分享 
- |
- |
- |
- |
最新消息
友情链接
云服务评估工具和认证计划
云服务供应商可以利用云服务评估工具和云服务认证,向潜在客户宣传其可提供的服务及自身的能力。市场上有一定数量的云服务评估工具和云服务认证计划可供选择,这些工具和认证计划的设计都考虑了与云服务相关的各个方面。
云服务评估工具
甚么是云服务评估工具?
云服务评估工具的使用旨在帮助云服务的各类持份者根据一些预定的准则对云服务作评估。一般来说,应用这些云服务评估工具都不必由独立第三方作出核实。
市场上有针对各类云服务持份者的云服务评估工具:
- 云服务供应商可以使用一些自我评估工具来评定自身的能力及可提供的服务。评估工具的开发机构会将评估结果记录在一个公开名册上。因此,用户能查阅这些结果,以作参考。
-
另外,市场上有一些自我评估工具只对云用户作自我评估,亦有一些评估工具则对云用户及云服务供应商两方面作评估。你可以到 这里 获取与云用户相关的评估工具的资料。
使用云服务评估工具的效益
-
云服务供应商透过公布其自我评估结果,便利了供应商向潜在客户宣传供应商自身的能力及可提供的服务。
- 相比云服务认证计划,评估工具需要较少开支和时间。所以,如果云服务供应商暂不计划获取云服务认证,供应商可考虑进行自我评估,再将其自我评估结果公布,以供潜在客户参考。
云服务评估工具的例子
- 下表列举了与云服务供应商相关的评估工具的例子。
-
由于信息安全在云服务中备受云用户关注,所以云服务评估工具普遍以ISO/IEC 27001为基础,而ISO/IEC 27001是一个有广泛认受性的信息安全管理体系国际标准。
- 云服务评估工具通常以问卷形式提供。
| 评估工具 | 机构 | 描述 | |
| 1 | CloudCode | CloudCode | CloudCode 是由云服务供应商自发公开的业务守则,这个业务守则是为了提升云服务供应商的服务水平。云服务供应商须要遵循以下两项CloudCode所订立的承诺:
一、云服务供应商只能够在其产品及服务遵循CloudCode的「cloud computing」定义后,方可为该产品及服务定名为云计算产品及服务。
二、云服务供应商须详细公开其云产品及服务相关范畴的重要资料,包括信息安全、数据位置、数据存取及用途、持续业务运作等。 |
| 2 | CloudeAssurance | CloudeAssurance | CloudeAssurance是个以标准为基础的平台。云服务供应商可以使用它来评估自身的信息安全计划,并将评分与基准分数比较。自我评估的评分是一个有效期为180天的“暂定”(Provisional) CloudeAssurance评分。评分的范围为0至超过850分,代表了由“非常差”(very poor), “差”(poor), “常”(fair),“好”(great), “非常好”(excellent) , 以至“最佳”(optimised)的评分。 |
| 3 | Security, Trust & Assurance Registry (STAR) Self-Assessment | Cloud Security Alliance (CSA) | Cloud Security Alliance的Security, Trust & Assurance Registry(STAR)Self-Assessment是一个供云服务供应商使用的免费且开放的评估工具。该工具容许云服务供应商提交自我评估报告。云服务供应商须提交以下两份报告,说明云服务供应商提供的云服务符合CSA良好作业模式的要求:
一、Consensus Assessments Initiative Questionnaire罗列超过140条云用户和云服务审计员可能会向云服务供应商提出的问题。 |
- 你可以到 这里 获取与云用户相关的自我评估工具的资料。
云服务认证计划
甚么是云服务认证计划?
-
云服务供应商透过云服务认证计划既可以证明其拥有良好的信誉,又可以展示供应商具备相当能力,能持续地向客户提供可靠的云服务。要获取特定的云服务认证,云服务供应商必须经过可信的第三方(认证机构)作评估。
-
不同的云服务认证计划仍在不断地发展。虽然市场上仍有待一个被业界公认为标准的认证计划,但认证计划的市场正趋向成熟。
- 云服务供应商须要拨出资金予首次的云服务认证程序,并须要投放经常性开支以维持认证有效。所以,云服务供应商需要就财务及其他重要资源上作出配合,以利获取云服务认证。
使用云服务认证计划的效益
- 在认证程序当中,云服务供应商需要实施一些改善措施,以达到认证的要求。云服务认证因此而改善了云服务供应商的服务品质。
- 对云服务供应商而言,获取云服务认证能增加用户对其可提供服务的信心,因此供应商得以占据市场上竞争优势。
- 对大众而言,云服务认证能增加大众对云计算的信心,因此助长采用云计算的市场发展,这无疑提供了更多商机。
云服务认证计划的例子
- 下表列举了与云服务供应商相关的云服务认证计划的例子。
- 由于信息安全在云服务中备受云用户关注,所以下表的云服务认证计划都以ISO/IEC 27001为基础,而ISO/IEC 27001是一个有广泛认受性的信息安全管理体系国际标准。
- 国际标准化组织并不提供认证服务。若机构希望获取ISO某项国际标准例如ISO/IEC 27001的认证,就必须通过独立认证机构进行评估以取得相关认证。详情可浏览
http://www.iso.org/iso/home/standards/certification.htm (英文)。
| 认证计划 | 机构 | 描述 | |
| 1 | Cloud Assurance Assessor Program (CAAP) | CloudeAssurance, Inc | Cloud Assurance Assessor Program的评估员会独立地就云服务供应商自我评估所得出的分数,根据CloudeAssurance评级系统列出的要求进行核实。 |
| 2 | Code of Practice (CoP) | Cloud Industry Forum (CIF) | Cloud Industry Forum的Code of Practice (业务守则)是为一些对云用户提供远程信息技术服务的机构而设。这些机构须每年进行自我认证,并向Cloud Industry Forum确认认证结果符合业务守则。Cloud Industry Forum会抽查和随机审核机构的自我认证结果。另外,机构亦可选择Cloud Industry Forum认可的认证机构进行独立认证。 |
| 3 | EuroCloud Star Audit (ECSA) | EuroCloud Europe (ECE) | EuroCloud Star Audit 认证是专门为基础设施即服务(IaaS),平台即服务(PaaS)和软件即服务(SaaS)设计的认证。这项认证以一系列的准则评估云服务供应商。评估范畴包括供应商的基本资料,合同和法规遵从,保安 和数据隐私,作业和基础设施,运作流程以至特定服务类型(IaaS,PaaS,SaaS)的评估。 |
| 4 | Security, Trust & Assurance Registry (STAR) Certification | Cloud Security Alliance (CSA) | Cloud Security Alliance的Security, Trust & Assurance Registry(STAR)Certification 是一个以独立第三方形式,评估云服务供应商的安全。STAR Certification 是技术中立,并建基于ISO/IEC 27001及Cloud Controls Matrix。Cloud Controls Matrix 是一个控制框架, 内里包括了对多个领域的详细安全概念和原则。STAR Certification能使云服务供应商向潜在客户说明其信息安全控制等级。 |
| 5 | CSA C-STAR Assessment | Cloud Security Alliance (CSA) | CSA的C-STAR Assessment是一个以独立第三方形式,评估云服务供应商的安全,主要适用于大中华区。C-STAR Assessment是科技中立,并建基于中国国家标准GB/T 22080-2008及CSA Cloud Control Matrix的要求,以及29个选自中国国家标准GB/T 22239-2008和GB/Z 28828-2012的相关控制措施。 |
| 6 | Unified Certification Standard (UCS) certification | Managed Service Providers Alliance (MSPAlliance) | 以云服务供应商为对象的Unified Certification Standard,由九个控制目标为基础,这些控制目标说明了信息技术机构如何运作。每个控制目标会包括数个控制项目,当机构通过认证程序时,这些控制项目会被检视。成功获取认证的机构会得到一份Unified Certification Standard 审计报告,说明了该机构如何落实这些控制项目和控制目标。 |
