雲安全聯盟(CSA)上週四宣稱正式發佈CSA雲控制矩陣(CCM)3.0版,全面升級至評估雲中心資訊安全風險的行業黃金標準。 自發布CSA開 創性的制導領域以來,CCM3.0版將其控制領域擴展到雲安全風險的位址變化,「集中于雲計算關鍵領域的安全指導3.0版」向兩者更緊密的融合邁出了一大 步。
充分汲取行業公認的安全標準,條款,和控制框架,例如ISO 27001/2, 歐盟網路與資訊安全域(ENISA)資訊擔保框架,ISACA(國際資訊系統審計協會)對資訊和相關技術的控制條款,美國註冊會計師協會信託服務和委託人 支付卡行業資料安全標準,和聯邦風險和授權管理程式,升級後的CSA CCM控制域為使用者提供控制裝置的內聚力,這種內聚力是管理雲中心資訊安全風險所必需的。 CCM的重組抓住了不久的將來對於雲管理的需求,屆時它將作為升 級控制裝置的年檢,進一步確保CCM仍然符合未來技術和政策的變化。
「由於雲應用在不斷進步,我們的安全控制也必須與之俱進」,CCM工作小組聯合主席兼思科系統資料中心和雲安全專家伊芙琳·德索薩說到,「我們 現在必須解決雲資料訪問的拓展方法,對雲服務提供者的供應鏈予以必要的謹慎, 在面臨一個向雲服務提供者的關係轉變時服務中斷應最小化。 具備額外的新關鍵控 制域和被提高的清晰度,為確保雲更大的透明度、信任和安全,供應商和消費者將把CCM作為日漸依賴的重要工具」。
CCM3.0版本包括如下升級內容:
5個全新控制域,說明對雲資料進行訪問,轉移,和保護等操作過程中的資訊安全風險:移動安全,供應鏈管理,透明度和問責制,互通性和便攜性,以及加密和金鑰管理
與雲計算關鍵領域3.0版的安全指導相容性得到改善
整個控制域和單個擴展控制識別命名契約的控制審核能力得到改善
「決定使用某個雲服務應該考慮下一個問題,即我是否足夠相信供應商有能力管理和保護好我的資料」,CCM工作組聯合主席、行業專家 Sean Cordero說到。 CCM的使用為雲服務提供者提供了一套可管理的部署好的控制裝置,這種裝置可以映射全球安全標準。 對客戶來說,它在與雲服務提供者的 安全態勢對話中起著催化劑的作用,這在以前是不可能的。 在CCM3.0版維持這種平衡是一項重要的工作,這離不開來自CSA成員公司如微 軟,Salesforce,普華永道和參與全球同行審查的120 多個人會員的努力。 對於他們的奉獻,我們不勝感激。 」
在秋季即將召開的CSA大會上CSA將舉辦3個CCM專業分會。 本周,在蘇格蘭愛丁堡召開的CSA大會歐洲、中東、非洲地區會議 上,Evelyn De Souza將帶領CCM3.0版團隊向出席者介紹和指導新的控制裝置和改進。 她也將在研討會上主持一個講座,題為「抓住機遇,打造CSA雲控制矩陣的未 來」
另外,于2013年12月3-5日在佛羅里達奧蘭多舉辦的2013年CSA大會上,CSA將主持一個講座,題為「CSA和英國標準學 會:CCM,民意評估計畫問卷(CAIQ)和CSA安全,信用和保險註冊(STAR)的雲管理, 風險和合規」。 屆時 Sean Cordero與其他行內專業將為出席者提供新版CCM的理論與設計,如何將機構要求映射到CCM,怎樣最好地利用CSA GRC stack的關鍵夥伴:CCM3.0版,CAIQ和STAR。
關於CSA:
CSA作為一個非盈利性組織,負責促進保證雲計算安全的應用,提供關於雲計算應用的教育培訓,旨在説明保證其它計算形式的安全。 CSA是一個行業從業人員、企業、協會和其他關鍵股東廣泛參與的聯盟。