在選擇一個(gè)云提供商時(shí)，他們應(yīng)該具備哪些云安全認(rèn)證和標(biāo)準(zhǔn)?是否有匹配具體安全服務(wù)類(lèi)型的認(rèn)證?

安全需求跨度非常廣，涵蓋行業(yè)甚至企業(yè)自己內(nèi)部，但是確有一些共性的需求來(lái)保證云安全認(rèn)證和標(biāo)準(zhǔn)的開(kāi)發(fā)。一些標(biāo)準(zhǔn)很明顯是適用的，比如SOC標(biāo)準(zhǔn)，還有一些其他的具體產(chǎn)業(yè)的標(biāo)準(zhǔn)，比如健康信息信任聯(lián)盟(HITRUST)。

下面這些是主要的一些認(rèn)證：

SOC 1認(rèn)證證明了財(cái)務(wù)報(bào)表上的質(zhì)量控制，同時(shí)SOC 2和SOC 3報(bào)表則解決安全、可用性、流程完整性以及與信息系統(tǒng)相關(guān)的其他因素。

ISO 27001是一種跨行業(yè)的安全標(biāo)準(zhǔn)，解決了需求、實(shí)施、度量以及代碼的實(shí)踐。

云安全聯(lián)盟的STAR認(rèn)證項(xiàng)目另外一個(gè)主要的安全標(biāo)準(zhǔn)，實(shí)際上由于其合并了其他標(biāo)準(zhǔn)，更像是元標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)旨在專(zhuān)門(mén)針對(duì)云提供商并且基于兩個(gè)主要組件構(gòu)建：云控制矩陣和一致性評(píng)估計(jì)劃問(wèn)卷(CAIQ)。云控制矩陣是一套安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，而CAIQ則是以問(wèn)題列表的形式幫助云客戶評(píng)估云服務(wù)提供商。

HITRUST認(rèn)證和PCI DSS認(rèn)證是重要的醫(yī)療健康和支付卡產(chǎn)業(yè)組織認(rèn)證。HITRUST是安全和醫(yī)療健康組織關(guān)注的組織，關(guān)注于創(chuàng)建通用的安全框架(CSF)。這個(gè)CSF包含了實(shí)施需求以及替代控制的具體細(xì)節(jié)。取得CSF認(rèn)證證明遵從了HIPAA和HITRUST標(biāo)準(zhǔn)。

除了這些云安全認(rèn)證，當(dāng)然可能還有一些重復(fù)的認(rèn)證，還可能需要關(guān)注一下國(guó)家的安全框架。這當(dāng)然并非認(rèn)證，但是是評(píng)估安全的框架，而且那些文檔包括了更多具體的安全話題的參考和鏈接。

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_91581.htm