-图片来源:CSA
在云安全联盟(CSA)划分安全,信任和保证注册(STAR)计划分为三个层次:
系统和组织控制 (System and Organization Controls:SOC)
根据 AICPA,“系统和组织控制 (SOC) 是 CPA 可能提供的一套服务产品,与服务组织的系统级控制或其他组织的实体级控制有关。” (AICPA)
SOC 3 指的是“服务组织的系统和组织控制 (SOC):一般使用报告的信任服务标准”。SOC 3 报告旨在满足用户的需求,这些用户需要对服务组织中与安全性、可用性、处理完整性机密性或隐私相关的控制措施进行保证,但不具备有效利用SOC 2® 报告。因为它们是通用报告,所以可以免费分发 SOC 3® 报告。(美国注册会计师协会:SOC3)
-服务组织控制 (SOC)
ISO/IEC 27001:2013
“ISO/IEC 27001:2013 规定了在组织范围内建立、实施、维护和持续改进信息安全管理体系的要求。它还包括根据组织的需要对信息安全风险进行评估和处理的要求。ISO/IEC 27001:2013 中规定的要求是通用的,旨在适用於所有组织,无论其类型、规模或性质如何。” ( ISO )
-ISMS 和 PIMS
自我评估和 NIST CSF(Self-assessment and NIST CSF)
基於自我评估的自我声明似乎很愚蠢。但是,它是一种合法手段,并且确实提供了一定程度或低程度的保证。而且,这是一种普遍的做法。NIST网络安全框架 (CSF)是一个自愿性框架,由总统行政命令 (EO) 13636 於 2013 年 2 月发起,改进关键基础设施网络安全。到目前为止,还没有评估 NIST CSF 合规性的认证计划,因此使用它是合理的自我评估和自我声明。
-保证、证明和审计(图片来源:CheggStudy)
什麽是保证?(What is Assurance?)
对於安全工程,“保证”被定义为系统安全需求得到满足的置信度。…通过审查通过开发、部署和操作期间的评估过程和活动以及通过使用 IT 系统获得的经验获得的保证证据,可以实现信心。任何可以通过产生证明 IT 系统属性的正确性、有效性和质量的证据来减少不确定性的活动,都有助於确定安全保证。
资料来源:哈里斯·哈米多维奇
保证服务(Assurance Services)
国际会计师联合会 (IFAC) 对监证业务的定义:
从业者旨在获得充分、适当的证据
以表达旨在提高除责任方以外的预期用户对主题信息的信心程度的一种参与。
保证方法(Asurance Methods)
保证方法根据其技术和生命周期重点产生特定类型的保证。针对给定焦点的一些更广为人知的保证方法包括:
ISO/IEC 21827——保证专注於质量和开发过程
开发者的血统——保证专注於品牌;认识到一个公司生产的优质交付(基於历史关系或数据)
保证专注於保险,以制造商承诺纠正可交付成果
供应商声明中的缺陷为支持——保证专注於自我声明
专业认证和许可——保证专注於人员的专业知识和知识
ISO / T18905.1-2002信息技术软件产品评价第1部分:总体概述为保证,注重交付的直接评估
ISO / IEC27001——保障重点安全管理
资料来源:哈里斯·哈米多维奇
参考
. CSA STAR 级别
. 安全、信任和保证注册 (STAR)
. CSA STAR 认证
. 云安全联盟 (CSA) STAR 认证
. CSA之星
. 谁可以执行 SOC 2 审核?
. IT安全保障的基本概念
. 了解认证、监证和审计在注册会计师行业中的含义
. 什麽是保证和证明第一部分
. 审计和保证
资料来源: Wentz Wu QOTD-20210324
>>: Now available the of Spotify Premium APK for all Android
既然提到页面跟文章,那当然少不了要介绍一下非常好用的两个页面外挂,这帮助了非常多原本就不懂前後端语法...
「Scrum 说每个 Sprint 结束,都应该有可以使用的新功能释出,如果一个 Story 在一个...
一个调查是收集和用於特定目的的证据分析。 行政调查(Administrative Investiga...
Aloha!又是我少女人妻 Uerica ,国庆日到了~!昨日用满满的酒精庆祝了国家生日哈哈,身为台...
我们将从价格、曲库、音质、歌词方面比较 Spotify 和 Apple Music,让你可以一次了解...