CSA STAR管理体系认证

保证IT网络与数据安全，对企业而言至关重要。在对性价比更高的储存和软件解决方案需求，以及方便快捷的移动访问方面的需求不断加大的背景下，云计算的使用率与日俱增。尽管云计算开拓了许多新的机遇，但也在公司信息技术方面带来了一系列新的风险。STAR云安全评估是一个全新而独特的服务，它旨在应对与云安全相关的特定问题，是ISO/IEC27001的增强版本。为了应对与日俱增的商业问题，云安全联盟（简称为CSA，是一家非盈利性组织）长期致力于推广云计算方面的最佳实践；它开发并推出了云控制矩阵(CCM)（该矩阵是由一个行业工作组共同开发完成的），它规定了云安全相关的常用控制措施。

需要更多信息？

我们最快2小时内联系您

手机号码电子邮箱

*自动注册会员，在线查看咨询进度

立即咨询

我已阅读并同意隐私政策

发送成功

您的咨询信息已收到，我们将尽快与您联系！

用户账号：{{ form.phone || form.email }}

已为您注册SGS在线商城会员
可使用账号快捷登陆

到“我的咨询”查看咨询进度

{{countdownTime}}秒后自动跳转

扫码关注SGS官方微信公众号，回复“0”赢惊喜礼品！

关闭

业务背景

一、最近几乎每一项市场调查都预测云服务的快速扩张。著名的信息和通信技术市场研究公司加特纳Gartner预测，云计算市场从2012年的1100亿美元增长到2017年的1310亿美元，整体增长了18.6%【1】。思科全球云指数【2】预测IaaS和SaaS服务正分别以13%的复合年增长率和33%的复合年增长率快速成长。

现在差不多所有的个人和消费层面的应用均为云端应用。但是，在企业、政府和公共服务环境中云服务的采用依然不高。根据Ciphercloud的研究显示，合规性（64%）和数据安全（32%）是现阶段云应用面临的最大的两个挑战。

二、“如果一个云服务提供商能提供安心和信心给到其用户，证明其云服务是可靠的、符合适用法规的、符合合同要求的，并且采用了最好的行业实践的，那么这个服务提供商就有可能成为客户优先选择的云服务提供商”。在这种背景下，ISO/IEC27017、ISO/IEC27018和CSA-Star应运而生。

三、对云营运来讲，ISO/IEC27001:2013是一个很好的标准，但云服务提供商希望看到更多的针对云的控制规范，来帮助他们解决云的具体问题。ISO/IEC27017/ISO/IEC27018和CSA-Star标准是工业界提出的这些要求的结果。

四、云服务提供商提供的传统服务级别协议(SLA)主要侧重于数据中心的绩效，如服务器和网络可用性、环境和物理安全问题，以及传统的服务，如备份和监控等环节。其有特定的关注点，并且它们通常不在服务级别和合同协议中提到。

标准概述

CSA STAR 是 Cloud Security Alliance Security Trust Assurance and Risk 的缩写，中文通常译为“云安全联盟安全信任保证和风险”项目。

它是一个全球性的、基于行业共识的云安全透明度和保证框架。其核心理念是：在云服务领域，安全不仅取决于技术，更取决于透明度和信任。

STAR项目提供三个逐级增强的保证级别，满足不同场景的需求：
第一级：STAR注册（自我评估）
第二级：STAR认证（第三方独立审计）
第三级：STAR持续监控（基于持续评估的信任）

服务内容

一、云安全评估评级: STAR等级分为金牌、银牌或铜牌；
二、云安全标准培训。

认证益处

一、确保管理层能够掌握全面的信息，从而评估其管理体系是否能够达到国际标准与云安全行业的预期。
二、开展量身定制的审计工作，反映出如何将公司目标定位于实现云服务的优化。
三、使公司通过外部认证机构的独立评级，证明进展情况和绩效水平。
四、使公司将其业绩表现与同行进行基准比较。
五、通过STAR云安全评估，接受认证的公司将能够使其潜在客户更深入的了解安全控制水平。此外，STAR云安全评估将会突出公司需要关注的领域。

六、CSA STAR认证通过提供一套标准化的工具和机制，帮助云服务提供商（CSP）公开其安全实践，同时帮助云服务客户（CSC）评估和比较不同提供商的安全水平。

认证规则

CNLPQP_CSA_01 CSA STAR管理体系认证版本1.0

发布单位	发布日期	规则来源
通标标准技术服务有限公司	2025年9月3日	自行制定

适用范围

认证对象通过 ISO/IEC 27001 认证，提供 IaaS、PaaS、SaaS 或云解决方案服务，申请云安全联盟CSA STAR 2级认证。

认证依据

云控制矩阵-要求 CCM-Control Specification，CCM v4.0.10

发布单位	发布日期	实施日期
云安全联盟CSA	2024年6月3日	2024年6月3日

认证流程

一、具体内容

步骤1 – 签订合同：SGS根据组织的规模及业务类型提供定制化的审核计划。

步骤2 – 预审核：SGS提供可选择的针对准备情况与薄弱环节的“预审”服务。

步骤3 – 正审第一阶段：对组织建立的文件化体系及其他重要体系进行评估，提出不符合项。

步骤4 – 正审第二阶段：现场审核，提出审核发现，审核合格后会签发证书。

步骤5 – 监督审核：根据合同，每半年或一年对体系和整改计划的实施进行监督审核。

步骤6 – 再认证：证书签发3年期满后，实施再认证审核。

二、图示

认证流程

如需获得认证规则全文，请联系：010-58352655 BA.China@sgs.com

查看SGS实施守则、认证标志使用管理规则等通用条款与条件，请点击条款与条件

证书模板

我们的优势

1. 凭借在信息安全管理领域的专业服务和丰富经验，SGS能够将ISO/IEC27017和ISO/IEC27018规范要求与ISO/IEC27001认证要求进行有效结合，帮助你向客户展示服务水平和能力，增强客户信心。
2. 在全球，SGS拥有庞大的审核团队，其中大多数审核员拥有多标准资质。这一庞大的多技能审核员队伍意味着SGS能够同时在世界不同的地点，处理多标准审核，加快合规保证过程，使项目达到无忧管理。
3. 作为国际公认的检验、鉴定、测试和认证机构，SGS在IT信息安全领域解决方案范围广泛，致力于为各行业机构提供全方位管理提升服务，包括：ISO/IEC27701、ISO/IEC29151、ISO/IEC27001、ISO/IEC20000、CSA STAR、ISO/IEC27017、ISO/IEC27018、ISO22301、GDPR等培训、认证和审核相关服务。