云安全联盟(CSA)上周四宣称正式发布CSA云控制矩阵(CCM)3.0版,全面升级至评估云中心信息安全风险的行业黄金标准。自发布CSA开 创性的制导领域以来,CCM3.0版将其控制领域扩展到云安全风险的地址变化,“集中于云计算关键领域的安全指导3.0版”向两者更紧密的融合迈出了一大 步。
充分汲取行业公认的安全标准,条款,和控制框架,例如ISO 27001/2, 欧盟网络与信息安全局(ENISA)信息担保框架,ISACA(国际信息系统审计协会)对信息和相关技术的控制条款,美国注册会计师协会信托服务和委托人 支付卡行业数据安全标准,和联邦风险和授权管理程序,升级后的CSA CCM控制域为用户提供控制装置的内聚力,这种内聚力是管理云中心信息安全风险所必需的。CCM的重组抓住了不久的将来对于云管理的需求,届时它将作为升 级控制装置的年检,进一步确保CCM仍然符合未来技术和政策的变化。
“由于云应用在不断进步,我们的安全控制也必须与之俱进”,CCM工作小组联合主席兼思科系统数据中心和云安全专家伊夫林·德索萨说到,“我们 现在必须解决云数据访问的拓展方法,对云服务提供者的供应链予以必要的谨慎,在面临一个向云服务提供者的关系转变时服务中断应最小化。具备额外的新关键控 制域和被提高的清晰度,为确保云更大的透明度、信任和安全,提供商和消费者将把CCM作为日渐依赖的重要工具”。
CCM3.0版本包括如下升级内容:
5个全新控制域,说明对云数据进行访问,转移,和保护等操作过程中的信息安全风险:移动安全,供应链管理,透明度和问责制,互操作性和便携性,以及加密和密钥管理
与云计算关键领域3.0版的安全指导兼容性得到改善
整个控制域和单个扩展控制识别命名契约的控制审核能力得到改善
“决定使用某个云服务应该考虑下一个问题,即我是否足够相信提供商有能力管理和保护好我的数据”,CCM工作组联合主席、行业专家 Sean Cordero说到。CCM的使用为云服务提供商提供了一套可管理的部署好的控制装置,这种装置可以映射全球安全标准。对客户来说,它在与云服务提供商的 安全态势对话中起着催化剂的作用,这在以前是不可能的。在CCM3.0版维持这种平衡是一项重要的工作,这离不开来自CSA成员公司如微 软,Salesforce,普华永道和参与全球同行审查的120 多个人会员的努力。对于他们的奉献,我们不胜感激。”
在秋季即将召开的CSA大会上CSA将举办3个CCM专业分会。本周,在苏格兰爱丁堡召开的CSA大会欧洲、中东、非洲地区会议 上,Evelyn De Souza将带领CCM3.0版团队向与会者介绍和指导新的控制装置和改进。她也将在研讨会上主持一个讲座,题为“抓住机遇,打造CSA云控制矩阵的未 来”
另外,于2013年12月3-5日在佛罗里达奥兰多举办的2013年CSA大会上,CSA将主持一个讲座,题为“CSA和英国标准学 会:CCM,民意评估计划问卷(CAIQ)和CSA安全,信用和保险注册(STAR)的云管理,风险和合规”。届时 Sean Cordero与其他行内专业将为与会者提供新版CCM的理论与设计,如何将机构要求映射到CCM,怎样最好地利用CSA GRC stack的关键伙伴:CCM3.0版,CAIQ和STAR。
关于CSA:
CSA作为一个非盈利性组织,负责促进保证云计算安全的应用,提供关于云计算应用的教育培训,旨在帮助保证其它计算形式的安全。CSA是一个行业从业人员、企业、协会和其他关键股东广泛参与的联盟。