科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全CSA为服务提供商发布云安全认证倡议

CSA为服务提供商发布云安全认证倡议

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

CSA在德国举行的2012年安全云会议上宣布了其开放式的认证框架(Open Certification Framework)。该框架旨在使云供应商实施的安全控制认证符合CSA的指导。

来源:TechTarget中国 2012年6月19日

关键字: 云安全 CSA

  • 评论
  • 分享微博
  • 分享邮件

  上周,CSA在德国举行的2012年安全云会议上宣布了其开放式的认证框架(Open Certification Framework)。该框架旨在使云供应商实施的安全控制认证符合CSA的指导。CSA执行总监Jim Reavis在接受电话采访中说道,该项目与标准制定机构(比如ISO)合作,既可以为云服务提供商提供认证,又可以提供独立的认证。

  例如,该框架将提供划定范围的文件,使提供商能够获得包含了CSA云控制矩阵(CSA Cloud Controls Matrix)的ISO27001认证,他说道。 它还将提供针对集成了CCM(SSAE 16取代了SAS 70)的SSAE 16认证的指导。以上各情况下产生的认证都能够得到CSA的认同。

  Reavis表示,为供应商提供的CSA云安全认证越来越专用,涉及到现有安全、信任和保证注册(Security、Trust and Assurance Registry ,STAR),并考虑到一级自我评估,类似于PCI数据结构的安全标准。CSA在去年发布的STAR是让云服务提供商安全控制在线注册。目前为止,STAR有一些参与者,包括微软和Solutionary。

  Reavis表示,非营利机构CSA尚未决定是否用自己的第三方认证评估。他说道,虽然美国通过FedRAMP已经开发出一个云提供商安全框架,但CSA正在与其他国家合作,基于CSA GRC堆栈和STAR开发他们自己的框架。

  “看上去不会由一个认证来控制一切,”Reavis表示,“很明显,在我们跟不同的政府谈话中,一些想要向国际标准看齐,但又有一些想要自己掌控的标准。我们很乐意为他们提供需要的,帮他们建立自己的框架。”

  提倡开放认证框架有好的一面也有坏的一面,他补充道。从积极的一面来看,CSA已收到越来越多来自政府机构和私营部门针对云供应商认证的请求。“他们说,‘我们喜欢你所做的工作,并想推广STAR,但我们需要更多细节,需要看到更为具体的认证。’”

  消极的一见面是,CSA受到越来越多的关注,如果等待时间过长,一些地区组织和一些营利性实体将很快为提供商宣布云安全认证,而不遵循适当的最佳实践。他说,“我们不想因此成为最简单的方法,导致认证缺乏完整性。”

  CSA计划在9月的CSA欧洲大会上发布一个详细的开放认证框架规划图。该规划中将包含一个连续控制监测计划,Reavis说这是必不可少的。他预计可在明年第二季度发布第一个供应商认证。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章