近日,西班牙Tecnalia 研究与创新基金会发布了《欧盟云计算认证计划》研究报告,总结了其“云计算认证计划”研究项目的相关发现与结论。
研究分析了云计算现有的安全认证计划,发现现有云安全认证计划采用率十分低,主要原因包括存在不同的合格评定标准、重新定义符合认证计划的安全控制过程的成本过高等。报告还对阻碍云计算认证计划的因素进行了分析,包括缺乏信任、对适用法律的不确定性以及服务提供者之间缺乏互操作性、市场渗透、五种认证计划的差距分析、获得认证的成本和途径、公共部门和私人部门采取的措施,以及是否与公众进行合作等。
该研究深入分析了ISO 27002、ISO 27017、C5、CCM(CSA)、NIST SP-800-53 和CCSM(ENISA)等6 种认证计划,比较了每个计划关注的如采购管理、运营安全和安全完整性等关键领域,并根据调查结果对欧盟范围内的云计算认证计划所涵盖的程序和政策、业务连续性、运营安全、资产管理、事件管理、安全性评估等19 个方面提出了最低要求。
最后,该研究调查了公共部门在创建认证计划中可能发挥作用的情景,如从市场驱动到高水平的监管、创建欧盟范围的认证计划和相互承认的国家计划等,并对这些情景进行了定量影响分析。另外,该研究还将其研究结果融入了欧盟有关云计算和安全认证的政策背景之下,例如数字单一市场、网络和信息系统安全指令(NIS 指令)、网络安全法案和非个人数据自由流动等。