บริการที่ปรึกษา CSA STAR
บริการที่ปรึกษาเพื่อวางระบบความมั่นคงปลอดภัยของบริการคลาวด์ตามมาตรฐาน CSA STAR
บริการที่ปรึกษาเพื่อวางระบบความมั่นคงปลอดภัยของบริการคลาวด์ตามมาตรฐาน CSA STAR
CSA-STAR ย่อมาจาก Cloud Security Alliance (CSA) – Security, Trust & Assurance Registry (STAR ) เริ่มพัฒนาเป็นมาตรฐานเมื่อปลายปี 2011 โดยมีจุดประสงค์เพื่อเพิ่มความโปร่งใสของผู้ให้บริการและความมั่นใจในการใช้ระบบคลาวด์ CSA-STAR จึงเป็นทะเบียนสาธารณะที่ระบุถึงการควบคุมความปลอดภัยของระบบคลาวด์หลากหลายประเภท จากหลากหลายผู้ให้บริการ ซึ่งช่วยให้ผู้ใช้ที่ต้องการทำสัญญาหรือใช้บริการระบบคลาวด์สามารถประเมินความปลอดภัยของผู้ให้บริการให้เหมาะสมกับความต้องการของตนเองได้ โดย CSA-STAR นั้นเป็นมาตรฐานความปลอดภัยบนระบบคลาวด์ซึ่งเป็นส่วนเสริมเพิ่มเติมมาจากมาตรฐานความปลอดภัยของ ISO/IEC 27001 โดยมาตรฐาน CSA-STAR มุ่งเน้นที่ความปลอดภัยของการให้บริการคลาวด์เป็นหลัก สำหรับในส่วนของการปฏิบัติตาม กฎหมาย ข้อบังคับที่เกี่ยวข้อง หรือในส่วนของการรักษาความเป็นส่วนตัวของข้อมูลเป็นเพียงส่วนประกอบ และในการขอการรับรอง CSA-STAR นั้นผู้ให้บริการคลาวด์ต้องจัดทำ ISO/IEC 27001 และใช้ Cloud Control Matrix (CCM) เพิ่มเติม
CSA-STAR Certificate แบ่งออกเป็น 3 ระดับ คือ
-
STAR Self Assessment: ต้องเปิดเผยผลลัพธ์การประเมินด้วยตนเองจากแบบสอบถาม CSA Consensus Assessment Initiative (CAI) และ / หรือ Cloud Control Matrix (CCM)
-
STAR Certification / Attestation: ต้องเปิดเผยผลลัพธ์การประเมินโดย 3rd Party โดยใช้ CCM และ ISO27001 หรือ AICPA SOC2
-
STAR Continuous: ต้องเปิดเผยผลลัพธ์การตรวจสอบและประเมินความปลอดภัยบนระบบคลาวด์ของตนอย่างต่อเนื่อง โดยใช้ Cloud Trust Protocol (CTP)
AlphaSec มีขั้นตอนการให้คำปรึกษาเพื่อให้องค์กรสามารถปฏิบัติตามมาตรฐาน CSA STAR ได้ดังต่อไปนี้
1
ระยะที่
Project Initiation, Control Check
-
ประชุมเริ่มต้นโครงการ (Project Kick-off Meeting)
-
ศึกษาข้อมูลระบบในขอบเขต (Understanding Context)
-
ประเมินมาตรการควบคุมตาม CAIQ (Consensus Assessment Initiative Questionnaire) LEVEL 1
-
สรุปการดำเนินงานที่จะต้องดำเนินการ
2
ระยะที่
Develop Policies and Supporting Documents
-
ดำเนินการทบทวนเอกสารนโยบายและขั้นตอนปฏิบัติด้านความมั่นคงปลอดภัย
-
ให้คำปรึกษาในการปรับปรุงเอกสารและมาตรการด้านความมั่นคงปลอดภัยต่างๆที่เกี่ยวข้องเพื่อให้สอดคล้องกับข้อกำหนดของมาตรฐาน CSA STAR
-
กำหนดแนวทางประเมินความเสี่ยง (Risk Assessment Approach)
-
ส่งมอบเอกสารแม่แบบและข้อมูลประกอบการประเมินความเสี่ยง
-
ตรวจทานผลการประเมินความเสี่ยงที่จัดทำโดยหน่วยงาน พร้อมทั้งให้คำแนะนำในการปรับปรุงแก้ไข
-
ให้คำแนะนำเกี่ยวกับระบบหรือแนวทางเพื่อแก้ไขปัญหาความมั่นคงปลอดภัย
3
ระยะที่
Operate the CSA STAR
-
ให้คำปรึกษาให้กับหน่วยงาน ในการดำเนินการตามมาตรการควบคุมด้านความมั่นคงปลอดภัยระบบคลาวด์
4
ระยะที่
Internal CSA STAR Audit, Management Review and Corrective Action Activities
-
ดำเนินการตรวจสอบภายใน
-
ให้คำแนะนำในการคัดเลือกผู้ตรวจสอบ (Internal Auditor) ดำเนินการวางแผนตรวจสอบ (Audit Plan) การจัดทำรายการตรวจสอบ (Audit Checklist) และจัดทำรายงานผลการตรวจสอบ (Audit Report)
-
สังเกตกิจกรรมการตรวจติดตามการดำเนินงานของระบบ CSA STAR ซึ่งดำเนินการโดยผู้ตรวจสอบภายใน พร้อมทั้งให้คำแนะนำในการปรับปรุงแก้ไข
-
ให้คำแนะนำในการจัดประชุมทบทวนระบบ CSA STAR โดยฝ่ายบริหาร (Management Review Meeting)
-
ให้คำแนะนำในการนำผลการตรวจติดตามการดำเนินงานของระบบ CSA STAR และข้อเสนอแนะของผู้บริหารที่ได้จากการประชุมทบทวนระบบ CSA STAR ไปดำเนินการแก้ไข ป้องกัน (Corrective and Preventive Actions)
5
ระยะที่
Finalize and Improve the CSA STAR
-
จัดประชุมทีมงาน ก่อนการตรวจรับรองมาตรฐาน CSA STAR (Certification Audit) เพื่อเตรียมความพร้อมขั้นสุดท้ายในการขอรับการตรวจรับรองระบบ
6
ระยะที่
Provide Assistance during CSA STAR Certification Audit
-
ให้คำปรึกษาในการจัดการความมั่นคงปลอดภัยระบคลาวด์ เพื่อให้ได้รับใบรับรองตาม CSA STAR
-
ให้ความสนับสนุนด้านต่าง ๆ ในระหว่างการตรวจรับรองมาตรฐาน
-
ให้คำปรึกษาในการแก้ไขข้อบกพร่องของระบบบริหารความมั่นคงปลอดภัยระบบคลาวด์ (ถ้ามี)
-
ดำเนินการสรุปผลและข้อเสนอแนะภายหลังการตรวจรับรองมาตรฐาน