云安全技术(五)之评估云服务供商
评估云服务提供商 Evaluate Cloud Service Providers
1.1 根据标准认证 Verification against criteria
- ISO/EC 27001和27001:2013
- NIST SP 800-53
- 支付卡行业数据安全标准(PCI DSS)
- SOC 1、SOC 2和SOC 3
- 通用准则(Common Criteria)
- FIPS 140-2
1.2 系统/子系统产品认证 System/subsystem product certifications
SOC2报告扩展到基本财务审计主题以外,包括五个方面。对于云安全专家而言,最重要的是安全原则(其他原则是可用性、处理完整性、机密性或隐私性)。安全原则包括七类:
- 组织和管理
- 通信
- 风险管理以及控制措施的设计与实施
- 控制措施的持续监测
- 逻辑和物理访问控制措施
- 系统运营
- 变更管理
最受云客户欢迎的云安全认证:
- ISO/IEC 27001和27001:2013
- 支付卡行业数据安全标准(PCI DSS)
- SOC 1、SOC 2和SOC 3
- 通用准则ISO15408