雲端安全聯盟(Cloud Security Alliance, CSA)在 2020 年1月公布了最新版本的雲端控制矩陣 v4(Cloud Control Matrix, CCM v4)。目的為以雲端資訊安全為中心架構,繼續引領雲端供應商和用戶前進,以符合市場的需求。
此次的更新,是為了讓雲端控制矩陣(CCM)能和其它領先的標準有一致性的對應,並持續的和相關標準、最佳實務、法令及法規進行連結,以符合產業公認的安全性標準、規定及控制措施架構。
轉版時程說明
即自 CSA 所公佈的雲端控制矩陣 v4(Cloud Control Matrix, CCM v4)發布後至 2022 年 7 月間,已通過 STAR 認證之組織請務必要完成雲端控制矩陣的轉換作業,同時須在此期間內,接受新版標準的轉換稽核並取得證書,否則在 2022 年 7 月 31 日截止後,舊版的 STAR 證書將會失效。
對您的影響?
若您是已經取得 CSA STAR 證書的企業組織
- 已向 STAR 宣告符合 CCM 的 Level 1 的用戶,您可選擇在雲端控制矩陣 v4(Cloud Control Matrix, CCM v4)發布後至 2022 年 7 月 31 日間進行轉換的自我宣告。
- 已經取得 CSA STAR(Level 2)證書的 BSI 客戶,您可選擇在雲端控制矩陣 v4(Cloud Control Matrix, CCM v4)發布後至 2022 年 7 月 31 日間的任何一次定期性後續稽核進行轉換稽核。
無論您選擇在任何階段進行轉換稽核,BSI 將視需要增加額外人天,以協助您早日完成轉換之作業。轉換稽核時,若發現雲端架構及其控制措施與新版控制矩陣不符合之處,稽核員將會以「不符合事項」開出;且組織需提交可接受的矯正預防措施或再安排一次特別拜訪進行確認(當有主要不符合事項時),並確認有效完成矯正預防措施之後就可以發出新版證書。
若您是正在建置雲端架構及其控制措施且準備向 BSI 申請 STAR 認證者
- 2021 年 7 月起,將開始接受所有級別對於 CCM v4 的新用戶申請。您仍可以選擇採用 CCM v3.0.1 的申請,但需額外提供 CAIQ v3.1 表格;惟若您申請 CCM v3.0.1 進行驗證,仍須在 2022 年 7 月前視您所申請的級別於指定日期前完成轉換。
- 2021 年 12 月 31 日後,STAR Level 2 的新用戶將僅接受 CCM v4 的申請。
- 在 2021 年 12 月 31 日後,新申請之驗證不可使用 CCM v3.0.1 版本稽核,所以提醒您在此階段申請驗證,最好選擇以新版進行驗證較佳。
再次提醒
請務必確保後續稽核的安排有足夠的時間(包括轉換稽核期間、完成報告審核及發證作業)完成轉換稽核及取得新版證書,否則有可能無法在最終截止日到期日前(2022 年 7 月 31 日)完成轉換,將導致貴公司的證書失效。
倘若您對轉換稽核安排有任何疑問,BSI 客戶請聯繫您專屬的客戶服務專員,非 BSI 客戶請務必洽詢您的發證單位,因相關工作時程安排可能有所差異。
更詳盡的說明請參閱 CSA STAR 網站 CCM v4 FAQ - Transition Timeline。
您還可以透過以下方式來獲得第一手的新版標準資訊
BSI 將設身處地站在客戶角度思考,持續提供更多且有益的內容來幫助您準確地掌握標準修訂動向,順利的渡過轉版歷程。
BSI Taiwan ISO 27001 副產品經理 黃賜虔(Rex Huang)撰文
2021 年 7 月