C-STAR云计算安全评估认证以ISO/IEC 27001认证为基础,结合云端安全控制矩阵CCM的要求,运用BSI提供的成熟度模型和评估方法,为提供和使用云计算的任何组织,从沟通和利益相关者的参与;策略、计划、流程和系统性方法;技术和能力;所有权、领导力和管理;监督和测量等5个维度,综合评估组织云端安全管理和技术能力,最终给出独立第三方外审结论。
1. 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。
2. 申请方的信息技术安全管理体系已按C-STAR云安全标准的要求建立,并实施运行3个月以上。
3. 至少完成一次对云安全影响进行评估、内部审核,并进行了管理评审。
4. 云安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
5. 企业受到行政处罚,已经处理掉了,没有暂停营业
6. 申请范围不超出资质许可范围、不超出认证机构的业务范围;
7. 无违规转机构、无违法、无失信;
8. 申报人数与实际人数相差不超出20%;
9.提供企业业务相关的必备资质:如系统集成资质、安防资质等,并且保证资质的有效性和合法性。
进行C-STAR云安全评估时,组织应向赛宝提供评估所需的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况,赛宝将以抽样的方式对多现场进行审核;组织如要求,可向赛宝提出预审核的申请;评估分两个阶段进行:第一阶段,主要进行文件审核并确认第二阶段审核准备的充分性;第二阶段,主要对体系的符合性和有效性进行评价,作出现场审核的推荐结论。C-STAR云安全评估流程如下图6所示。
企业在推行C-STAR之前,应结合本企业实际情况,对上述各推行步骤进行周密的策划,并给出时间上和活动内容上的具体安排,以确保得到更有效的实施效果。通常至少要有三个月的有效运行数据。企业经过若干次内审并逐步纠正后,若认为所建立的云安全管理体系已符合C-Star的要求(具体体现为内审所发现的不符合项较少时),便可申请外部认证。
C-STAR对16个控制域评估(如图3),依据评估的评分结果将云服务的信息安全管理状况分五级,最终形成各个控制域的成熟度等级。
图3:CCM控制域组成图
针对CCM的某一控制域,分析各条控制措施及与之关联的管理过程中的管理、测量和制度化,判定其表现出的特征是否满足某一能力级别要求,如果满足,则可判定此项控制措施处于对应的能力级别。评估人员需要对一个控制域中所有的控制措施进行合理评估,以确保组织已基于风险评估,对风险实施了适当的安全控制。如果CCM中的一项安全控制措施没有切实落地,提供商需要证明该项控制措施为何没有包含在他们的风险评估/适用性声明中,或者为何没有实施补偿控制。
C - STAR认证针对16个控制域评估,依据审核的评分结果将云服务的信息安全管理状况分为五个等级:
C-STAR采用云计算信息安全的行业黄金标准----CSA发布的云控制矩阵(CCM),评估过程采用国际先进的成熟度等级评价模型,同时结合国内相关法律法规和标准要求,对云计算服务进行全方位的安全评价。将有效提升云计算服务的安全水平、管理策略,改进企业安全目标和防范措施,从而将云计算服务的信息安全隐忧大幅降低。
(1)采用行业最佳云安全实践(CCM),提高安全控制水平
(2)证明安全水平领先于云服务提供者行列
(3)保持云服务业务持续发展和竞争优势
(4)更好的满足顾客的云安全要求
(5) 降低安全风险、减少损失、降低成本
(6)维护企业的声誉、品牌和客户信任
扫一扫咨询
知企网微信官方客服
客服热线:400-885-0909
24小时在线咨询
*我们将对您的号码严格保密,请放心使用
扫码下载APP
服务评价
好评度