雲端服務評估工具和認證計劃

 

雲端服務供應商可以利用雲端服務評估工具和雲端服務認證,向潛在客戶宣傳其可提供的服務及自身的能力。市場上有一定數量的雲端服務評估工具和雲端服務認證計劃可供選擇,這些工具和認證計劃的設計都考慮了與雲端服務相關的各個方面。

 

雲端服務評估工具

 

甚麼是雲端服務評估工具?

 

雲端服務評估工具的使用旨在幫助雲端服務的各類持份者根據一些預定的準則對雲端服務作評估。一般來說,應用這些雲端服務評估工具都不必由獨立第三方作出核實。

 

市場上有針對各類雲端服務持份者的雲端服務評估工具:

 

  • 雲端服務供應商可以使用一些自我評估工具來評定自身的能力及可提供的服務。評估工具的開發機構會將評估結果記錄在一個公開名冊上。因此,用戶能查閱這些結果,以作參考。
  • 另外,市場上有一些自我評估工具只對雲端服務用戶作自我評估,亦有一些評估工具則對雲端服務用戶及雲端服務供應商兩方面作評估。你可以到 這裡 獲取與雲端服務用戶相關的評估工具的資料。

 

 

使用雲端服務評估工具的效益

 

  • 雲端服務供應商透過公佈其自我評估結果,便利了供應商向潛在客戶宣傳供應商自身的能力及可提供的服務。
  • 相比雲端服務認證計劃,評估工具需要較少開支和時間。所以,如果雲端服務供應商暫不計劃獲取雲端服務認證,供應商可考慮進行自我評估,再將其自我評估結果公佈,以供潛在客戶參考。

 

雲端服務評估工具的例子

 

  • 下表列舉了與雲端服務供應商相關的評估工具的例子。
  • 由於資訊保安在雲端服務中備受雲端服務用戶關注,所以雲端服務評估工具普遍以ISO/IEC 27001為基礎,而ISO/IEC 27001是一個有廣泛認受性的資訊保安管理系統國際標準。
  • 雲端服務評估工具通常以問卷形式提供。

 

  評估工具 機構 描述
1 CloudCode CloudCode

CloudCode 是由雲端服務供應商自發公開的業務守則,這業務守則是為了提升雲端服務供應商的服務水平。雲端服務供應商須要遵循以下兩項CloudCode所訂立的承諾:

 

一、雲端服務供應商只能夠在其產品及服務遵循CloudCode的「cloud computing」定義後,方可為該產品及服務定名為雲端運算產品及服務。

 

二、雲端服務供應商須詳細公開其雲端產品及服務相關範疇的重要資料,包括資訊保安、數據位置、數據存取及用途、持續業務運作等。

2 CloudeAssurance CloudeAssurance

CloudeAssurance是個以標準為基礎的平台。雲端服務供應商可以使用它來評估自身的資訊保安計劃,並將評分與基準分數比較。自我評估的評分是一個有效期為180天的“暫定”(Provisional) CloudeAssurance評分。評分的範圍為0至超過850分,代表了由“非常差”(very poor), “差”(poor),“常”(fair), “好”(great), “非常好”(excellent), 以至“最佳”(optimised)的評分。

3 Security, Trust & Assurance Registry (STAR) Cloud Security Alliance (CSA)

Cloud Security Alliance的Security, Trust & Assurance Registry(STAR)Self-Assessment是一個供雲端服務供應商使用的免費且開放的評估工具。該工具容許雲端服務供應商提交自我評估報告。雲端服務供應商須提交以下兩份報告,說明雲端服務供應商提供的雲端服務符合CSA良好作業模式的要求:


一、Consensus Assessments Initiative Questionnaire羅列超過140條雲端服務用戶和雲端服務審計員可能會向雲端服務供應商提出的問題。

 

二、Cloud Controls Matrix提供了一個控制框架,當中包含的資訊保安理念和原則,與CSA內對13個領域的指引一致。

 

  • 你可以到 這裡 獲取與雲端服務用戶相關的自我評估工具的資料。

 

雲端服務認證計劃

 

甚麼是雲端服務認證計劃?

 

  • 雲端服務供應商透過雲端服務認證計劃既可以證明其擁有良好的信譽,又可以展示供應商具備相當能力,能持續地向客戶提供可靠的雲端服務。要獲取特定的雲端服務認證,雲端服務供應商必須經過可信的第三方(認證機構)作評估。
  • 不同的雲端服務認證計劃仍在不斷地發展。雖然市場上仍有待一個被業界公認為標準的認證計劃,但認證計劃的市場正趨向成熟。

  • 雲端服務供應商須要撥出資金予首次的雲端服務認證程序,並須要投放經常性開支以維持認證有效。所以,雲端服務供應商需要就財務及其他重要資源上作出配合,以利獲取雲端服務認證。

 

使用雲端服務認證計劃的效益

 

  • 在認證程序當中,雲端服務供應商需要實施一些改善措施,以達到認證的要求。雲端服務認證因此而改善了雲端服務供應商的服務品質。

  • 對雲端服務供應商而言,獲取雲端服務認證能增加用戶對其可提供服務的信心,因此供應商得以佔據市場上競爭優勢。

  • 對大眾而言,雲端服務認證能增加大眾對雲端運算的信心,因此助長採用雲端運算的市場發展,這無疑提供了更多商機。

 

雲端服務認證計劃的例子

 

  • 下表列舉了與雲端服務供應商相關的雲端服務認證計劃的例子。
  • 由於資訊保安在雲端服務中備受雲端服務用戶關注,所以下表的雲端服務認證計劃都以ISO/IEC 27001為基礎,而ISO/IEC 27001是一個有廣泛認受性的資訊保安管理系統國際標準。
  • 國際標準化組織並不提供認證服務。若機構希望獲取ISO某項國際標準例如ISO/IEC 27001的認證,就必須通過獨立認證機構進行評估以取得相關認證。詳情可瀏覽 http://www.iso.org/iso/home/standards/certification.htm (英文)。

 

  認證計劃 機構 描述
1 Cloud Assurance Assessor Program (CAAP) CloudeAssurance, Inc Cloud Assurance Assessor Program的評估員會獨立地就雲端服務供應商自我評估所得出的分數,根據CloudeAssurance評級系統列出的要求進行核實。
2 Code of Practice (CoP) Cloud Industry Forum (CIF) Cloud Industry Forum的Code of Practice (業務守則)是為一些對雲端服務用戶提供遠程資訊科技服務的機構而設。這些機構須每年進行自我認證,並向Cloud Industry Forum確認認證結果符合業務守則。Cloud Industry Forum會抽查和隨機審核機構的自我認證結果。另外,機構亦可選擇Cloud Industry Forum認可的認證機構進行獨立認證。
3 EuroCloud Star Audit (ECSA) EuroCloud Europe (ECE) EuroCloud Star Audit 認證是專門為基礎設施即服務(IaaS),平台即服務(PaaS)和軟件即服務(SaaS)設計的認證。 這項認證以一系列的準則評估雲端服務供應商。評估範疇包括供應商的基本資料,合同和法規遵從,保安和數據私隱,作業和基礎設施,運作流程以至特定服務類型(IaaS,PaaS,SaaS)的評估。
4 Security, Trust & Assurance Registry (STAR) Certification Cloud Security Alliance (CSA) Cloud Security Alliance的Security, Trust & Assurance Registry(STAR)Certification 是一個以獨立第三方形式,評估雲端服務供應商的保安。STAR Certification 是科技中立,並建基於ISO/IEC 27001及Cloud Controls Matrix。Cloud Controls Matrix 是一個控制框架, 內裏包括了對多個領域的詳細安全概念和原則。STAR Certification能使雲端服務供應商向潛在客戶說明其資訊保安控制水平。
5 CSA C-STAR Assessment Cloud Security Alliance (CSA) CSA的C-STAR Assessment是一個以獨立第三方形式,評估雲端服務供應商的保安,主要適用於大中華區。C-STAR Assessment是科技中立,並建基於中國國家標準GB/T 22080-2008及CSA Cloud Control Matrix的要求,以及29個選自中國國家標準GB/T 22239-2008和GB/Z 28828-2012的相關控制措施。
6 TÜV TÜV Rheinland (Technische Überwachungsvereine (Technical Inspections Organisations)) Certified Cloud Service是TÜV Rheinland開發予雲端服務供應商的認證。這認證是按不同的要求發展出來,而這些要求是以標準、研究、及選定的規例和建議為基礎。TÜV Rheinland的認證涵蓋了不同雲端服務的模式的要求。
7 Unified Certification Standard (UCS) certification Managed Service Providers Alliance (MSPAlliance) 以雲端服務供應商為對象的Unified Certification Standard,由九個控制目標為基礎,這些控制目標說明了資訊科技機構如何運作。每個控制目標會包括數個控制項目,當機構通過認證程序時,這些控制項目會被檢視。成功獲取認證的機構會得到一份Unified Certification Standard 審計報告,說明了該機構如何落實這些控制項目和控制目標。

 

 

上一頁 頁首