在選擇一個云提供商時,他們應該具備哪些云安全認證和標準?是否有匹配具體安全服務類型的認證?
安全需求跨度非常廣,涵蓋行業甚至企業自己內部,但是確有一些共性的需求來保證云安全認證和標準的開發。一些標準很明顯是適用的,比如SOC標準,還有一些其他的具體產業的標準,比如健康信息信任聯盟(HITRUST)。
下面這些是主要的一些認證:
SOC 1認證證明了財務報表上的質量控制,同時SOC 2和SOC 3報表則解決安全、可用性、流程完整性以及與信息系統相關的其他因素。
ISO 27001是一種跨行業的安全標準,解決了需求、實施、度量以及代碼的實踐。
云安全聯盟的STAR認證項目另外一個主要的安全標準,實際上由于其合并了其他標準,更像是元標準。該標準旨在專門針對云提供商并且基于兩個主要組件構建:云控制矩陣和一致性評估計劃問卷(CAIQ)。云控制矩陣是一套安全風險評估標準,而CAIQ則是以問題列表的形式幫助云客戶評估云服務提供商。
HITRUST認證和PCI DSS認證是重要的醫療健康和支付卡產業組織認證。HITRUST是安全和醫療健康組織關注的組織,關注于創建通用的安全框架(CSF)。這個CSF包含了實施需求以及替代控制的具體細節。取得CSF認證證明遵從了HIPAA和HITRUST標準。
除了這些云安全認證,當然可能還有一些重復的認證,還可能需要關注一下國家的安全框架。這當然并非認證,但是是評估安全的框架,而且那些文檔包括了更多具體的安全話題的參考和鏈接。
京公網安備 11010502049343號