Cloud Security Alliance (CSA) STAR SelbsteinschätzungCloud Security Alliance (CSA) STAR self-assessment

Übersicht über die CSA STAR-SelbstbewertungCSA STAR self-assessment overview

Die Cloud Security Alliance (CSA) ist eine gemeinnützige Organisation, der verschiedene Branchenexperten, Unternehmen und andere wichtige Stakeholder angehören.The Cloud Security Alliance (CSA) is a nonprofit organization led by a broad coalition of industry practitioners, corporations, and other important stakeholders. Die Organisation hat es sich zur Aufgabe gemacht, Best-Practice-Lösungen zu definieren, um die Sicherheit der Cloud Computing-Umgebung zu erhöhen und potenziellen Cloudkunden dabei zu helfen, fundierte Entscheidungen bei der Umstellung ihres IT-Betriebs zu treffen.It is dedicated to defining best practices to help ensure a more secure cloud computing environment, and to helping potential cloud customers make informed decisions when transitioning their IT operations to the cloud.

2010 veröffentlichte die CSA eine Reihe von Tools, um die Vorgänge der Cloudinformationstechnologie zu bewerten: CSA Governance, Risk Management and Compliance (GRC) Stack.In 2010, the CSA published a suite of tools to assess cloud IT operations: the CSA Governance, Risk Management, and Compliance (GRC) Stack. Dieses Toolset soll Cloudkunden dabei unterstützen zu bewerten, wie Clouddienstanbieter (CSP) den branchenüblichen bewährten Methoden und Standards folgen und Complianceanforderungen erfüllen.It was designed to help cloud customers assess how cloud service providers (CSPs) follow industry best practices and standards and comply with regulations.

2013 startete die CSA zusammen mit der British Standards Institution die „Security, Trust & Assurance Registry“, kurz STAR, ein kostenloses, öffentlich zugängliches Verzeichnis, in dem Clouddienstanbieter ihre CSA-bezogenen Bewertungen veröffentlichen.In 2013, the CSA and the British Standards Institution launched the Security, Trust & Assurance Registry (STAR), a free, publicly accessible registry in which CSPs can publish their CSA-related assessments.

CSA STAR basiert auf zwei Hauptkomponenten des CSA GRC Stack:CSA STAR is based on two key components of the CSA GRC Stack:

  • Cloud Controls Matrix (CCM): ein Kontrollrahmen, der grundlegende Sicherheitsprinzipien in 16 Bereichen abdeckt, um Cloudkunden bei der Bewertung des Gesamtsicherheitsrisikos eines CSPs zu unterstützen.Cloud Controls Matrix (CCM): a controls framework covering fundamental security principles across 16 domains to help cloud customers assess the overall security risk of a CSP.
  • Consensus Assessments Initiative Questionnaire (CAIQ): ein Satz von über 140 Fragen basierend auf dem CCM, die ein Kunde oder ein Cloudprüfer CSPs stellen kann, um ihre Compliance mit bewährten Methoden der CSA zu bewerten.The Consensus Assessments Initiative Questionnaire (CAIQ): a set of more than 140 questions based on the CCM that a customer or cloud auditor may want to ask of CSPs to assess their compliance with CSA best practices.

STAR umfasst drei Assurance-Stufen; CSA STAR-Selbstbewertung stellt das Einführungsangebot auf Stufe 1 dar, die allen CSPs kostenlos zur Verfügung steht.STAR provides three levels of assurance; CSA-STAR Self-Assessment is the introductory offering at Level 1, which is free and open to all CSPs. Stufe 2 des STAR-Programms umfasst bewertungsbasierte Zertifizierungen durch Dritte und Stufe 3 umfasst Zertifizierungen auf der Basis einer kontinuierlichen Überwachung.Going further up the assurance stack, Level 2 of the STAR program involves third-party assessment-based certifications, and Level 3 involves certifications based on continuous monitoring.

Microsoft und die CSA STAR-SelbstbewertungMicrosoft and CSA STAR self-assessment

Im Rahmen der STAR-Selbstbewertung können CSPs zwei verschiedene Dokumenttypen einreichen, um ihre Compliance mit den bewährten Methoden der CSA nachzuweisen: einen beantworteten CAIQ oder einen Bericht, der die CCM-Compliance dokumentiert.As part of the STAR Self-Assessment, CSPs can submit two different types of documents to indicate their compliance with CSA best practices: a completed CAIQ, or a report documenting compliance with CCM. Für die CSA STAR-Selbstbewertung veröffentlicht Microsoft sowohl einen CAIQ als auch einen CCM-basierten Bericht für Microsoft Azure sowie CCM-basierte Berichte für Microsoft Dynamics 365 und Microsoft Office 365.For the CSA STAR Self-Assessment, Microsoft publishes both a CAIQ and a CCM-based report for Microsoft Azure, and CCM-based reports for Microsoft Dynamics 365 and Microsoft Office 365.

Erfahren Sie, wie Sie die Bereitstellung Ihrer CSA STAR-Selbstbewertung mit der Azure-Blaupause für Sicherheit und Compliance beschleunigen können. Azure-Antwort auf die CSA-Konsensbewertung herunterladenLearn how to accelerate your CSA STAR Self-Assessment deployment with our Azure Security and Compliance Blueprint: Download Azure response to the CSA Consensus Assessments

Microsoft-Clouddienste im LeistungsumfangMicrosoft in-scope cloud services

Prüfungen, Berichte und ZertifikateAudits, reports, and certificates

Häufig gestellte FragenFrequently asked questions

An welchen Branchenstandards ist die CSA CCM ausgerichtet?Which industry standards does the CSA CCM align with?

Die CCM entspricht branchenweit anerkannten Sicherheitsstandards, Bestimmungen und Kontrollrahmen wie ISO 27001, PCI DSS, HIPAA, AICPA SOC 2, NERC CIP, FedRAMP, NIST und vielen weiteren.The CCM corresponds to industry-accepted security standards, regulations, and control frameworks such as ISO 27001, PCI DSS, HIPAA, AICPA SOC 2, NERC CIP, FedRAMP, NIST, and many more. Eine aktuelle Liste finden Sie auf der CSA-Website.For the most current list, visit the CSA website.

Warum ist die CSA STAR-Selbstbewertung wichtig?Why is the CSA STAR Self-Assessment important?

Sie ermöglicht CSPs, ihre Compliance mit den von der CSA veröffentlichten bewährten Verfahren auf transparente Weise zu dokumentieren.It enables CSPs to document compliance with CSA published best practices in a transparent manner. Selbstbewertungsberichte sind öffentlich zugänglich. So erhalten Cloudkunden mehr Transparenz in die Sicherheitsmethoden von CSPs und können verschiedene CSPs auf derselben Grundlage vergleichen.Self-assessment reports are publicly available, thereby helping cloud customers gain visibility into the security practices of CSPs, and compare various CSPs using the same baseline.

Welche CSA STAR-Bewertungen haben Microsoft Business Cloud Services erhalten?Which CSA STAR levels of assurance have Microsoft business cloud services attained?

  • Stufe 1: CSA STAR-Selbstbewertung: Azure, Dynamics 365 und Office 365.Level 1: CSA STAR Self-Assessment: Azure, Dynamics 365, and Office 365. Die Selbstbewertung ist ein ergänzendes Angebot der Clouddienstanbieter, um ihre Sicherheitskontrollen zu dokumentieren und die Kunden beim Bewerten der Sicherheit des Diensts zu unterstützen.The Self-Assessment is a complimentary offering from cloud service providers to document their security controls to help customers assess the security of the service.
  • Stufe 2: CSA STAR-Zertifizierung: Azure, Microsoft Cloud App Security, Intune und Power BI.Level 2: CSA STAR Certification: Azure, Microsoft Cloud App Security, Intune, and Power BI. Für die STAR-Zertifizierung ist das Erreichen der ISO/IEC 27001-Zertifizierung und die Erfüllung der in der CCM angegebenen Kriterien erforderlich.STAR Certification is based on achieving ISO/IEC 27001 certification and meeting criteria specified in the CCM. Sie wird nach strenger Bewertung der Sicherheitskontrollen und Methoden eines Clouddienstanbieters durch Dritte erteilt.It is awarded after a rigorous third-party assessment of the security controls and practices of a cloud service provider.
  • Stufe 2: CSA STAR-Nachweis: Azure und Intune.Level 2: CSA STAR Attestation: Azure and Intune. CSA und AICPA haben gemeinsam Richtlinien für CPAs aufgestellt, die diese für SOC 2-Bestrebungen unter Verwendung der Kriterien des AICPA (Trust Service Principles, AT 101) und der CSA CCM nutzen können.CSA and the AICPA have collaborated to provide guidelines for CPAs to use in conducting SOC 2 engagements, using criteria from the AICPA (Trust Service Principles, AT 101) and the CSA CCM. Der STAR-Nachweis beruht auf diesen Richtlinien und wird aufgrund strenger unabhängiger Bewertungen der Cloudanbieter ausgestellt.STAR Attestation is based on these guidelines and is awarded after rigorous independent assessments of cloud providers.

RessourcenResources

Microsoft CSA STAR-SelbstbewertungenMicrosoft CSA STAR self-assessments