RSSCSA STAR 輔導顧問課程(Day 1)
5 月 04
CCSK + ISO27001:2013 + CSA STAR =
CSA STAR 認證 顧問輔導班課程
–
何謂雲端運算?
雲端543, 5個特徵, 4種佈署, 3個服務模式 (由美國NIST所定義)
課堂討論1:
SLA在 IaaS, PaaS, SaaS 不同服務模式下, 其區別為何?
IaaS的SLA: 著重在, 備援機制, 網路可存取性,
PaaS的SLA: 著重在, 軟體漏洞是否被修補, 開發環境是否安全, 完整
SaaS的SLA: 著重在,
是 User <—> Provider之間的關係
CSA依Custom與Provider所簽定的SLA為主(服務契約), 而非完全依ISO27001:2013所約束
活動2:
雲端運算對組織的益處
試說明IT委外給CSP的商業利益
–
CSA是什麼樣的組織?
雲端運算的重大威脅
1st, 資料外洩: 人員 ← ISO17024, 或是牽扯到多租戶的資料庫不正確設計
(其餘參考講義)
CCM(1.4版)雲端控制矩陣: 共11個領域, 98個控制項
CCM的基礎: 為滿足標準化的期望
ISO27001/27002
ISACA COBIT
PCI, NIST
Jericho Forum
NERC CIP
CCM3.0在2015/02之後,強制為CCM3.01, 這是因為3.0版未考量到對ISO27001:2013的變化
http://jackforsec.blogspot.tw/2014/07/ccmcaiq-v301.html
CCM 3.0 共有16個領域, 136個控制項 (僅考慮 ISO27001:2005)
新版的雲端控制矩陣CCM提供了雲端服務供應商基本的安全原則,可以協助業者自行評估所面臨的雲端風險,在CCM v.3.0.1中包括了16項安全領域和基本的安全控制措施,並且可以和業界與國際標準相互參照,以減少稽核時的重覆性與複雜性。
不同於v.3.0的新版主要更新重點如下:
-
新版CCM更新為16項安全領域,並且對應至常見的其他標準,如AICPA 2014 TSC, COBIT 5.0, ISO/IEC 27001:2013等。
-
新版CCM整合了重覆的控制措施,從舊版v.3.0的136個減少至133個,同時重新改寫了控制措施內容,讓目的更清楚,並且可以滿足STAR認證的要求。
-
新版的CAIQ則提供了更簡要清楚的問題內容,並且對應至CCM和雲端運算安全指南v3.0的內容,讓雲端服務供應商可以更容易地進行自我評估,以滿足客戶的期待與要求。
CCM3.0.1, 共有16個領域, 133個控制項(已考慮, 並對應 ISO27001:2013)
活動3:
把 CCM控制項對應到ISO27001
–
成熟度
以服務的角度來看, 以整個SET(人, 事, 物)
以量化的方式, 來看成熟度 (亦即以評分的方式進行,但人為上,較主觀)
基本上, 如有組織有通過ISO27001, 應該4-6分沒問題, 因為1-3其實是不符合的狀態
從11個領域(CSA1.4版)來看, 如果平均分數為6.54(大於6.5)則視為7分, 會發給銀牌, 而非銅牌
No Award 沒牌: 0-3
Bronze銅牌: 4-6
Sliver銀牌: 7-9
Gold金牌: 10-12
第一天小結
CSA STAR 與ISO27001同時並行, 綜合效益較大, 也可不用, 只是會些許犠牲STAR自行循環