<thead id="zpvpl"></thead>
<sub id="zpvpl"></sub><sub id="zpvpl"></sub>
<thead id="zpvpl"></thead>

<sub id="zpvpl"></sub><thead id="zpvpl"></thead>

    <sub id="zpvpl"></sub>

    <thead id="zpvpl"></thead><address id="zpvpl"></address>

    C-STAR云安全認證


    C-STAR云安全評估

      一、C-STAR 云安全評估概述

      CSA(Cloud Security Alliance)在2012“安全云”大會(SecureCloud 2012conference)上正式發布了其開放認證框架(Open CertificationFramework,OCF),以幫助云服務提供商提升其云安全實踐的透明度,提高云服務的市場可信度,增強云服務于用戶的安全信心,以便企業和個人用戶接受和使用所提供的云服務。OCF包括安全、信任和保證注冊(Security、Trust and AssuranceRegistry ,STAR)三個方面的內容,可分為三個層次,每一個層次將為云服務供應商提供增量級別的信任與透明度,也為云用戶提供更高級別的安全保障,OCF構成如圖1所示。

      http://www.ceprei.org/gzsbrz201606272593/uploadfiles/2016/11/201611211134533453.png

      圖1 CSA開放認證框架

     ?。?)第一級是自我評估。云服務提供商可以在CSA官網注冊并提交自評估報告,證明自身實施的安全控制符合CSA的要求。

     ?。?)第二級為獨立第三方認證。由第三方機構進行認證,確保供應商能夠滿足CSA云安全控制矩陣(Cloud Controls Matrix,CCM) [30]要求,其中CCM可視為在傳統ISO27001安全控制要求的基礎上的補充和增強。

     ?。?)第三級為持續監控。云服務提供商公布基于CSA云計算信任協議(The Cloud Trust Protocol,CTP)的安全監控結果,對云服務相關安全要求進行持續的審計和評估。

      

    為協助云服務提供者展現其云服務安全水平及安全管理成熟度,賽寶認證中心(CEPREI,后簡稱賽寶)于2014年與CSA正式開始合作,針對OCF第2等級開展第三方評估認證,即C-STAR云安全評估。云安全評估認證采用云計算信息安全的行業黃金標準----CSA最新發布的云控制矩陣(CCM),結合國內相關法律法規(如等級保護和個人信息安全規范等)等和GB/T22080標準要求,有效評估云服務的安全狀況,并用云計算信息安全管理的最佳實踐指導企業提升云服務信息安全水平,從而將云服務的信息安全隱憂大幅降低。C-Star的構成如圖2。

      圖2:C-STAR構成圖

      C-STAR評估依據CSA最新發布的云安全控制矩陣CCM V4,結合國內相關法律法規和標準要求,形成C-STAR云安全控制矩陣,從審計&保障、應用程序和接口安全、業務連續性管理和運營彈性、變更控制和配置管理、數據安全和隱私生命周期管理等17個云安全控制領域,對云服務的安全控制狀況進行系統評估。同時,為了幫助企業對云安全管理成熟度進行評估和持續改進,引入了云安全管理成熟度評價(將在形成的評估報告中給出成熟度評估得分),對C-STAR云安全控制矩陣中的安全控制措施進行成熟度評分并劃分為5個等級,不同分數等級代表云服務提供商的安全控制的管理成熟度水平。

      企業如若通過C-STAR評估,則可獲得賽寶與CSA聯合頒發的C-STAR云安全證書、獲得CSA官網證書注冊并受到國際認可、獲取云安全管理成熟度報告,通過云安全評估,提高云安全管理水平,減少可能潛在的風險隱患,保障業務持續開展與緊急恢復,更好的滿足顧客的云安全要求。并證明云安全水平領先于云服務提供者行列,滿足顧客的云安全要求,保障云服務業務安全有效開展,獲取云服務行業競爭優勢。

      二、C-STAR認證

     ?。ㄒ唬?C-STAR評估方法

      

    C-STAR對17個控制域評估(如圖3),依據評估的評分結果將云服務的信息安全管理狀況分五級,最終形成各個控制域的成熟度等級。

      圖3:CCM控制域組成圖

      針對CCM的某一控制域,分析各條控制措施及與之關聯的管理過程中的管理、測量和制度化,判定其表現出的特征是否滿足某一能力級別要求,如果滿足,則可判定此項控制措施處于對應的能力級別。評估人員需要對一個控制域中所有的控制措施進行合理評估,以確保組織已基于風險評估,對風險實施了適當的安全控制。如果CCM中的一項安全控制措施沒有切實落地,提供商需要證明該項控制措施為何沒有包含在他們的風險評估/適用性聲明中,或者為何沒有實施補償控制。

      C - STAR認證針對17個控制域評估,依據審核的評分結果將云服務的信息安全管理狀況分為五個等級:

      評分結果

      等級描述

      1級

      不安全

      2級

      被動安全級

      3級

      主動安全級

      4級

      改進提升級

      5級

      系統優化級

     ?。ǘ┱J證程序

      進行C-STAR云安全評估時,組織應向賽寶提供評估所需的充分信息,對于多現場應說明各現場的認證范圍、地址及人員分布等情況,賽寶將以抽樣的方式對多現場進行審核;組織如要求,可向賽寶提出預審核的申請;評估分兩個階段進行:第一階段,主要進行文件審核并確認第二階段審核準備的充分性;第二階段,主要對體系的符合性和有效性進行評價,做出現場審核的推薦結論。C-STAR云安全評估流程如下圖4所示。

      http://www.ceprei.org/gzsbrz201606272593/uploadfiles/2016/11/20161121113606366.png

      圖4:C-STAR云安全評估流程

      企業在推行C-STAR之前,應結合本企業實際情況,對上述各推行步驟進行周密的策劃,并給出時間上和活動內容上的具體安排,以確保得到更有效的實施效果。通常至少要有三個月的有效運行數據。企業經過若干次內審并逐步糾正后,若認為所建立的云安全管理體系已符合C-Star的要求(具體體現為內審所發現的不符合項較少時),便可申請外部認證。

      三、C-STAR作用

      賽寶基于數十年的信息安全管理領域的經驗,結合CSA的研究成果開發出了C-STAR評估服務。C-STAR作為國內首個全球性認可的云安全評估認證,受到了來自中科曙光、金山、浪潮、平安、用友、北森等業界知名企業的高度認可,并且在全國范圍內受到了廣泛的關注。

      C-STAR采用云計算信息安全的行業黃金標準----CSA發布的云控制矩陣(CCM),評估過程采用國際先進的成熟度等級評價模型,同時結合國內相關法律法規和標準要求,對云計算服務進行全方位的安全評價。將有效提升云計算服務的安全水平、管理策略,改進企業安全目標和防范措施,從而將云計算服務的信息安全隱憂大幅降低。

     ?。?)采用行業最佳云安全實踐(CCM),提高安全控制水平

     ?。?)證明安全水平領先于云服務提供者行列

     ?。?)保持云服務業務持續發展和競爭優勢

     ?。?)更好的滿足顧客的云安全要求

     ?。?)降低安全風險、減少損失、降低成本

     ?。?)維護企業的聲譽、品牌和客戶信任

      四、賽寶能力

      賽寶&CSA的聯合授權,全球市場接受度高。CSA已在全球其它范圍內開展云計算安全認證,但在中國市場尚未開展有效的認證業務,賽寶&CSA的聯合授權認證,讓企業云安全成為云計算信息安全認證體系的樣板工程,并能得到國際市場和機構的認可,有效提升企業的市場推廣和宣傳效果、助力開拓和發展國內外市場。

      豐富的實施經驗,保障企業的云計算安全。賽寶是國內領先的信息安全管理體系實施機構,具有長達數十年的信息安全管理實施經驗;CSA是國際知名的云安全服務機構,其云安全標準得到了業界的廣泛認可。通過賽寶實施云安全管理體系標準的培訓、審核和認證,使企業的云計算安全得到有效保障。

       

    女高中生被蹂躏玩弄,亚洲AV无码成人毛片一级,国产成人无码AV一区二区在线