準備因應CCM稽核 及早取得STAR認證

因此，選擇一個安全可靠且值得信賴的雲端服務供應商，就成為企業在採用雲端服務時，降低營運風險的必要做法。只是，面對市場上眾多的雲端服務業者，到底應該要如何挑選，才能找到品質與安全兼顧的良好夥伴，就成為企業在評估時的頭痛問題。

幸好，在2013年年底，針對雲端服務供應商的安全要求，雲端安全聯盟（CSA）與英國標準協會（BSI）正式宣布推出STAR認證，這項認證結合了ISO 27001資訊安全管理系統標準的要求，並且藉由實施雲端控制矩陣（Cloud Control Matrix，CCM），再以成熟度評估的方式來量測出雲端服務的安全水準。

取得STAR認證的必要條件

雲端安全聯盟指出，「STAR認證是以達成ISO 27001和雲端控制矩陣所列出的一系列準則作為基礎，此一矩陣共有11項控制領域，涵蓋了法規遵循、資料治理、設施及場所安全、人力資源安全、資訊安全、法令法規、營運管理、風險管理、發行管理、恢復能力及安全架構。」對雲端服務供應商來說，如果想要取得STAR認證，需要具備以下三個條件：

1. 已取得ISO 27001認證：ISO 27001主要是從資訊安全的角度出發，要求雲端服務供應商基於客戶的安全期許與要求，在所提供的雲端服務範圍內，導入系統化的資訊安全管理制度，業者必須要識別服務中所面臨的風險，實施適當的安全控制措施，以降低風險至可以接受的程度。因此，ISO 27001的認證範圍，也就不得小於STAR認證的範圍。

2. 導入CCM的安全控制要求：CCM是針對雲端服務中的各項特定的重要領域，實施對應的安全控制措施，以便確保業者所提供的雲端服務已具備足夠的安全防護，降低資訊安全的風險。

3. 達到成熟度評估的水準：業者必須申請由第三方獨立驗證機構來進行安全成熟度的評估，這項做法可以確保CCM並非只是最低的自我安全要求，而是能夠展現在各個雲端安全控制領域中，已有運行良好的管理活動，確保安全問題能夠持續地獲得關注和改善。

雲端安全成熟度評估的要素

雲端服務供應商如果想要通過STAR驗證，就必須在所有CCM要求的控制領域中，展現已經實施的安全做法與相關證據，若是組織對於自己的雲端安全管理有信心，接下來就可以申請實施獨立的第三方驗證，BSI將以管理成熟度評估方式，針對CCM的每一項控制領域來進行查驗，至於CCM的實務措施與做法，讀者可以參照先前一系列有關雲端控制矩陣之介紹文章。

基本上，在雲端控制矩陣的每一項的控制領域裡，稽核員都會分別依據以下五個管理要素來進行評分：

• 溝通和利害關係人的參與
• 政策、計畫、程序及系統化方法
• 技巧和專業能力
• 負責態度、領導能力和管理
• 監控與量測

‧無正式實施方法 （No Formal Approach） : 若只有很少的證據可顯示在營運和管理方面，已有相關的計畫、流程、政策及作業程序，將獲得1分；如果業者已實施了效果有限的作業流程，可獲得2分；在一些關鍵的區域中，作業流程已被實施和遵從，將可得到3分。

‧被動式實施方法 （Reactive Approach） : 若有一些證據顯示，某些員工對於關鍵區域的主要控制要求已經有所了解，將獲得4分；如果大多數的計畫、流程、政策及程序都已更新，可獲得5分；有證據顯示這些的計畫、流程、政策及程序已經被實施和遵從，將可得到6分。

‧主動式實施方法 （Proactive Approach） : 若業者已有廣泛的計畫、流程、政策及程序，並已涵蓋了大多數的控制和作業區域，將獲得7分；如果計畫、流程、政策及程序已被定期的檢視審查，可獲得8分；員工已熟知並且能找出對應的計畫、流程、政策及程序，將可得到9分。

‧持續改進實施方法 （Improvement-Based Approach） : 若有證據顯示相關的計畫、流程、政策及程序，已經涵蓋日常的作業和緊急應變措施，將獲得10分；如果針對營運活動可能的風險，對於相關計畫、流程、政策及程序已進行檢視審查，可獲得11分；員工能夠主動地涉入風險管理和風險消除，將可得到12分。

‧最佳化實施方法 （Optimising Approach） : 針對營運活動的改變，管理階層對於相關計畫、流程、政策及程序皆有強健的領導力和因應做法，將獲得13分；如果相關計畫、流程、政策及程序已與組織外的最佳實務做法進行比較，可獲得14分；相關的計畫、流程、政策及程序，皆能與營運願景維持一致，並且獲得了正面評價，將可得到15分。