員工能夠主動地涉入風險管理和風險消除,將可得到12分。
- 最佳化實施方法 (Optimising Approach) : 針對營運活動的改變,管理階層對於相關計畫、流程、政策及程序皆有強健的領導力和因應做法,將獲得13分;如果相關計畫、流程、政策及程序已與組織外的最佳實務做法進行比較,可獲得14分;相關的計畫、流程、政策及程序,皆能與營運願景維持一致,並且獲得了正面評價,將可得到15分。
最後,每一個控制領域的得分將會加以平均,若是平均得分低於3分,就無法獲得任何的獎牌;如果平均得分為3~6分,將可取得銅牌;平均得分為6~9分則為銀牌;如果達到9分以上,則可獲得金牌。一旦獲得了CSA STAR認證的獎牌,雲端服務供應商就可將它展現給客戶,以達到市場的競爭力並且建立正面形象。
合格稽核員以專業給出評分
對於STAR稽核員而言,雲端安全的成熟度評估不但考驗專業能力,更是一項實務挑戰,因此在能力要求方面,執行STAR驗證的稽核員在資訊安全領域,至少要有二年以上的工作經驗,並且要通過ISO 27001主導稽核員課程考試,或是已經被國際驗證機構認可為合格且具有經驗的ISO 27001稽核員,同時,也必須要完成由BSI和CSA共同開設的CCM訓練課程。
當業者在申請進行STAR驗證時,為了確保專業性和對組織的有效性,建議最好選擇已取得CCSK雲端安全知識認證的稽核員,這樣一來在實施評估時會更有利於專業評分的進行,因為執行STAR驗證的稽核員,除了要查核所有CCM要求的雲端安全控制領域,也要基於風險評鑑和來自內部與第三方的要求來進行評估,稽核員還需要依據管理成熟度的五個要素,對每個控制措施分別給出1~15的分數,並且查驗業者所提出對應的相關證據,這些都需要足夠的雲端安全知識才可有效進行。
此外要注意的是,在實施稽核的過程中,業者可能會質疑有些成熟度要素無法直接對應至明確的控制措施,例如資料治理領域中的「DG-06 非生產環境資料」,這個控制措施是要求生產環境中的資料不應被同步複製或使用在非生產環境之中,它與「負責態度、領導能力和管理」這一個成熟度要素,看起來似乎沒有直接的關聯。不過,事實上在進行查核的時候,稽核員會從整體的資料治理措施來進行評估,像是配合「DG-01 擁有權和管理職責」這個控制措施,先確認業者是否有足夠的證據來顯示所有資料都已被明確指派定義、記錄和溝通其管理職責,然後再給予DG-06這一個控制措施評分,這也就是表示,對雲端服務供應商來說,所有成熟度的要素都是無法忽略的,必須要力求完整呈現在每個控制措施中,才有機會取得高分。
及早取得認證以搶佔市場先機
雲端服務供應商如果想要及早取得STAR認證,必須先確認其所提供的雲端服務,已在ISO 27001認證的範圍之內,然後實施CCM的安全控制要求,以CCM v1.4而言,它涵蓋了11項控制領域,其中包括了98個安全控制措施,這些控制措施也都可以參照ISO 27001本文和附錄A的內容,彼此達到互補的功能。
目前,全球已經有三個組織順利取得了由BSI所頒發的STAR認證,分別是英國的惠普(HP)與脈動(Pulsant),兩家皆取得了銀牌,在亞洲有一家是阿里雲,它獲得了第一面金牌。預計在2014年第二季之後,台灣也將會有業者來取得這項認證。未來,雲端服務供應商可藉由STAR認證來展現自己的安全成熟度,以贏得客戶的信心,而消費者也將多了一項管道,可以得知所選擇的雲端服務業者,是否有足夠的能量來確保所需的資訊安全,這對於雲端服務的長遠發展,可算是一項福音。(本文刊載於2014年3月號網管人雜誌)
沒有留言:
張貼留言