Copy of PrivacyNote (5).png
 

บริการที่ปรึกษาเพื่อจัดทำมาตรฐาน CSA STAR

CSA-STAR ย่อมาจาก Cloud Security Alliance (CSA) – Security, Trust & Assurance Registry (STAR ) เริ่มพัฒนาเป็นมาตรฐานเมื่อปลายปี 2011 โดยมีจุดประสงค์เพื่อเพิ่มความโปร่งใสของผู้ให้บริการและความมั่นใจในการใช้ระบบคลาวด์  CSA-STAR จึงเป็นทะเบียนสาธารณะที่ระบุถึงการควบคุมความปลอดภัยของระบบคลาวด์หลากหลายประเภท จากหลากหลายผู้ให้บริการ ซึ่งช่วยให้ผู้ใช้ที่ต้องการทำสัญญาหรือใช้บริการระบบคลาวด์สามารถประเมินความปลอดภัยของผู้ให้บริการให้เหมาะสมกับความต้องการของตนเองได้ โดย CSA-STAR นั้นเป็นมาตรฐานความปลอดภัยบนระบบคลาวด์ซึ่งเป็นส่วนเสริมเพิ่มเติมมาจากมาตรฐานความปลอดภัยของ ISO/IEC 27001 โดยมาตรฐาน CSA-STAR มุ่งเน้นที่ความปลอดภัยของการให้บริการคลาวด์เป็นหลัก สำหรับในส่วนของการปฏิบัติตาม กฎหมาย ข้อบังคับที่เกี่ยวข้อง หรือในส่วนของการรักษาความเป็นส่วนตัวของข้อมูลเป็นเพียงส่วนประกอบ และในการขอการรับรอง CSA-STAR นั้นผู้ให้บริการคลาวด์ต้องจัดทำ ISO/IEC 27001 และใช้ Cloud Control Matrix (CCM) เพิ่มเติม 

 

CSA-STAR Certificate แบ่งออกเป็น 3 ระดับ คือ

1.STAR Self Assessment: ต้องเปิดเผยผลลัพธ์การประเมินด้วยตนเองจากแบบสอบถาม CSA Consensus Assessment Initiative (CAI) และ / หรือ Cloud Control Matrix (CCM)

2.STAR Certification / Attestation: ต้องเปิดเผยผลลัพธ์การประเมินโดย 3rd Party โดยใช้ CCM และ ISO27001 หรือ AICPA SOC2

3.STAR Continuous: ต้องเปิดเผยผลลัพธ์การตรวจสอบและประเมินความปลอดภัยบนระบบคลาวด์ของตนอย่างต่อเนื่อง โดยใช้ Cloud Trust Protocol (CTP) 

AlphaSec มีขั้นตอนการให้คำปรึกษาเพื่อให้องค์กรสามารถปฏิบัติตามมาตรฐาน CSA STAR ได้ดังต่อไปนี้

ระยะที่ 1 Project Initiation, Control Check

  1. ประชุมเริ่มต้นโครงการ (Project Kick-off Meeting)

  2. ศึกษาข้อมูลระบบในขอบเขต (Understanding Context)

  3. ประเมินมาตรการควบคุมตาม CAIQ (Consensus Assessment Initiative Questionnaire) LEVEL 1

  4. สรุปการดำเนินงานที่จะต้องดำเนินการ

ระยะที่ 2 Develop Policies and Supporting Documents

  1. ดำเนินการทบทวนเอกสารนโยบายและขั้นตอนปฏิบัติด้านความมั่นคงปลอดภัย

  2. ให้คำปรึกษาในการปรับปรุงเอกสารและมาตรการด้านความมั่นคงปลอดภัยต่างๆที่เกี่ยวข้องเพื่อให้สอดคล้องกับข้อกำหนดของมาตรฐาน CSA STAR

  3. กำหนดแนวทางประเมินความเสี่ยง (Risk Assessment Approach)

  4. ส่งมอบเอกสารแม่แบบและข้อมูลประกอบการประเมินความเสี่ยง

  5. ตรวจทานผลการประเมินความเสี่ยงที่จัดทำโดยหน่วยงาน พร้อมทั้งให้คำแนะนำในการปรับปรุงแก้ไข

  6. ให้คำแนะนำเกี่ยวกับระบบหรือแนวทางเพื่อแก้ไขปัญหาความมั่นคงปลอดภัย

ระยะที่ 3 Operate the CSA STAR

  1. ให้คำปรึกษาให้กับหน่วยงาน ในการดำเนินการตามมาตรการควบคุมด้านความมั่นคงปลอดภัยระบบคลาวด์

ระยะที่ 4 Internal CSA STAR Audit, Management Review and Corrective Action Activities

  1. ดำเนินการตรวจสอบภายใน

  2. ให้คำแนะนำในการคัดเลือกผู้ตรวจสอบ (Internal Auditor) ดำเนินการวางแผนตรวจสอบ (Audit Plan) การจัดทำรายการตรวจสอบ (Audit Checklist) และจัดทำรายงานผลการตรวจสอบ (Audit Report)

  3. สังเกตกิจกรรมการตรวจติดตามการดำเนินงานของระบบ CSA STAR ซึ่งดำเนินการโดยผู้ตรวจสอบภายใน พร้อมทั้งให้คำแนะนำในการปรับปรุงแก้ไข

  4. ให้คำแนะนำในการจัดประชุมทบทวนระบบ CSA STAR โดยฝ่ายบริหาร (Management Review Meeting)

  5. ให้คำแนะนำในการนำผลการตรวจติดตามการดำเนินงานของระบบ CSA STAR และข้อเสนอแนะของผู้บริหารที่ได้จากการประชุมทบทวนระบบ CSA STAR ไปดำเนินการแก้ไข ป้องกัน (Corrective and Preventive Actions)

ระยะที่ 5 Finalize and Improve the CSA STAR

  1. จัดประชุมทีมงาน ก่อนการตรวจรับรองมาตรฐาน CSA STAR (Certification Audit) เพื่อเตรียมความพร้อมขั้นสุดท้ายในการขอรับการตรวจรับรองระบบ

ระยะที่ 6 Provide Assistance during CSA STAR Certification Audit

  1. ให้คำปรึกษาในการจัดการความมั่นคงปลอดภัยระบคลาวด์ เพื่อให้ได้รับใบรับรองตาม CSA STAR

  2. ให้ความสนับสนุนด้านต่าง ๆ ในระหว่างการตรวจรับรองมาตรฐาน

  3. ให้คำปรึกษาในการแก้ไขข้อบกพร่องของระบบบริหารความมั่นคงปลอดภัยระบบคลาวด์ (ถ้ามี)

  4. ดำเนินการสรุปผลและข้อเสนอแนะภายหลังการตรวจรับรองมาตรฐาน