클라우드 성숙도 모델 클라우드 서비스 공급자의 보안을 확인 하는 데 도움이

클라우드 컴퓨팅의 거의 모든 조사, 보안 위는 먼저 많은 이유 가운데 회사는 클라우드 기반 기술을 채택 하 게 주 저하. 그리고 실제로, 데이터를 처리 하 고 적절 하 게 보호 됩니다 어떻게 확인 불가능, 그것은 맹목적으로 클라우드 서비스를 채택 하는 무모 한 클라우드 서비스의 경제 혜택 유혹 하더라도.

그래서 어떻게 증명할 수 있는 회사 클라우드 서비스 공급자는 표준? 대기업 및 정부 부처 사이트의 상세한 검사와 클라우드 공급자의 프로세스를 요구 하는 영향력을 할 수 있습니다. 그러나, 작은 회사 덜 인기 있는 수 있습니다.

특히, 클라우드 보안 연합 (클라우드)에서 여러 가지 사업 회사 예비 서비스 공급자에 게 적절 한 질문을 적어도 협상 위해 노력 해 왔다 하지만이 여전히 느리고 힘든 작업이 될 수 있습니다. 그리고 대형 클라우드 서비스 공급자에 대 한 설문 조사를 제출 하는 중소 기업 기대 답변 없고 작은 협업, 우리가 발견 했습니다.

하지만 희망은 바로 당신 앞 수 있습니다. 새로운 클라우드 성숙도 모델 점수 클라우드 서비스 회사 하는 데 사용 되는 잠재 구매자와 판매자 이제 각 고객에 대 한 감사 프로세스를 통해 갈 필요가 혜택 서비스 기업 클라우드 보안 수준을 제공 하는 기업에 간단한 지침을 제공을 약속 드립니다.

소위 유니버설 보안 성숙도 모델 (일반 보증 성숙도 모델, camm) Raj Samani, 공공 부문에서 컨설턴트로 근무 하 고 지금은 McAfee의 유럽 CTO는 보안 커뮤니티의 베테랑의 결정 이다.

Camm의 형성

Samani 얼마나 어려운 그것은 많은 공급 업체와 거래 하는 대기업의 초기 프로젝트에서 배웠다. 그는 단지 자원 또는 돈을 그들은 후에 그는 책임에 대 한 데이터 보호 법안의 맥락에서 정보 찾고 있는지 확인 하기 위해 필요한 검사를 수행 하는 없습니다.

그러나, 그의 아버지, 런던의 중심에 호텔 소유자와 대화에서 그 해결책을 찾아냈다: "내 아버지는에 대해 불평은 성가신 하려는 고객은 호텔의 자세한 검사를 있고 그것은 문제를 많이 일으킬 것 이라고 말했다," Samani 말했다. "그의 대답은이 1 성급 호텔, 고급 스러운 하지만 저렴 하지 않습니다 의미입니다." 그건 고객이 알아야 할 모든입니다.

이 이벤트는 비슷한 5 스타 점수 시스템, 클라우드 컴퓨팅 서비스에 적용할 수 있는 품종. Samani 그 시스템은 널리 이용 된다, 그것은 것입니다 쉽게 찾을 올바른 수준의 보안과 서비스, 클라우드 서비스 고객 뿐만 아니라 또한 쉽게 끝 없는 고객 감사 공급자 경험 실현.

그것은 2 년 전, 그리고 이후 다음 다양 한 지원 단체에서 자원 봉사자의 팀 열심히 하고있다, 하지만 Camm는 도움을 몇 가지 풀 타임 직원,이 상황이 신속 하 게 변경 됩니다. Samani 그 2 월 샌 프란 시스 코 CSA 서밋에서 채용 계획의 전체 내용을 발표할 것 이라고 말했다.

Camm 구성 요소

고객은 이러한 표준에 대 한 특정 요구 때문에 Samani Camm 모델은 보안, 기본 제어를 커버 하도록 설계 되었습니다 하지만 디자인 및 ISO27001, COBIT, PCI DSS 등 기타 조건 별로 매핑 되었음을 말합니다.

"CAMM 모델 컨트롤의 기본 수준을 제공 하 고, 다른 모듈을 추가할 수 있습니다 다음" Samani 말했다. "이 사람들이 필요로 하는 보안 수준에 대 한 지불할 수 있습니다 의미 합니다." 그래서 만약 당신이 독일에 PCI 모듈 3-수준 공급자를 찾이 필요가, Camm 쉽게 회사를 찾을 수 있습니다.

CAMM 모델의 1 개의 중요 한 양상은 Samani 말한다, 도구 및 감사를 수행 하는 데 사용 하는 지적 재산권 프레임 워크는 사람에 게 무료입니다. "그것은 사랑의 노동," 고 덧붙였다.

회사 Camm 모델을 사용 하 여 시작을 지불 하는 유일한 구성 요소는 타사 보안 센터 (제 3 자 보증 센터, tpac). Tpac은 그들이 받을 보안 수준을 나열 하는 서비스 공급자에 대 한 정보 저장소 통계의 범위에 따라. TPAC는 고객 및 공급자 통신을 제공 하는 시장으로 될 것입니다. 고객의 요청, 목록 Camm 수준 플러스 그들이 필요로 하는 다른 모듈을 업로드 하 고 TPAC 즉시 그들의 요구 사항을 충족 하는 공급 업체의 짧은 명단을 발표할 예정 이다.

Samani는 CAMM 모델 보안 관리자는 자신의 상사 이해에 따라 잔여 수량화 도움이 될 추가. "CEO와 말가 서 ' 우리는 수준 3 회사 찾고 되지만 일부 위험 '" Samani 말했다. "CEO 다음 묻습니다 얼마나 비용 4 또는 5 수준의 회사를 찾을 이며 위험을 이해 한 후 판단." 이 때문에, 보안에 대 한 기업 경영자와의 대화를 가질 수 없습니다.

최근 CAMM 모델 경험 4 평가판 사용자와 알파 테스트 하 고 이러한 테스트에서 피드백 "소화 했다" 2 월에, 일단 일련의 베타 테스트를 올해의 대량 출시 이전 실시 했다.

프로젝트는 대형 클라우드 서비스 제공자, 정부 그룹 및 체코 등 ISACA (정보 시스템 감사 및 통제 협회) 산업 그룹을 포함 하 여 150 조직에 의해 지원 되었다.

CAMM 모델에 대 한 반응

Camm 메서드는 소중 하 고 유망한 방법으로 일반적으로 간주 된다. 폴 Simmonds CSA 보안 가이드 v 3 버전의 공동 저자로 여 리고 포럼 국제 기관의 이사회 멤버로 Camm의 귀중 한 역할에 대 한 이야기.

"Camm 모델은 매우 사려 깊, 고 난 아주 감동" Simmonds 말했다. "모델은 클라우드 서비스의 사용자로 요청할 수 있습니다 명확 하 게 다른 영역에 보안 수준이 필요 하므로 해당 도메인에 모듈." Camm 쉽게 잠재적인 공급 업체의 짧은 명단을 찾을 수 그리고 그것은 대부분 회사 스스로 관리할 수 있는 더 정교 하 고 철저 한 감사 방법으로 진화를 계속 됩니다.

이니셔티브는 또한 유럽 네트워크 및 정보 안전 기관 (ENISA)의 운영 위원회를 포함 하 여 유럽에서 강력한 지지를 받았다. "우리 굳게 CAMM 모델, 클라우드 걸릴 수 있도록 핵심은" Enisa 자일 스 Hogben, 크레타 섬, 그리스에서 보안 서비스 프로그램 관리자.

그러나, Hogben 어떤 새로운 표준 회사에 추가 비용을 추가 하지 않도록 해야 하는 경고 했다. 그는 추가 1 5 만기를 측정 "지나친 이어질 것" 이며 관리와 처리 해야 합니다.

(책임 편집기: 유산의 좋은)