在選擇一個云提供商時，他們應(yīng)該具備哪些云安全認證和標準?是否有匹配具體安全服務(wù)類型的認證?

安全需求跨度非常廣，涵蓋行業(yè)甚至企業(yè)自己內(nèi)部，但是確有一些共性的需求來保證云安全認證和標準的開發(fā)。一些標準很明顯是適用的，比如SOC標準，還有一些其他的具體產(chǎn)業(yè)的標準，比如健康信息信任聯(lián)盟(HITRUST)。

下面這些是主要的一些認證：

SOC 1認證證明了財務(wù)報表上的質(zhì)量控制，同時SOC 2和SOC 3報表則解決安全、可用性、流程完整性以及與信息系統(tǒng)相關(guān)的其他因素。

ISO 27001是一種跨行業(yè)的安全標準，解決了需求、實施、度量以及代碼的實踐。

云安全聯(lián)盟的STAR認證項目另外一個主要的安全標準，實際上由于其合并了其他標準，更像是元標準。該標準旨在專門針對云提供商并且基于兩個主要組件構(gòu)建：云控制矩陣和一致性評估計劃問卷(CAIQ)。云控制矩陣是一套安全風險評估標準，而CAIQ則是以問題列表的形式幫助云客戶評估云服務(wù)提供商。

HITRUST認證和PCI DSS認證是重要的醫(yī)療健康和支付卡產(chǎn)業(yè)組織認證。HITRUST是安全和醫(yī)療健康組織關(guān)注的組織，關(guān)注于創(chuàng)建通用的安全框架(CSF)。這個CSF包含了實施需求以及替代控制的具體細節(jié)。取得CSF認證證明遵從了HIPAA和HITRUST標準。

除了這些云安全認證，當然可能還有一些重復(fù)的認證，還可能需要關(guān)注一下國家的安全框架。這當然并非認證，但是是評估安全的框架，而且那些文檔包括了更多具體的安全話題的參考和鏈接。

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_91581.htm