云安全联盟（CSA）-安全信任和保证注册（STAR）

-图片来源：CSA

CSA STAR 1 级：自我评估
CSA STAR 2 级：第三方认证
. CSA STAR Attestation是 CSA 和 AICPA 之间的一项合作，旨在为 CPA 提供指南，以使用 AICPA
（信任服务原则，AT 101）和 CSA 云控制矩阵中的标准进行 SOC 2 参与。
. 该CSA STAR认证是一种安全的严格的第三方独立评估云服务提供商。
CSA STAR 3 级：全云保障和透明度
云安全联盟是一个非营利组织，其使命是“促进最佳实践的使用以在云计算中提供安全保证，并提供有关云计算使用的教育，以帮助保护所有其他形式的计算。”
CSA 的安全、信任和保证注册计划 (CSA STAR) 旨在通过自我评估、第三方审计和持续监控的三步计划帮助客户评估和选择云服务提供商。
资料来源：谷歌

系统和组织控制 (System and Organization Controls:SOC)
根据 AICPA，“系统和组织控制 (SOC) 是 CPA 可能提供的一套服务产品，与服务组织的系统级控制或其他组织的实体级控制有关。” (AICPA)
SOC 3 指的是“服务组织的系统和组织控制 (SOC)：一般使用报告的信任服务标准”。SOC 3 报告旨在满足用户的需求，这些用户需要对服务组织中与安全性、可用性、处理完整性机密性或隐私相关的控制措施进行保证，但不具备有效利用SOC 2® 报告。因为它们是通用报告，所以可以免费分发 SOC 3® 报告。（美国注册会计师协会：SOC3）

-服务组织控制 (SOC)

ISO/IEC 27001:2013
“ISO/IEC 27001:2013 规定了在组织范围内建立、实施、维护和持续改进信息安全管理体系的要求。它还包括根据组织的需要对信息安全风险进行评估和处理的要求。ISO/IEC 27001:2013 中规定的要求是通用的，旨在适用於所有组织，无论其类型、规模或性质如何。” ( ISO )

-ISMS 和 PIMS

自我评估和 NIST CSF（Self-assessment and NIST CSF）
基於自我评估的自我声明似乎很愚蠢。但是，它是一种合法手段，并且确实提供了一定程度或低程度的保证。而且，这是一种普遍的做法。NIST网络安全框架 (CSF)是一个自愿性框架，由总统行政命令 (EO) 13636 於 2013 年 2 月发起，改进关键基础设施网络安全。到目前为止，还没有评估 NIST CSF 合规性的认证计划，因此使用它是合理的自我评估和自我声明。

-保证、证明和审计（图片来源：CheggStudy）

什麽是保证？（What is Assurance?）
对於安全工程，“保证”被定义为系统安全需求得到满足的置信度。…通过审查通过开发、部署和操作期间的评估过程和活动以及通过使用 IT 系统获得的经验获得的保证证据，可以实现信心。任何可以通过产生证明 IT 系统属性的正确性、有效性和质量的证据来减少不确定性的活动，都有助於确定安全保证。
资料来源：哈里斯·哈米多维奇

保证服务（Assurance Services）
国际会计师联合会 (IFAC) 对监证业务的定义：
从业者旨在获得充分、适当的证据
以表达旨在提高除责任方以外的预期用户对主题信息的信心程度的一种参与。

保证方法（Asurance Methods）
保证方法根据其技术和生命周期重点产生特定类型的保证。针对给定焦点的一些更广为人知的保证方法包括：
ISO/IEC 21827——保证专注於质量和开发过程
开发者的血统——保证专注於品牌；认识到一个公司生产的优质交付（基於历史关系或数据）
保证专注於保险，以制造商承诺纠正可交付成果
供应商声明中的缺陷为支持——保证专注於自我声明
专业认证和许可——保证专注於人员的专业知识和知识
ISO / T18905.1-2002信息技术软件产品评价第1部分：总体概述为保证，注重交付的直接评估
ISO / IEC27001——保障重点安全管理

资料来源：哈里斯·哈米多维奇

参考
. CSA STAR 级别
. 安全、信任和保证注册 (STAR)
. CSA STAR 认证
. 云安全联盟 (CSA) STAR 认证
. CSA之星
. 谁可以执行 SOC 2 审核？
. IT安全保障的基本概念
. 了解认证、监证和审计在注册会计师行业中的含义
. 什麽是保证和证明第一部分
. 审计和保证