在选择一个云提供商时,他们应该具备哪些云安全认证和标准?是否有匹配具体安全服务类型的认证?
安全需求跨度非常广,涵盖行业甚至企业自己内部,但是确有一些共性的需求来保证云安全认证和标准的开发。一些标准很明显是适用的,比如SOC标准,还有一些其他的具体产业的标准,比如健康信息信任联盟(HITRUST)。
下面这些是主要的一些认证:
SOC 1认证证明了财务报表上的质量控制,同时SOC 2和SOC 3报表则解决安全、可用性、流程完整性以及与信息系统相关的其他因素。
ISO 27001是一种跨行业的安全标准,解决了需求、实施、度量以及代码的实践。
云安全联盟的STAR认证项目另外一个主要的安全标准,实际上由于其合并了其他标准,更像是元标准。该标准旨在专门针对云提供商并且基于两个主要组件构建:云控制矩阵和一致性评估计划问卷(CAIQ)。云控制矩阵是一套安全风险评估标准,而CAIQ则是以问题列表的形式帮助云客户评估云服务提供商。
HITRUST认证和PCI DSS认证是重要的医疗健康和支付卡产业组织认证。HITRUST是安全和医疗健康组织关注的组织,关注于创建通用的安全框架(CSF)。这个CSF包含了实施需求以及替代控制的具体细节。取得CSF认证证明遵从了HIPAA和HITRUST标准。
除了这些云安全认证,当然可能还有一些重复的认证,还可能需要关注一下国家的安全框架。这当然并非认证,但是是评估安全的框架,而且那些文档包括了更多具体的安全话题的参考和链接。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
Dan Sullivan是一名作家、系统架构师和顾问,拥有超过20年关于先进的分析、系统架构、数据库设计、企业安全、商业智能的IT从业经验。他的从业范围广泛,包括金融服务业、制造业、医药、软件开发、政府、零售、天然气和石油生产、发电、生命科学和教育。
相关推荐
-
IT专业人士的最佳云安全认证
虽然对某些安全认证计划的价值存在一些争议,但他们中的大多数还是比传统的自学方案更能为专业人员提供更加有效的帮助。
-
WannaCry危情三日:亚马逊、微软与阿里的应对之态
针对这一“WannaCry蠕虫病毒 ”事件,三大巨头云服务厂商都明确了一个观点:这类安全事件并不是结束,这只是一个开始。
-
WannaCry警示:学会检测和减轻云端恶意内容
多年来许多人都预测到了云将是革命性的。我们也已经看到了这一预测正在成为现实:企业正在利用云更快地为用户提供更多的功能,并减少运营开销,从而全面加强对业务的支持。
-
Cisco CloudCenter Orchestrator漏洞如何工作?
业界有一个关键的安全公告,是 针对Cisco CloudCenter Orchestrator中的一个漏洞,该漏洞导致Docker Engine管理端口可以在Cloud Orchestrator系统之外访问。