云安全联盟 (CSA) STAR 自我评估

CSA STAR 自我评估概述

云安全联盟 (CSA) 是一家非营利性组织,它由行业从业人员、公司和其他重要利益干系人组成联盟进行领导。 该联盟致力于确定可帮助确保云计算环境更加安全的最佳做法,同时帮助潜在的云客户在将其 IT 运营过渡到云端时做出知情决策。

2010 年,CSA 发布了一套用于评估云 IT 运营的工具:CSA Governance、Risk Management 和 Compliance (GRC) Stack。 其目的在于帮助云客户对云服务提供商 (CSP) 遵循行业最佳做法和标准以及遵守法规的情况进行评估。

2013 年,CSA 和英国国家标准协会启动了安全、信任及保证注册表 (STAR),这是一个可公开访问的免费注册表,CSP 可在其中发布他们与 CSA 相关的评估。

CSA STAR 基于 CSA GRC Stack 的两大关键组成部分:

  • 云控制矩阵 (CCM):一个涵盖 16 个域的基本安全原则的控制措施框架,它可帮助云客户对 CSP 的整体安全风险进行评估。
  • 共识评估倡议调查表 (CAIQ):一份根据 CCM 制定的调查表,其中有客户或云审计师可能想要要求 CSP 根据 CSA 最佳做法对其合规性进行评估的 140 多个问题。

STAR 提供三种级别的保障;CSA-STAR 自我评估是第 1 级别的入门级服务,它免费提供并向所有 CSP 公开。 在保障堆栈中更深一步,第 2 级别的 STAR 计划涉及到第三方基于评估的认证,第 3 级别涉及到基于持续监视授予的认证。

Microsoft 与 CSA STAR 自我评估

作为 STAR 自我评估的一部分,CSP 可提交两种不同类型的文档来指出其遵守 CSA 最佳做法,它们分别是填好的 CAIQ 以及一份记录是否符合 CCM 的报告。 在 CSA STAR 自我评估方面,Microsoft 对 Microsoft Azure 发布了 CAIQ 调查表和基于 CCM 的报告,对 Microsoft Dynamics 365 和 Microsoft Office 365 发布了基于 CCM 的报告。

Microsoft 范围内的云平台和云服务

Azure、Dynamics 365 和 CSA STAR 自我评估

有关 Azure、Dynamics 365 和其他联机服务合规性的详细信息,请参阅 Azure CSA STAR 自我评估产品/服务

Office 365 与 CSA STAR 自我评估

Office 365环境

Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下Office 365环境:

  • 客户端软件(客户端):客户设备上运行的商业客户端软件。
  • Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
  • Office 365 政府社区云 (GCC)Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
  • Office 365 政府社区云 - 高 (GCC High)Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
  • Office 365 DoD (DoD)Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性:

适用性 范围内服务
商业 Exchange Online, Exchange Online Protection, Office 365 客户门户, Office Online, Office 服务基础结构, OneDrive for Business, SharePoint Online, Skype for Business

常见问题解答

CSA CCM 向哪些行业标准看齐?

CCM 与行业接受的安全标准、法规和控制措施框架相对应,例如 ISO 27001、PCI DSS、HIPAA、AICPA SOC 2、NERC CIP、FedRAMP 和 NIST 等等。 有关最新列表,请访问 CSA 网站

CSA STAR 自我评估为什么很重要?

它让 CSP 能够在记录与 CSA 发布的最佳做法的合规情况方面保证公开透明操作。 自我评估公开提供,从而可帮助云客户了解 CSP 的安全实践并采用同一基线对各个 CSP 进行对比。

Office 365 获得了哪些 CSA STAR 级别的保障?

  • 级别 1CSA STAR 自我评估:是云服务提供商提供的 免费产品/服务,用于记录其安全控制措施,以帮助客户对服务的安全性进行评估。

Office 365 资源