CSA Star – Cloud Security Alliance (CSA) – Security, Trust & Assurance Registry (STAR)

CCM คืออะไร

CCM หรือ Cloud Control Matrix นั้น เป็น Framework ทางด้าน Cybersecurity Controls สำหรับ Cloud Computing  ถูกพัฒนามาถึง เวอร์ชัน 4  ในปี ค.ศ.2021 โดยเวอร์ชัน 4   มีการปรับปรุงโครงสร้างของ Framework ใหม่ โดยแยกเรื่อง Logging and Monitoring (LOG) ออกมาเป็นโดเมนใหม่อีกโดเมนหนึ่ง รวมไปถึงมีการปรับปรุงโดเมนเดิมที่มีอยู่ ไม่ว่าจะเป็น Governance, Risk and Compliance (GRC), Auditing and Assurance (A&A), Unified Endpoint Management (UEM) และ Cryptography, Encryption, and Key Management (CEK)

ยิ่งไปกว่านั้น CCM เวอร์ชัน 4 ได้เพิ่มมาตรการควบคุมที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยและความเป็นส่วนบุคคลของการใช้ระบบคลาวด์ อีกกว่า 60 รายการ เพื่อให้ครอบคลุมกับเทคโนโลยีระบบคลาวด์ในยุคปัจจุบัน รวมไปถึงเพิ่มความสามารถในการ Audit และปรับแต่งให้สอดคล้องและใช้งานร่วมกับมาตรฐานอื่น เช่น ISO/IEC 27001-2013, ISO/IEC 27017-2015, ISO/IEC 27018-2019, AICPA TSC v2017 ได้ง่ายยิ่งขึ้น CCM เวอร์ชันล่าสุดนี้ประกอบด้วย 17 โดเมน 197 มาตรการควบคุม

---

ประโยชน์ของ CSA Star

• การประเมิน Maturity Level มาตรการความมั่นคงปลอดภัยสารสนเทศของระบบคลาวด์
• การจัดทำเอกสาร Cloud Control Matrix Statement of Applicability (CCM-SoA)
• แสดงให้เห็นถึงประสิทธิภาพของระบบคลาวด์ที่ได้รับการรับรองโดยอิสระจากหน่วยงานภายนอกที่ได้รับการรับรองในระดับสากล
• เห็นถึงประสิทธิภาพในการจัดการระบบคลาวด์อย่างมีมาตรฐานเมื่อเทียบกับองค์กรอื่นๆ
• ส่งเสริมให้ลูกค้าของผู้ให้บริการระบบคลาวด์ มีความเข้าใจมากขึ้นเกี่ยวกับระดับการควบคุมที่มีมาตรฐานและมีประสิทธิภาพ

ขั้นตอนการเตรียมตัวขอรับรอง CSA STAR

Step 1: ศึกษา ISO/IEC 27001 และ Cloud Control Matrix (CCM)

• ทำความเข้าใจหลักการของ ISO/IEC 27001 ซึ่งเป็นมาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ที่เป็นพื้นฐานสำคัญ

• ศึกษา Cloud Control Matrix (CCM) ซึ่งเป็น Framework เฉพาะสำหรับ Cloud Security ที่พัฒนาแยกจาก ISO/IEC 27001

• ตรวจสอบว่าระบบ Cloud Service ขององค์กรคุณสอดคล้องกับข้อกำหนดในทั้งสองมาตรฐานหรือไม่

---

Step 2: จัดทำระบบ ISMS สำหรับ Cloud

• นำมาตรฐาน ISO/IEC 27001 มาปรับใช้กับสภาพแวดล้อม Cloud โดยเฉพาะ เช่น:

  • ระบบจัดการความเสี่ยง (Risk Management)

  • การกำหนดบทบาทและความรับผิดชอบของผู้ใช้งานระบบ Cloud

  • การจัดการด้าน Access Control, Encryption, Logging และ Monitoring ใน Cloud

• นำมาตรการควบคุมจาก CCM เวอร์ชันล่าสุด มาปรับใช้ร่วมด้วย เพื่อรองรับข้อกำหนดเฉพาะของ Cloud Security Alliance

---

Step 3: Self-Assessment หรือเตรียม External Audit

มีทางเลือก 2 แบบ ตามระดับที่องค์กรต้องการรับรอง:

• Level 1: Self-Assessment

  • จัดทำเอกสาร Consensus Assessments Initiative Questionnaire (CAIQ) และนำส่งใน CSA STAR Registry

  • องค์กรเป็นผู้ประเมินตนเองตามข้อกำหนด CCM

• Level 2: Third-party Certification

  • เตรียม Audit กับหน่วยงานรับรอง (Certification Body) ที่ได้รับการรับรองจาก CSA

  • ตรวจประเมินตาม ISO/IEC 27001 + CCM

---

Step 4: ติดต่อ CSA STAR Registry และเผยแพร่ผลการรับรอง

• ส่งเอกสารและผลการประเมินไปยัง คลิก

• เมื่อผ่านการประเมินแล้ว องค์กรจะถูกแสดงผลใน Registry สาธารณะ ทำให้ลูกค้าสามารถค้นหาและตรวจสอบความน่าเชื่อถือได้ง่ายขึ้น

---

ทำไมต้อง ACinfotec

• การประเมิน Maturity Level มาตรการความมั่นคงปลอดภัยสารสนเทศของระบบคลาวด์
• การจัดทำเอกสาร Cloud Control Matrix Statement of Applicability (CCM-SoA)
• การวางแผนและการปรับระดับ Maturity Level มาตรการความมั่นคงปลอดภัยสารสนเทศของบริการระบบคลาวด์
• การแนะการจัดทำขั้นตอนปฏิบัติ (Procedure) สำหรับมาตรการความมั่นคงปลอดภัยสารสนเทศ
• การตรวจสอบช่องโหว่ทางเทคนิค (Vulnerability Assessment) และทดสอบเจาะระบบ (Penetration Testing) ระบบคลาวด์
• การแนะนำในการทดสอบแผนการดำเนินธุรกิจอย่างต่อเนื่อง
• การแนะนำในการทบทวน เตรียมความพร้อม ในการให้ความสนับสนุนในด้านต่างๆของการตรวจสอบรับรองมาตรฐานความปลอดภัยระบบคลาวด์
• การแนะนำในการจัดทำแผนงาน (Action Plan) หรือแผนการจัดการสิ่งที่ไม่เป็นไปตามข้อกำหนดพร้อมทั้งดำเนินการจัดการตามสิ่งที่ไม่เป็นไปตามข้อกำหนดที่ตรวจพบให้แล้วเสร็จ

CSA STAR FACT SHEET : Download
อ่านแหล่งข้อมูลเพิ่มเติม

---