博客
什么是共识评估倡议调查表(CAIQ)?
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

共识评估计划问卷(CAIQ)是由云安全联盟(CSA)提供的安全评估,供云消费者和审计师评估 信息安全 云提供商的功能。 

谁创建了CAIQ?

CAIQ由云安全联盟共识评估计划(CAI)创建。 CAI进行研究,创建工具并建立行业合作伙伴关系,以进行云计算评估。 

CAI'我们的目标是创建一个行业认可的文档,概述在云服务中存在哪些安全控制,例如基础架构即服务(IaaS),平台即服务(PaaS)和软件即服务(SaaS)产品。 

CAI是云安全联盟(CSA)的一部分,CSA是致力于定义和提高对安全云计算最佳实践的认识的领先组织。

您 can learn more about the Cloud Security Alliance (CSA) at cloudsecurityalliance.org.

为什么创建CAIQ?

创建CAIQ是为了解决组织在迁移到云时遇到的主要问题之一。也就是说,相对于数据保护和风险管理,云提供商所采用的技术和策略缺乏透明度。

CAIQ的目标是创建公认的行业标准,以记录IaaS,PaaS和SaaS产品中的安全控制。 

通过对问卷进行标准化, 供应商风险管理 团队可以降低成本并提高效率,而不必让组织陷入不必要的困境 网络安全风险.

此外,云提供商可以使用CAIQ概述其安全功能,并 安全态势 使用易于理解的术语和描述以标准化的方式向客户公开或私下提供给客户。

CAIQ的组成部分是什么?

CAIQ提供了一组“是”或“否”控制证明问题,云消费者或云审计员可能想让云提供商确定其是否符合CSA云控制矩阵(CCM)。

可以定制调查表以适合组织'的需求和用例,并打算与CSA一起使用's 针对云计算关键领域的安全指南 and 云控制矩阵(CCM).

云控制矩阵(CCM)

CCM是一个 网络安全 云计算的控制框架,由跨越16个域的133个控制目标组成。这些域涵盖了云技术的所有关键方面。 

16个CCM域是:

  1. 应用程序和接口安全
  2. 审计保证与合规
  3. 业务连续性管理和运营弹性
  4. 变更控制和 配置管理
  5. 数据安全和信息生命周期管理
  6. 数据中心安全
  7. 加密和密钥管理
  8. 治理与风险管理
  9. 人力资源安全
  10. 身份和访问管理
  11. 基础架构和虚拟化
  12. 互操作性和可移植性 
  13. 移动安全
  14. 电子盘安全事件管理& 云取证
  15. 供应链管理,透明度& Accountability
  16. 威胁和 漏洞管理

CCM可以用作对云实施进行系统评估的工具,同时提供有关云供应链中哪些参与者应实施哪些安全控制的指南。 

控制框架与CSA保持一致's 针对云计算关键领域的安全指南, 并被视为事实上的云安全保证和合规性标准。  

此外,CCM中的控件是针对行业公认的安全标准,法规和控制框架(包括ISO 27001/27002/27017/27018, NIST SP 800-53,AICPA TSC,ENISA信息保证框架,德国BSI C5,PCI DSS,ISACA COBIT,NERC CIP等。

CCM可用于:

  • 加强信息安全控制环境 CCM描绘了服务提供商和消费者的控制指南,并根据云模型类型和环境进行了区分。
  • 降低审计复杂度: 控件映射到多个行业接受的安全标准,法规和控制框架。履行CCM控件还可以满足其映射到的随附标准和法规。
  • 标准化安全期望: CCM提供了在云中实施的共享云分类法,术语和安全措施。

针对云计算关键领域的安全指南

云计算的兴起带来了许多机遇和挑战。的 针对云计算关键领域的安全指南 旨在为需要管理和减轻与采用云计算技术相关的风险的企业提供指导和启发。 

它涵盖14个域:

  1. 云计算的概念和架构
  2. 治理与企业风险管理
  3. 法律问题,合同和电子发现
  4. 合规与审计管理
  5. 信息治理
  6. 管理平面和业务连续性
  7. 基础设施安全
  8. 虚拟化和容器
  9. 事件响应
  10. 应用安全
  11. 数据安全 and 加密
  12. 身份,权利和访问管理
  13. 安全即服务
  14. 相关技术

安全信任与保证注册中心(STAR)

安全信任和保证注册表(STAR)拥有针对流行的云计算产品(例如Google Cloud或Amazon Web Services)的完整共识评估计划问卷。

这使他们可以公开地记录您已实施的安全性和隐私控制。

这加快了对潜在客户的尽职调查,同时减少了供应商重复完成CSA共识评估的需求。 

STAR计划包含透明性,严格审核和标准统一的关键原则。使用STAR的公司表示他们遵循最佳做法。

三个CSA STAR级别是:

  1. 自我评估: 组织提交安全性和隐私权自我评估中的一项或两项。为了进行安全评估,组织使用云控制矩阵(CCM)评估和记录其安全控制。隐私权评估提交的内容基于GDPR行为准则。
  2. 第三方审核: 希望进行第三方审核的组织可以从一个或多个安全性和隐私审核和证书中进行选择。一个组织'的位置以及法规和标准对确定哪个第三方合适最有影响。 
  3. 持续审核: 自动化云提供商当前安全实践的组织。提供者发布其安全实践,客户或供应商可以在各种情况下检索和呈现此信息。

此外,每个STAR级别都有一个连续审核选项,使云提供商可以提高其透明度:

  1. 持续自我评估: 使用CAIQ进行自我评估的云服务提供商可以使用连续自我评估来演示一段时间内实现STAR连续级别1的控件的有效性。
  2. 第三方持续评估: 进行第三方审核的云服务提供商可以通过添加持续自我评估来达到STAR连续级别2。这使他们可以迅速将其更改通知客户。 安全政策 而不是等到下一个审核期。
  3. 持续认证: 云服务提供商通过连续,自动化的流程最为透明,可确保始终监控和验证安全控制。  

GDPR合规行为准则

行业专家和欧盟代表制定了CSA《 GDPR合规行为守则》'的国家数据保护机构帮助企业加入欧盟'的GDPR数据隐私法规。

CSA的GDPR合规行为准则包括云服务提供商必须满足GDPR法规合规性的所有要求。

CAIQ与其他供应商风险评估问卷有何不同?

CAIQ旨在评估特定风险 第三方供应商,即IaaS,PaaS和SaaS提供商。 

其他安全调查表,例如 混合动力车 and 供应商安全联盟问卷,是针对特定行业或更一般的。 在此处阅读有关供应商安全调查表的完整指南

其他知名的,受人尊敬的安全调查表包括:

在此处获取我们的免费供应商风险评估问卷模板

为什么您应该考虑在CAIQ上同时使用安全评级

安全等级 使风险管理和安全团队能够持续监控 安全态势 of their vendors.

安全评级与安全调查表一起使用的好处是,它们可以自动生成,频繁更新,并且为技术和非技术利益相关者提供了通用语言。

要了解的关键是,安全等级填补了传统风险评估技术(如CAIQ)所留下的巨大空白。向每个第三方发送调查表需要大量的承诺,时间和坦率地说是't always accurate. 

安全评级可以补充和保证安全调查表中报告的结果,因为它们可以从外部进行验证,始终是最新的并且由独立组织提供。 

根据 加特纳在评估现有和新业务关系的风险时,网络安全等级将与信用等级一样重要……这些服务将成为业务关系的前提,并成为服务提供者和采购者应有的谨慎标准的一部分。

在此处详细了解为什么安全等级很重要.

UpGuard 是最受欢迎的安全评级提供商之一。我们通过专有算法生成我们的评级,该算法吸收并分析可信赖的商业和开源威胁源,以及非侵入式数据收集方法以进行定量评估 网络风险.

我们的评级基于对70多个矢量的分析,其中包括:

如果您对其他安全等级服务感到好奇,请参阅有关以下内容的指南 SecurityScorecard vs 比特视在这里.

UpGuard如何帮助您自动化安全调查表

像这样的公司 洲际交流泰勒·弗莱纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard'的安全等级以保护其数据, 防止数据泄露 并评估他们的安全状况。

UpGuard供应商风险 可以最大程度地减少您的组织用于评估相关和第三方的时间 信息安全 通过自动化控制 供应商问卷 and providing 供应商问卷模板.

我们可以帮助您持续监控供应商'外部安全控制,并提供公正的安全评级。 

我们还可以帮助您立即针对您当前和潜在的供应商与他们的行业进行基准比较,以便您了解它们的堆叠方式。

为了评估您的信息安全控制措施, UpGuard BreachSight 可以监视您的组织以进行70多种安全控制,从而提供简单易懂的信息 网络安全等级 并自动检测S3存储桶,Rsync服务器,GitHub存储库等中泄漏的凭据和数据暴露。

UpGuard与其他安全评级供应商之间的主要区别在于,有非常公开的证据表明我们在预防 数据泄露 and 数据泄漏

我们的专业知识在以下方面得到了体现: 纽约时报华尔街日报彭博社华盛顿邮报福布斯路透社和 TechCrunch。

您 can read more about what our customers are saying on 加特纳评论.

如果你'd想看你的组织's security rating, 单击此处请求免费的网络安全评级.

立即预订UpGuard平台的演示.

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状