雲安全聯盟（CSA）發佈雲控制矩陣（CCM）3.0版

雲安全聯盟(CSA)上週四宣稱正式發佈CSA雲控制矩陣(CCM)3.0版，全面升級至評估雲中心資訊安全風險的行業黃金標準。 自發布CSA開 創性的制導領域以來，CCM3.0版將其控制領域擴展到雲安全風險的位址變化，「集中于雲計算關鍵領域的安全指導3.0版」向兩者更緊密的融合邁出了一大 步。

充分汲取行業公認的安全標準，條款，和控制框架，例如ISO 27001/2, 歐盟網路與資訊安全域(ENISA)資訊擔保框架，ISACA(國際資訊系統審計協會)對資訊和相關技術的控制條款，美國註冊會計師協會信託服務和委託人 支付卡行業資料安全標準，和聯邦風險和授權管理程式，升級後的CSA CCM控制域為使用者提供控制裝置的內聚力，這種內聚力是管理雲中心資訊安全風險所必需的。 CCM的重組抓住了不久的將來對於雲管理的需求，屆時它將作為升 級控制裝置的年檢，進一步確保CCM仍然符合未來技術和政策的變化。

「由於雲應用在不斷進步，我們的安全控制也必須與之俱進」，CCM工作小組聯合主席兼思科系統資料中心和雲安全專家伊芙琳·德索薩說到，「我們 現在必須解決雲資料訪問的拓展方法，對雲服務提供者的供應鏈予以必要的謹慎， 在面臨一個向雲服務提供者的關係轉變時服務中斷應最小化。 具備額外的新關鍵控 制域和被提高的清晰度，為確保雲更大的透明度、信任和安全，供應商和消費者將把CCM作為日漸依賴的重要工具」。

CCM3.0版本包括如下升級內容：

5個全新控制域，說明對雲資料進行訪問，轉移，和保護等操作過程中的資訊安全風險：移動安全，供應鏈管理，透明度和問責制，互通性和便攜性，以及加密和金鑰管理

與雲計算關鍵領域3.0版的安全指導相容性得到改善

整個控制域和單個擴展控制識別命名契約的控制審核能力得到改善

「決定使用某個雲服務應該考慮下一個問題，即我是否足夠相信供應商有能力管理和保護好我的資料」，CCM工作組聯合主席、行業專家 Sean Cordero說到。 CCM的使用為雲服務提供者提供了一套可管理的部署好的控制裝置，這種裝置可以映射全球安全標準。 對客戶來說，它在與雲服務提供者的 安全態勢對話中起著催化劑的作用，這在以前是不可能的。 在CCM3.0版維持這種平衡是一項重要的工作，這離不開來自CSA成員公司如微 軟，Salesforce，普華永道和參與全球同行審查的120 多個人會員的努力。 對於他們的奉獻，我們不勝感激。 」

在秋季即將召開的CSA大會上CSA將舉辦3個CCM專業分會。 本周，在蘇格蘭愛丁堡召開的CSA大會歐洲、中東、非洲地區會議 上，Evelyn De Souza將帶領CCM3.0版團隊向出席者介紹和指導新的控制裝置和改進。 她也將在研討會上主持一個講座，題為「抓住機遇，打造CSA雲控制矩陣的未 來」

另外，于2013年12月3-5日在佛羅里達奧蘭多舉辦的2013年CSA大會上，CSA將主持一個講座，題為「CSA和英國標準學 會：CCM，民意評估計畫問卷(CAIQ)和CSA安全，信用和保險註冊(STAR)的雲管理， 風險和合規」。 屆時 Sean Cordero與其他行內專業將為出席者提供新版CCM的理論與設計，如何將機構要求映射到CCM，怎樣最好地利用CSA GRC stack的關鍵夥伴：CCM3.0版，CAIQ和STAR。

關於CSA:

CSA作為一個非盈利性組織，負責促進保證雲計算安全的應用，提供關於雲計算應用的教育培訓，旨在説明保證其它計算形式的安全。 CSA是一個行業從業人員、企業、協會和其他關鍵股東廣泛參與的聯盟。