雲端安全性聯盟 (CSA) STAR 自我評定
CSA STAR 自我評定概觀
雲端安全性聯盟 (CSA) 是一個非贏利組織,由廣泛的行業從業者、公司和其他重要專案關係人聯盟所領導。 該組織致力於定義最佳做法,以協助確保更安全的雲端運算環境,並協助潛在的雲端客戶在將其 IT 營運轉換到雲端時做出明智的決策。
在 2010 年,CSA 發佈了一套可評估雲端 IT 營運的工具:CSA Governance、Risk Management 及 Compliance (GRC) Stack。 這是專為協助雲端客戶評估雲端服務提供者 (CSP) 遵循業界最佳做法和標準並遵守法規的方式而設計。
在 2013 年,CSA 和英國標準協會 (British Standards Institution) 推出了安全性、信任與保證註冊 (STAR),這是一個免費且可公開存取的註冊服務,CSA 可以在其中發佈與 CSA 相關的評定。
CSA STAR 是以 CSA GRC Stack 的兩個重要元件為基礎:
- 雲端控制矩陣 (CCM):這是一個控制措施架構,涵蓋 16 個網域之間的基本安全性原則,以協助雲端客戶評估 CSP 的整體安全性風險。
- 自我評定問卷 (Consensus Assessments Initiative Questionnaire,CAIQ):以 CCM 為主的 140 多個問題,客戶或雲端稽核人員可能會想要詢問 CSP,以評估其對 CSA 最佳做法的合規性。
STAR 提供三個保證層級;CSA-STAR 自我評定是層級 1 的介紹性方案,免費開放給所有 CSP 使用。 STAR 方案的層級 2 進一步提升保證堆疊,其中涉及協力廠商評定的認證,而層級 3 則涉及以持續監視為主的認證。
Microsoft 和 CSA STAR 自我評定
在 STAR 自我評定中,CSP 可以提交下列兩種不同類型的文件,以表示對 CSA 最佳做法的合規性:已完成的 CAIQ,或是記載對 CCM 之合規性的報告。 對於 CSA STAR 自我評定,Microsoft 會為 Microsoft Azure 發佈將 CAIQ 和 CCM 的報告,並為 Microsoft Dynamics 365 和 Microsoft Office 365 發佈 CCM 的報告。
Microsoft 範圍內雲端平台與服務
- Azure 和 Azure Government
- Dynamics 365
- Office 365
Azure、Dynamics 365 和 CSA STAR 自我評定
如需 Azure、Dynamics 365 及其他線上服務合規性詳細資訊,請參閱 Azure CSA STAR 自我評定供應項目。
Office 365 和 CSA STAR 自我評定
Office 365環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋下列 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| 商業 | Exchange Online、Exchange Online Protection、Office 365 客戶入口網站、Office Online、Office 服務基礎結構、商務用 OneDrive、SharePoint Online、商務用 Skype |
常見問題集
CSA CCM 符合哪些產業標準?
CCM 符合產業公認的安全性標準、規定及控制措施架構,例如:ISO 27001、PCI DSS、HIPAA、AICPA SOC 2、NERC CIP、FedRAMP、NIST 等等。 如需最新清單,請瀏覽 CSA 網站。
為什麼 CSA STAR 自我評定很重要?
它可讓 CSP 以透明的方式記載對 CSA 發佈的最佳做法的合規性。 自我評定報告可公開取得,因此可協助雲端客戶深入了解 CSP 的安全性做法,並使用相同的基準來比較不同的 CSP。
Office 365 獲得哪些 CSA STAR 保證層級?
- 層級 1:CSA STAR 自我評定:是雲端服務提供者所提供的 免費供應項目,用於記載其安全性控制措施以協助客戶評估服務安全性。
Office 365 資源
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應