標準簡介
CSA STAR(安全、信任、保證與風險)是由雲端安全聯盟開發的雲端安全保證計畫。它透過三個保證級別(自我評估、第三方認證和持續監控)為評估雲端服務供應商的安全狀況提供了全面框架。該計畫基於雲端控制矩陣(CCM)構建,定義了 197 個雲端運算特定的安全控制目標。
CSA STAR 已成為廣泛認可的雲端安全基準,數千家供應商在公開的 STAR 登錄冊中列出。二級認證將 CCM 評估與 ISO/IEC 27001 認證或 SOC 2 鑑證相結合,對通用和雲端特定安全控制進行全面評估。該計畫幫助企業客戶在採購和供應商風險管理過程中比較雲端服務供應商。
三級保證等級
提供 Level 1(自我評估)、Level 2(第三方認證/意見書)與 Level 3(持續監控),以符合不同風險偏好與成熟度。
雲端控制矩陣
基於 CCM 框架,包含 197 項雲端特定控制目標,並對應至 ISO 27001、NIST、PCI DSS 等標準,實現統一之雲端治理。
註冊透明度
所有取得認證之提供者皆列於公開之 STAR 註冊庫,讓客戶於採購前得以比較雲端服務提供者之安全狀態。
list_alt CCM 控制領域
- 稽核保證與法遵
- 應用程式與介面安全
- 業務持續管理與營運韌性
- 變更控制與組態管理
- 資料安全與隱私生命週期管理
- 加密與金鑰管理
- 身分與存取管理
- 基礎架構與虛擬化安全
誰需要合規?
欲向企業客戶展現安全狀態之雲端服務提供者(IaaS、PaaS、SaaS),以及於供應商盡職調查中評估雲端服務提供者之組織。
關鍵要求
雲端控制矩陣法遵
於所有適用之 CCM 領域實施控制,涵蓋 197 項對應雲端特定風險並對應至 ISO 27001 附錄 A 控制項之控制目標。
CAIQ 自我評估
完成《共識評估倡議問卷》(CAIQ),記錄組織如何應對每項 CCM 控制目標以取得 Level 1 註冊。
第三方稽核(Level 2)
委請經認可之稽核員將 CSA CCM 與 ISO 27001 認證或 SOC 2 意見書相結合進行獨立評估,以取得 Level 2 STAR 認證。
持續監控(Level 3)
實施持續安全監控與自動化法遵驗證,以維持對控制有效性之即時保證。
實施路線圖
准备範圍、責任和監管背景
圍繞雲端服务、共享責任控制、面向客戶的保證、CAIQ 回覆、CCM 對應、审计和持續監控證據定義雲端安全保證專案範圍。指定責任人,識別適用法律、客戶、認證或市場准入驅動因素,并在整改前約定證據模型。
差距分析和基於風險的計畫
依据 CSA STAR 期望和風險背景評估目前實務。審查Cloud Controls Matrix 對應、CAIQ 揭露、安全和隱私控制透明度、第三方保證、弱點管理、身分、日誌、事件响应和客戶信任报告,并按法律暴露、客戶影響、安全或隱私風險以及稽核或提交準備度排列差距優先順序。
實施控制、文件和證據
部署所需流程、控制、審查、訓練、供應商控制和文件化資訊。圍繞CAIQ 回覆、CCM 對應、政策、SOC 或 ISO 报告、渗透測試、弱點記錄、事件流程、共享責任文件和登記提交建立可追溯證據。
審查、稽核并維護合規
在STAR 登記提交或第三方保證審查前完成內部審查、準備度檢查和矯正措施。產品、供應商、法律、客戶、事件或營運變化后保持專案更新。
合規檢查清單
checklist 範圍与問責
checklist 控制与記錄
checklist 監控与改进
處罰與執行
無直接法律罰則——CSA STAR 屬自願性認證。惟未取得 STAR 認證可能導致被排除於企業採購流程之外,尤其在金融與醫療等受法規管制的產業。
常見問題解答
谁需要 CSA STAR?
expand_more
CSA STAR 適用于活動落入雲端服务、共享責任控制、面向客戶的保證、CAIQ 回覆、CCM 對應、审计和持續監控證據的組織。採用动因通常来自監管、客戶、採購要求、市場准入,或證明組織能紀律化控制高影響風險的需要。
CSA STAR 的核心目的是什么?
expand_more
核心目的是为Cloud Controls Matrix 對應、CAIQ 揭露、安全和隱私控制透明度、第三方保證、弱點管理、身分、日誌、事件响应和客戶信任报告建立可重複執行的專案。不同領域细节不同,但實務目标都是让義務可见、分配責任、執行控制并保持證據最新。
首先应做什么?
expand_more
先確認範圍和所有權。许多失敗源于邊界不清、缺少責任人,或證據与實際產品、服务、系統或資料流不匹配。
實施需要多长時間?
expand_more
聚焦實施通常需要數月。週期取決於成熟度、產品或場所數量、供應商參與度、技術複雜度、測試證據以及外部審查深度。
哪些證據最有用?
expand_more
有用證據包括CAIQ 回覆、CCM 對應、政策、SOC 或 ISO 报告、渗透測試、弱點記錄、事件流程、共享責任文件和登記提交。稽核员、監管機構、客戶或審評人員通常期望看到控制正在執行,而不仅是政策存在。
应如何管理供應商?
expand_more
供應商責任应通过合約和執行流程明確。高風險供應商需要盡職調查、下傳要求、證據請求、績效監控以及针对發現項或事件的升級路徑。
專案应多久審查一次?
expand_more
審查频率应跟随風險和變化。年度審查很常見,但產品發布、事件、監管變化、客戶要求、重大供應商或稽核发现应更早觸發專項審查。
可以与其他合規專案整合吗?
expand_more
可以。CSA STAR 通常可以与相关標準共享治理、訓練、供應商管理、文件控制、問題追蹤、內部稽核和管理審查,同时保留自身特定法律或技術證據。