對雲端服務供應商而言,如果想要展現出高度的資安管理成熟度,唯有藉由第三方獨立公正的稽核,並且進一步取得國際認可的認證,才是最佳的解決方案,除了可以強化本身的市場競爭力,也能夠滿足客戶對於資安的期盼與要求。
最後,每一個控制領域的得分將會加以平均,若是平均得分低於3分,就無法獲得任何的獎牌;如果平均得分為3?6分,將可取得銅牌;平均得分為6?9分則為銀牌;如果達到9分以上,則可獲得金牌。一旦獲得了CSA STAR認證的獎牌,雲端服務供應商就可將它展現給客戶,以達到市場的競爭力並且建立正面形象。
合格稽核員以專業給出評分
對於STAR稽核員而言,雲端安全的成熟度評估不但考驗專業能力,更是一項實務挑戰,因此在能力要求方面,執行STAR驗證的稽核員在資訊安全領域至少要有二年以上的工作經驗,並且要通過ISO 27001主導稽核員課程考試,或是已經被國際驗證機構認可為合格且具有經驗的ISO 27001稽核員,同時,也必須要完成由BSI和CSA共同開設的CCM訓練課程。
當業者在申請進行STAR驗證時,為了確保專業性和對組織的有效性,建議最好選擇已取得CCSK雲端安全知識認證的稽核員,這樣一來在實施評估時會更有利於專業評分的進行,因為執行STAR驗證的稽核員,除了要查核所有CCM要求的雲端安全控制領域,也要基於風險評鑑和來自內部與第三方的要求來進行評估。稽核員還需要依據管理成熟度的五個要素,對每個控制措施分別給出1?15的分數,並且查驗業者所提出對應的相關證據,這些都需要足夠的雲端安全知識才可有效進行。
此外要注意的是,在實施稽核的過程中,業者可能會質疑有些成熟度要素無法直接對應至明確的控制措施,例如資料治理領域中的「DG-06 非生產環境資料」,這個控制措施是要求生產環境中的資料不應被同步複製或使用在非生產環境之中,它與「負責態度、領導能力和管理」這一個成熟度要素,看起來似乎沒有直接的關聯。
不過,事實上在進行查核的時候,稽核員會從整體的資料治理措施來進行評估,像是配合「DG-01 擁有權和管理職責」這個控制措施,先確認業者是否有足夠的證據來顯示所有資料都已被明確指派定義、記錄和溝通其管理職責,然後再給予DG-06這一個控制措施評分,這也就是表示,對雲端服務供應商來說,所有成熟度的要素都是無法忽略的,必須要力求完整呈現在每個控制措施中,才有機會取得高分。
及早取得認證以搶佔市場先機
雲端服務供應商如果想要及早取得STAR認證,必須先確認其所提供的雲端服務,已在ISO 27001認證的範圍之內,然後實施CCM的安全控制要求,以CCM v1.4而言,它涵蓋了11項控制領域,其中包括了98個安全控制措施,這些控制措施也都可以參照ISO 27001本文和附錄A的內容,彼此達到互補的功能。
目前,全球已經有三個組織順利取得了由BSI所頒發的STAR認證,分別是英國的惠普(HP)與脈動(Pulsant),兩家皆取得了銀牌,在亞洲有一家是阿里雲,它獲得了第一面金牌。預計在2014年第二季之後,台灣也將會有業者來取得這項認證。未來,雲端服務供應商可藉由STAR認證來展現自己的安全成熟度以贏得客戶的信心,而消費者也將多了一項管道,可以得知所選擇的雲端服務業者是否有足夠的能量來確保所需的資訊安全,這對於雲端服務的長遠發展,可算是一項福音。
<本文作者:花俊傑,曾任IT雜誌主編、資安顧問,擁有CISSP、CISA、CISM、CEH、CCSK、CIPP/IT等國際認證,自詡為資安傳教士,樂於分享資安心得,讀者可透過jackforsec@gmail.com與之聯繫。>