云安全联盟 (CSA) STAR 自我评估
CSA STAR 自我评估概述
云安全联盟 (CSA) 是一家非营利性组织,它由行业从业人员、公司和其他重要利益干系人组成联盟进行领导。 该联盟致力于确定可帮助确保云计算环境更加安全的最佳做法,同时帮助潜在的云客户在将其 IT 运营过渡到云端时做出知情决策。
2010 年,CSA 发布了一套用于评估云 IT 运营的工具:CSA Governance、Risk Management 和 Compliance (GRC) Stack。 其目的在于帮助云客户对云服务提供商 (CSP) 遵循行业最佳做法和标准以及遵守法规的情况进行评估。
2013 年,CSA 和英国国家标准协会启动了安全、信任及保证注册表 (STAR),这是一个可公开访问的免费注册表,CSP 可在其中发布他们与 CSA 相关的评估。
CSA STAR 基于 CSA GRC Stack 的两大关键组成部分:
- 云控制矩阵 (CCM):一个涵盖 16 个域的基本安全原则的控制措施框架,它可帮助云客户对 CSP 的整体安全风险进行评估。
- 共识评估倡议调查表 (CAIQ):一份根据 CCM 制定的调查表,其中有客户或云审计师可能想要要求 CSP 根据 CSA 最佳做法对其合规性进行评估的 140 多个问题。
STAR 提供三种级别的保障;CSA-STAR 自我评估是第 1 级别的入门级服务,它免费提供并向所有 CSP 公开。 在保障堆栈中更深一步,第 2 级别的 STAR 计划涉及到第三方基于评估的认证,第 3 级别涉及到基于持续监视授予的认证。
Microsoft 与 CSA STAR 自我评估
作为 STAR 自我评估的一部分,CSP 可提交两种不同类型的文档来指出其遵守 CSA 最佳做法,它们分别是填好的 CAIQ 以及一份记录是否符合 CCM 的报告。 在 CSA STAR 自我评估方面,Microsoft 对 Microsoft Azure 发布了 CAIQ 调查表和基于 CCM 的报告,对 Microsoft Dynamics 365 和 Microsoft Office 365 发布了基于 CCM 的报告。
Microsoft 范围内的云平台和云服务
- Azure 与 Azure 政府
- Dynamics 365
- Office 365
Azure、Dynamics 365 和 CSA STAR 自我评估
有关 Azure、Dynamics 365 和其他联机服务合规性的详细信息,请参阅 Azure CSA STAR 自我评估产品/服务。
Office 365 与 CSA STAR 自我评估
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
| 适用性 | 范围内服务 |
|---|---|
| 商业 | Exchange Online, Exchange Online Protection, Office 365 客户门户, Office Online, Office 服务基础结构, OneDrive for Business, SharePoint Online, Skype for Business |
常见问题解答
CSA CCM 向哪些行业标准看齐?
CCM 与行业接受的安全标准、法规和控制措施框架相对应,例如 ISO 27001、PCI DSS、HIPAA、AICPA SOC 2、NERC CIP、FedRAMP 和 NIST 等等。 有关最新列表,请访问 CSA 网站。
CSA STAR 自我评估为什么很重要?
它让 CSP 能够在记录与 CSA 发布的最佳做法的合规情况方面保证公开透明操作。 自我评估公开提供,从而可帮助云客户了解 CSP 的安全实践并采用同一基线对各个 CSP 进行对比。
Office 365 获得了哪些 CSA STAR 级别的保障?
- 级别 1:CSA STAR 自我评估:是云服务提供商提供的 免费产品/服务,用于记录其安全控制措施,以帮助客户对服务的安全性进行评估。