認證是評估云提供商的安詳性的一個很好的起點，但假如用戶想相識個中有多大的風險，就不能只是簡樸的照本宣科，主機托管 深圳電信托管，必需舉辦更深一步的相識。

云安詳評估和認證旨在輔佐企業相識提供商采納了哪些步調來掩護機要信息。不外，固然安詳認證可以給于用戶必然水平的信心，但只靠它們來擔保信息安詳往往是不足的。

數據安詳仍然是公有云的一大死穴。“緊隨價值之后，供給商提供什么水平的安詳性是所有企業在檢討公有云處事時首先要問的問題之一，”Dan Blum，一家總部設在華盛頓特區的咨詢公司，Security Architects LLC的打點合資人及首席參謀說道。

組織常常會對付將敏感信息從本身的數據中心移到第三方提供商時感想不安。為了和緩這種感受，企業會先確認供給商已經完成了某種水平的云安詳評估，或持有某些認證。這些云安詳認證凡是由兩部門構成。首先，由一個特設專家小組開拓一個框架，概述應該執行哪些查抄來確掩護數據的安詳。然后，由第三方認真開拓詳細的流程，以確保這些查抄事情落到實處。

IT安詳認證基準

IT安詳性是很巨大的，因此，這些年來，來自很多差異的組織開拓的框架便應運而生。當企業想評估云提供商的安詳性時，往往會從審核業務尺度16的報表開始，據Pete Lindstrom，總部設在馬薩諸塞州Framingham的闡明公司，IDC的安詳研究副總裁暗示。

美國注冊管帳師研究所擬定了該類型，它界說了處事提供商應該如何陳設安詳節制。該類型發生三份報表：處事組織節制（SOC）1偏重于財政陳訴；SOC 2報表則評估安詳性，可用性，進程完整性，廠商內部系統的保密性和隱私性；而SOC3報表所描寫的信息與SOC2溝通，可是旨在面向一般受眾，而不是特定方。

國際尺度化組織（ISO）和國際電工委員會（IEC）兩大組織配合相助，擬定了第二個尺度。ISO 27001類型偏重于信息安詳打點體系而ISO 27002描寫了系統節制。

云安詳評估和認證

前面所提的尺度沒有針對云和傳統當地系統的安詳性舉辦區別看待，可是，邇來專為云所設計的安詳評估和認證開始崛起。譬喻，國度尺度和技能研究所出格出書物-500的類型歸納綜合了云計較在美國聯邦當局中的浸染。該文件涉及了云運營、打點和安詳問題。

垂直尺度初具局限

除了程度的尺度之外，在評估云處事提供商時，還可以相識以下行業認證：

康健保險可移植性和責任法案是用來掩護小我私家醫療信息，主要是在美國。

PCI-DSS保障消費者信用卡付款信息。

FedRAMP監控當局數據并提供了尺度的要領來舉辦安詳評估，授權和云處事的不中斷監測。

信息保障框架是由歐洲網絡信息和安詳局開拓的，目標是封鎖網絡和信息安詳裂痕。

創立于2008年12月，云安詳同盟（CSA）是為回收云計較的企業提供指導的同盟。該組織的云節制矩陣包羅了能輔佐將來云用戶評估云提供商整體安詳風險的原則。該組織的安詳，信任和擔保注冊（STAR）的評估和認證進程提供三個品級的云安詳認證：1級是由供給商舉辦自我評估；2級是由第三方所做的供給商評估；而3級則是基于一連不絕的安詳檢測，而不只僅是一次性的查抄。

買產業心

云供給商所持有的各類尺度和認證經常附帶一些特別條件。首先，他們無法提供一些企業所想要的牢不行破的擔保；而認證只提供了提供商在安詳查抄方面的高條理概述。

第二，這些類型自己只在高條理起浸染。譬喻，某認證大概要求企業陳設強大的身份認證系統，但卻不強制該組織利用生物識別技能。

第三，這些尺度常常有重疊的部門。譬喻CSA STAR 1級認證的一部門，是基于SOC2的要求，而CSA的2級認證則利用了部門ISO/IEC 27001的尺度。

最后，認證的進程是費時和昂貴的。因此，舊的認證便在云處事提供商之間獲得越來越遍及的采用。“很多大型云處事提供商都通過了風行的認證，”Lindstrom說道。

部門認證接管度低

新的云安詳認證的數量還很少；只有約莫20家云供給商已經果真聲明，他們完成了CSA STAR的自我評估，30家第三方廠商可以提供2級認證，按照Jim Reavis，CSA的連系首創人兼CEO暗示。

小型，利基市場或初創云提供商大概缺乏認證。“客戶必需確定他們對付所提供處事的需求勝過任何潛在的安詳風險，”Blum說道。

請記著，云安詳評估和認證并不是一個供給商安詳態勢的完整浮現。Blum暗示，想要充實相識你的供給商如何實現其安詳流程，以及這些流程是否足夠，企業需要仔細閱讀各類陳訴。這些陳訴凡是不會在一個云提供商的網站上宣布，所以用戶必需做一些作業才氣找到這些信息。