标准简介
CSA STAR(安全、信任、保证和风险)是由云安全联盟(CSA)运营的云服务提供商安全评估和认证计划。该计划基于 CSA 云控制矩阵(CCM),提供三个保证级别:STAR Level 1(自我评估,发布 CAIQ 问卷或 CCM 评估)、STAR Level 2(第三方审计认证,与 ISO 27001 或 SOC 2 结合)和 STAR Level 3(连续审计/监控,基于持续自动化评估)。CSA STAR 注册表是一个公开可访问的数据库,允许任何人查看云服务提供商的安全状况。
CSA STAR Level 2 认证是最广泛采用的级别,要求云服务提供商在 ISO/IEC 27001 认证或 SOC 2 审计基础上额外满足 CCM 的云特定安全控制要求。CCM 涵盖 17 个控制域、197 个控制目标,包括应用和接口安全、审计保证和合规、业务连续性管理、变更控制、数据安全和隐私、加密和密钥管理、治理和风险管理、身份和访问管理、基础设施和虚拟化安全、供应链管理、威胁和漏洞管理等。CSA STAR 认证对于向企业和政府客户提供 SaaS、IaaS 或 PaaS 服务的云提供商日益重要,许多采购流程已将 CSA STAR 列为供应商安全评估的必要条件。
三级保证等级
提供 Level 1(自我评估)、Level 2(第三方认证/鉴证)和 Level 3(持续监控),以匹配不同的风险偏好和成熟度。
云控制矩阵
基于 CCM 框架,包含 197 项云特定控制目标,映射至 ISO 27001、NIST、PCI DSS 等标准,实现统一的云治理。
注册透明度
所有认证提供商均列入公开的 STAR 注册库,使客户在采购前能够比较云提供商的安全态势。
list_alt CCM 控制域
- 审计保证与合规
- 应用与接口安全
- 业务连续性管理与运营韧性
- 变更控制与配置管理
- 数据安全与隐私生命周期管理
- 加密与密钥管理
- 身份与访问管理
- 基础设施与虚拟化安全
谁需要合规?
寻求向企业客户证明安全态势的云服务提供商(IaaS、PaaS、SaaS),以及在供应商尽职调查中评估云提供商的组织。
关键要求
云控制矩阵合规
在所有适用的 CCM 域中实施控制,涵盖 197 项与云特定风险相关并映射至 ISO 27001 附录 A 控制项的控制目标。
CAIQ 自我评估
完成《共识评估倡议问卷》(CAIQ),记录本组织如何应对每一项 CCM 控制目标以取得 Level 1 注册。
第三方审核(Level 2)
聘请具备资格的审核员,将 CSA CCM 与 ISO 27001 认证或 SOC 2 鉴证相结合进行独立评估,以获得 Level 2 STAR 认证。
持续监控(Level 3)
实施持续安全监控和自动化合规验证,以保持对控制有效性的实时保证。
实施路线图
准备范围、责任和监管背景
围绕云服务、共享责任控制、面向客户的保证、CAIQ 答复、CCM 映射、审计和持续监控证据定义云安全保证项目范围。指定责任人,识别适用法律、客户、认证或市场准入驱动因素,并在整改前约定证据模型。
差距分析和基于风险的计划
依据 CSA STAR 期望和风险背景评估当前实践。审查Cloud Controls Matrix 映射、CAIQ 披露、安全和隐私控制透明度、第三方保证、漏洞管理、身份、日志、事件响应和客户信任报告,并按法律暴露、客户影响、安全或隐私风险以及审核或提交准备度排列差距优先级。
实施控制、文档和证据
部署所需流程、控制、评审、培训、供应商控制和成文信息。围绕CAIQ 答复、CCM 映射、政策、SOC 或 ISO 报告、渗透测试、漏洞记录、事件流程、共享责任文档和登记提交建立可追溯证据。
评审、审核并维护合规
在STAR 登记提交或第三方保证审查前完成内部评审、准备度检查和纠正措施。产品、供应商、法律、客户、事件或运营变化后保持项目更新。
合规检查清单
checklist 范围与问责
checklist 控制与记录
checklist 监控与改进
处罚与执行
无直接的法律处罚——CSA STAR 属于自愿认证。然而,未取得 STAR 认证可能被排除在企业采购流程之外,尤其在金融和医疗等受监管行业。
常见问题解答
谁需要 CSA STAR?
expand_more
CSA STAR 适用于活动落入云服务、共享责任控制、面向客户的保证、CAIQ 答复、CCM 映射、审计和持续监控证据的组织。采用动因通常来自监管、客户、采购要求、市场准入,或证明组织能纪律化控制高影响风险的需要。
CSA STAR 的核心目的是什么?
expand_more
核心目的是为Cloud Controls Matrix 映射、CAIQ 披露、安全和隐私控制透明度、第三方保证、漏洞管理、身份、日志、事件响应和客户信任报告建立可重复运行的项目。不同领域细节不同,但实践目标都是让义务可见、分配责任、运行控制并保持证据最新。
首先应做什么?
expand_more
先确认范围和所有权。许多失败源于边界不清、缺少责任人,或证据与实际产品、服务、系统或数据流不匹配。
实施需要多长时间?
expand_more
聚焦实施通常需要数月。周期取决于成熟度、产品或场所数量、供应商参与度、技术复杂度、测试证据以及外部审查深度。
哪些证据最有用?
expand_more
有用证据包括CAIQ 答复、CCM 映射、政策、SOC 或 ISO 报告、渗透测试、漏洞记录、事件流程、共享责任文档和登记提交。审核员、监管机构、客户或审评人员通常期望看到控制正在运行,而不仅是政策存在。
应如何管理供应商?
expand_more
供应商责任应通过合同和运行流程明确。高风险供应商需要尽职调查、下传要求、证据请求、绩效监控以及针对发现项或事件的升级路径。
项目应多久评审一次?
expand_more
评审频率应跟随风险和变化。年度评审很常见,但产品发布、事件、监管变化、客户要求、重大供应商或审核发现应更早触发专项评审。
可以与其他合规项目整合吗?
expand_more
可以。CSA STAR 通常可以与相关标准共享治理、培训、供应商管理、文件控制、问题跟踪、内部审核和管理评审,同时保留自身特定法律或技术证据。