国内外云计算安全相关认证大搜罗

随着云计算的出现，云存储、云服务的广泛应用，云安全相关标准及认证也快速发展。近些年来，很多组织陆续推出了一些云安全相关标准，与此同时，一些机构也推广云安全相关认证服务。本文将主要的云安全相关测评认证进行一个简单介绍。

1、德国可信云计算认证

德国可信云计算认证是面向大众市场的认证，目的是帮助云服务使用者选择更好的云服务提供商，帮助欧洲企业保护用户数据免受美国政府和企业的介入。

该认证由德国互联网协会经欧洲云计算协会授权，牵头开发制定云计算认证体系，认证体系参与方包括德国联邦信息技术安全局、欧盟国际标准组织、欧洲认证组织专家、云计算服务提供商、毕马威、财政金融交易方面的专家、自然科学研究机构等。

认证标准包括ISO 27001、ISO 9000、SAS 70等，认证内容包含云计算平台认证、基础设施认证的5星级认证，根据标准如果认证是2星以下，表示没有合格，只能用于测试，不能接入SAP系统；从3星开始，表明已基本满足各方面要求；4星表明操作运营过程比较好，也采取了质量保证措施；5星表示在4星基础上，在基础设施上有很高的安全性。

2、韩国可信服务商认证

韩国可信服务商认证是面向大众市场的认证，目的是帮助云服务使用者选择更好的云服务提供商。

该认证由韩国政府组织开展，主要依托于第三方中立机构－韩国云服务协会（KCSA），受韩国广播通信委员会KCC的支持和委托。

认证内容包括业务质量（可用性、性能、可扩展等）、数据安全（数据管理、安全防护等）和基础设施（一致性、支持等）三个方面。

认证标准主要参照《云服务认证指标指南》，其中IaaS有105个小条目，39条必检；SaaS有85个小条目，33个必检。至少通过所有评估小条目的70%，才能予以通过，颁发证书。

3、日本云服务信息披露认证

日本云服务信息披露认证是面向大众市场的认证，目的是帮助云服务使用者选择更好的云服务提供商，认证本身验证了云服务商需要回答用户90%的问题。

该认证由日本信息通信部MIC与ASPIC（ASP-SaaS-CloudCONSORTIUM）合作开展，主要以资料审查为主。

认证内容包括ASP.SaaS，IaaS.PaaS，数据中心三个方面，包括业务质量、数据管理、财务信息、合同规范等方面的信息披露可信度认证。

4、美国FedRAMP认证

美国FedRAMP（Federal Risk and Authorization Management Program）认证是面向政府采购的云服务认证，目的是指导政府采购云计算服务。

该认证由美国政府主导，标准研究所、总务署、国家安全局、联邦CIO委员会等机构组成云计算管理办公室PMO主导认证工作。

认证标准参考NIST SP 800-53标准，内容包括信息安全、服务质量、市场因素等方面。

5、英国G-Cloud认证

英国G-Cloud（Government Cloud Strategy）认证是面向政府采购的云服务认证，目的是对云计算服务进行规范和安全审查，指导政府部门选择、采购各类云计算服务。

该认证由司法部、政府办公室组成的G-Cloud委员会主导，其下设置云服务组、安全审查工作组、商业工作组三个执行部门。

认证标准是由ISO 27001和《HMG Information Standards NO.1&2》组成的G-Cloud框架，以ISO 27001为最佳实践，并制定了多租户隔离、网络连接、数据位置、数据传输、数据彻底删除、人员审查和现场审查等云计算专门要求。

6、中国可信云服务认证

可信云服务认证是我国唯一针对云服务可信性的权威认证体系，目的是建立云服务商的评估体系，为用户选择安全、可信的云服务商提供支撑，并最终促进我国云计算市场健康、有序发展。

可信云服务认证是在工信部通信发展司的指导下，由数据中心联盟和云计算发展与政策论坛联合组织，由云计算发展与政策论坛成立的“可信云服务工作组”组织开展。 “可信云服务工作组”的主要成员包括、三家电信运营商、主要互联网企业和设备提供商。

可信云服务认证的具体测评内容包括三大类共16项，分别是：数据管理类（数据存储的持久性、数据可销毁性、数据可迁移性、数据保密性、数据知情权、数据可审查性）、业务质量类（业务功能、业务可用性、业务弹性、故障恢复能力、网络接入性能、服务计量准确性）和权益保障类（服务变更、终止条款、服务赔偿条款、用户约束条款和服务商免责条款），基本涵盖了云服务商需要向用户承诺或告知（基于服务SLA）的90%的问题。可信云服务认证将系统评估云服务商对这16个指标的实现程度，为用户选择云服务商提供基本依据。

7、BSI（STAR）云安全认证

BSI（STAR）云安全认证是基于ISO 27001认证的增强版本，目的是向云服务客户与潜在客户充分证明，云计算安全体系稳定可靠，且已经解决了在云安全方面至关重要的特定问题。

该认证是BSI与CSA（云安全联盟）合作，基于云控制矩阵（CCM）开发出的全新STAR认证项目。认证评级分为STAR金牌、银牌与铜牌，等级取决于云安全体系与组织的融合度。

认证内容涵盖以下领域：合规性（CO）、数据治理（DG）、设施安全（FS）、人力资源（HR）、信息安全（IS）、法规（LG）、运营管理（OP）、风险管理（RI）、发布管理（RM）、弹性（RS）、安全架构（SA）。

8、赛宝C-STAR云安全评估

赛宝C-STAR云安全评估是由赛宝认证中心与CSA（云安全联盟）合作，开展的第三方C-STAR云安全评估认证，目的是指导企业提升云服务信息安全水平，从而将云服务的信息安全隐忧大幅降低。

该评估认证采用CSA（云安全联盟）云控制矩阵（CCM），结合国内相关法律法规（如等级保护和个人信息保护指南等）、GB／T22080标准要求，有效评估云服务安全状况。

C-STAR云安全控制矩阵，从应用和接口安全、审核保证、业务连续性管理和操作弹性、变更控制和配置管理、数据安全和信息生命周期管理等16个云安全控制领域，对云服务的安全控制状况进行系统评估。同时，为了帮助企业对云安全管理成熟度进行评估和持续改进，引入了云安全管理成熟度评价（将在形成的评估报告中给出成熟度评估得分），对C-STAR云安全控制矩阵中的安全控制措施进行成熟度评分并划分为5个等级，不同分数等级代表云服务提供商的安全控制的管理成熟度水平。

除了上述这些认证之外，与云计算安全相关的认证还包括ISO 27001认证、信息系统等级保护测评等，由于这些认证是信息安全相关的基础性认证，并且这些认证对于大多数人来讲并不陌生，所以在这里不再赘述。

本文为我原创本文禁止转载或摘编