一、C-STAR 云安全评估概述

CSA（Cloud Security Alliance）在2012“安全云”大会（SecureCloud 2012conference）上正式发布了其开放认证框架（Open CertificationFramework，OCF），以帮助云服务提供商提升其云安全实践的透明度，提高云服务的市场可信度，增强云服务于用户的安全信心，以便企业和个人用户接受和使用所提供的云服务。OCF包括安全、信任和保证注册（Security、Trust and AssuranceRegistry ，STAR）三个方面的内容，可分为三个层次，每一个层次将为云服务供应商提供增量级别的信任与透明度，也为云用户提供更高级别的安全保障，OCF构成如图1所示。

图1 CSA开放认证框架

　　（1）第一级是自我评估。云服务提供商可以在CSA官网注册并提交自评估报告，证明自身实施的安全控制符合CSA的要求。

　　（2）第二级为独立第三方认证。由第三方机构进行认证，确保供应商能够满足CSA云安全控制矩阵（Cloud Controls Matrix，CCM） [30]要求，其中CCM可视为在传统ISO27001安全控制要求的基础上的补充和增强。

　　（3）第三级为持续监控。云服务提供商公布基于CSA云计算信任协议（The Cloud Trust Protocol，CTP）的安全监控结果，对云服务相关安全要求进行持续的审计和评估。

云安全评估认证采用云计算信息安全的行业黄金标准----CSA最新发布的云控制矩阵(CCM)，结合国内相关法律法规（如等级保护和个人信息安全规范等）等和GB/T22080标准要求，有效评估云服务的安全状况，并用云计算信息安全管理的最佳实践指导企业提升云服务信息安全水平，从而将云服务的信息安全隐忧大幅降低。C-STAR的构成如图2。

图2：C-STAR构成图

　　C-STAR评估依据CSA最新发布的云安全控制矩阵CCM V4，结合国内相关法律法规和标准要求，形成C-STAR云安全控制矩阵，从审计&保障、应用程序和接口安全、业务连续性管理和运营弹性、变更控制和配置管理、数据安全和隐私生命周期管理等17个云安全控制领域，对云服务的安全控制状况进行系统评估。同时，为了帮助企业对云安全管理成熟度进行评估和持续改进，引入了云安全管理成熟度评价（将在形成的评估报告中给出成熟度评估得分），对C-STAR云安全控制矩阵中的安全控制措施进行成熟度评分并划分为5个等级，不同分数等级代表云服务提供商的安全控制的管理成熟度水平。

　　企业如若通过C-STAR评估，则可获得赛宝与CSA联合颁发的C-STAR云安全证书、获得CSA官网证书注册并受到国际认可、获取云安全管理成熟度报告，通过云安全评估，提高云安全管理水平，减少可能潜在的风险隐患，保障业务持续开展与紧急恢复，更好的满足顾客的云安全要求。并证明云安全水平领先于云服务提供者行列，满足顾客的云安全要求，保障云服务业务安全有效开展，获取云服务行业竞争优势。

二、C-STAR认证

（一） C-STAR评估方法

C-STAR对17个控制域评估(如图3），依据评估的评分结果将云服务的信息安全管理状况分五级，最终形成各个控制域的成熟度等级。

图3：CCM控制域组成图

　　针对CCM的某一控制域，分析各条控制措施及与之关联的管理过程中的管理、测量和制度化，判定其表现出的特征是否满足某一能力级别要求，如果满足，则可判定此项控制措施处于对应的能力级别。评估人员需要对一个控制域中所有的控制措施进行合理评估，以确保组织已基于风险评估，对风险实施了适当的安全控制。如果CCM中的一项安全控制措施没有切实落地，提供商需要证明该项控制措施为何没有包含在他们的风险评估/适用性声明中，或者为何没有实施补偿控制。

　　C - STAR认证针对17个控制域评估，依据审核的评分结果将云服务的信息安全管理状况分为五个等级：

评分结果　　等级描述

　1级　  　不安全

　　2级 　　被动安全级

　　3级 　　主动安全级

　　4级 　　改进提升级

　　5级 　　系统优化级

（二）认证程序

进行C-STAR云安全评估时，组织应向认证公司提供评估所需的充分信息，对于多现场应说明各现场的认证范围、地址及人员分布等情况，认证公司将以抽样的方式对多现场进行审核；组织如要求，可向认证公司提出预审核的申请；评估分两个阶段进行：第一阶段，主要进行文件审核并确认第二阶段审核准备的充分性；第二阶段，主要对体系的符合性和有效性进行评价，做出现场审核的推荐结论。C-STAR云安全评估流程如下图4所示。

图4：C-STAR云安全评估流程

　　企业在推行C-STAR之前，应结合本企业实际情况，对上述各推行步骤进行周密的策划，并给出时间上和活动内容上的具体安排，以确保得到更有效的实施效果。通常至少要有三个月的有效运行数据。企业经过若干次内审并逐步纠正后，若认为所建立的云安全管理体系已符合C-Star的要求（具体体现为内审所发现的不符合项较少时），便可申请外部认证。

三、C-STAR作用

C-STAR作为国内首个全球性认可的云安全评估认证，受到了来自中科曙光、金山、浪潮、平安、用友、北森等业界知名企业的高度认可，并且在全国范围内受到了广泛的关注。

　　C-STAR采用云计算信息安全的行业黄金标准----CSA发布的云控制矩阵(CCM)，评估过程采用国际先进的成熟度等级评价模型，同时结合国内相关法律法规和标准要求，对云计算服务进行全方位的安全评价。将有效提升云计算服务的安全水平、管理策略，改进企业安全目标和防范措施，从而将云计算服务的信息安全隐忧大幅降低。

　　（1）采用行业最佳云安全实践（CCM），提高安全控制水平

　　（2）证明安全水平领先于云服务提供者行列

　　（3）保持云服务业务持续发展和竞争优势

　　（4）更好的满足顾客的云安全要求

　　（5）降低安全风险、减少损失、降低成本

（6）维护企业的声誉、品牌和客户信任

常见问答

1、C-STAR云安全评估适用于哪些组织？

答：C-STAR云安全评估适用于使用云服务和提供云服务的组织。

2、C-STAR云安全评估的依据是什么？

答：C-STAR云安全评估的依据是CSA最新发布的云安全控制矩阵CCM V3.0，结合国内相关法律法规和标准要求，形成C-STAR云安全控制矩阵，从应用和接口安全、审核保证、业务连续性管理和操作弹性、变更控制和配置管理、数据安全和信息生命周期管理等16个云安全控制领域，对云服务的安全控制状况进行系统评估。

3、C-STAR云安全评估可帮助企业提高什么？

答：帮助云服务提供商提升云安全实践的透明度，提高市场可信度，增强用户信心。

4、云服务安全管理体系认证证书是什么？云服务安全管理体系认证证书办理有哪些好处？

答：云服务安全管理体系认证证书是ISO/IEC 27001信息安全管理体系的增强版本，将云安全的特有问题可视化，同时遵循国际相关法律法规和标准要求，对云计算服务进行全面、中立、严苛、准确的安全评价。为云服务商的安全管控能力提供了直观的评估框架。

5、认证办理流程是什么？

答：业务洽谈---签订合同---老师上门---资料准备---内审培训---现场布置---现场审核---审核通过---取得证书

6、办理ISO证书的必备条件是什么？

答：

正规的国内营业执照（香港的营业执照须在香港办理）；

正规的经营场所（经营场所大小没有要求，几平米亦可）；

特殊行业资质（国家如有要求）资质是指的比如：食品行业要卫生许可证；

公司成立至少要满三个月，即领到营业执照后至少三个月才能取得ISO证书。

ISO标准符合各行各业，满足以上条件的企业都可以办理。

7、C-STAR云安全涵盖了多少个管控域的安全？都有哪些？

答：C-STAR云安全涵盖了16个管控域的综合安全，包括应用和接口安全、审计保证和合规、业务连续性管理和运营灵活性、变更控制和配置管理、数据安全和信息生命周期管理、加密和密钥管理、治理和风险管理、身份识别和访问管理、基础设施和虚拟化安全、安全事件管理、供应链管理、威胁和漏洞管理等。

8、C-STAR云安全评估适用于哪些行业的企业？

答：C-STAR云安全评估适用于提供云服务的企业，如电信运营商、IT及网络设备厂商、网络安全厂商、云计算提供商及重要云计算用户。

9、C-STAR云安全评估前提是什么？

答：企业必须有ISO27001证书，证书的覆盖范围包括“云服务”。

10、从认证企业的现状来看，以信息为生命线，对外提供云服务的行业有哪些？

1）行业：银行等。

2）通信行业：电信、网通、移动、联通等。

3）皮包公司：外贸、进出口、人力资源、猎头、会计师事务所等