Open Certification Framework

OCF

 

Program Security, Trust and Assurance Registry (“STAR”) jest częścią CSA Open Certification Framework („OCF”), który jest branżową inicjatywą polegającą na przyznawaniu dostawcom usług w chmurze  globalnych, akredytowanych, zaufanych certyfikatów potwierdzających stosowanie najlepszych praktyk w zarządzaniu bezpieczeństwem

OCF jest elastycznym, przyrostowym i wielowarstwowym programem certyfikacyjnym zgodnym z przewodnikiem CSA i celami kontrolnymi zdefiniowanymi w zakresie CSA GRC (Governance, Risk and Compliance).

Projekt integruje powszechne programy certyfikacyjne prowadzone przez zaufane trzecie strony oraz mapuje wymagania uznanych norm, standardów oraz najlepszych praktyk z zakresu bezpieczeństwa i nadzoru IT.  Obejmuje swoim zakresem ocenę zaufanej trzeciej strony oraz ciągłe monitorowanie i doskonalenie.

CSA Open Certification Framework dostarcza:

•Ścieżkę mapowania kwestii związanych z zachowaniem zachowania zgodności z obowiązującymi, lokalnymi regulacjami do globalnie uznanych najlepszych praktyk w tym zakresie. Na przykład, rządy mają możliwość zaadaptowania unikalnych, lokalnych wymagań na najwyższej warstwie GRC Stack Stack  (Governance, Risk and Compliance) i w ten sposób udostępnić możliwość certyfikacji w sektorze publicznym
•Przewodnik dla dostawców jak korzystać z narzędzi GRC Stack w celu certyfikacji np. jakie kroki należy podjąć w celu spełnienia wymagań standardu ISO 27001, które są zmapowane z wymaganiami zawartymi w Cloud Control Matrix (CCM)
Dostawcy usług mogą przedstawić 2 różne typy raportów potwierdzających zgodność z wymaganiami najlepszych praktyk wskazanych przez CSA oraz uznanych norm i standardów (m.in. ISO/IEC 27001).

CSA Security, Trust & Assurance Registry (STAR) jest publicznie dostępnym rejestrem, w którym udokumentowane są systemy kontroli stosowane przez dostawców usług. Program Open Certification Framework składa się z kilku poziomów.

1 . Samoocena – Polega na opublikowaniu deklarowanej przez dostawcę samooceny opartej na Consensus Assessment Initiative (CAI) Questionnaire i  Cloud Control Matrix (CCM).

2. Certyfikacja / Atestacja:  Polega na publikacji wyników oceny dokonanej przez niezależną stronę. Certyfikacja obejmuje ocenę zgodności z wymaganiami Cloud Control Matrix oraz standardu ISO27001. W tym celu Cloud Security Alliance nawiązał w pażdzierniku zeszłego roku współpracę z British Standard Institute. Atestacja opiera się na wynikach raportu 2 SOC – Service Operation Centre (dawny SAS 70, obecnie SSAE 16.) wykorzystującego elementy Cloud Control matrix

3. STAR Continuous: Jest w fazie rozwoju i jego uruchomienie jest przewidziane na koniec 2015. Polega na publikacji wyników ciągłego audytu i monitoringu opartego na Cloud Audit i Cloud Trust Protocol (CTP). W rejestrze STAR widnieje około 50 dostawców z czego tylko 3 osiągnęły 2 poziom programu.  Program OCF został oficjalnie zatwierdzony przez rządową agencję Tajlandii do stosowania przez dostawców usług. Program ma być rozszerzony na państwa należące do stowarzyszenia narodów Azi południowo- wschodniej. Obecnie w Parlamencie Europejskim trwają dyskusję nad przyjęciem bądź opracowaniem programu certyfikacyjnego dla europejskich dostawców. Jednym z programów branym pod uwagę jest Open Certification Framework

Facebooktwittergoogle_pluslinkedin
Facebooklinkedin

Skomentuj