Government Cloud ได้รับรางวัล CSA STAR Certification จาก Cloud Security Alliance


15 December 2559
6284

ในยุคนี้ บริการคลาวด์มีบทบาทต่อวิถีชีวิตของเราเป็นอย่างมาก ซึ่งผู้ใช้งานทุกคนต่างเคยใช้งานด้านข้อมูลต่างๆ ทั้งการหาข้อมูลความรู้ หาข้อมูลบันเทิง หรือข้อมูลอื่นๆ ผ่าน Internet ซึ่งไม่ว่าจะมองในมุมของหน่วยงานที่จัดทำคลาวด์ส่วนตัว (Private Cloud) หรือใช้บริการคลาวด์สาธารณะ (Public Cloud) จากผู้ให้บริการต่างๆ หรือจะมองในมุมของผู้ให้บริการคลาวด์ (Cloud Provider) ต่างจำเป็นต้องจัดทำบริการคลาวด์ของตน ให้มีเสถียรภาพสูงทั้งด้านประสิทธิภาพและความปลอดภัย เพื่อสร้างความมั่นใจแก่ผู้ใช้บริการ

ซึ่งในด้านความมั่นคงปลอดภัยของข้อมูลนั้น มีองค์กรระดับโลก อาทิ Euro Cloud Star Audit (ECSA), Cloud Security Alliance (CSA), International Organization for Standardization (ISO) จัดทำมาตรฐานเพื่อให้ ผู้ให้บริการคลาวด์ใช้เป็นแนวทางในการบริหารจัดการ และเป็นเครื่องหมายยืนยันให้ ผู้ใช้บริการเกิดความมั่นใจและไว้วางใจ โดยแต่ละหน่วยงานได้ออกมาตรฐานที่มีจุดเด่นต่างกันไป จึงทำให้ผู้ให้บริการที่ต้องการนำมาตรฐานดังกล่าวไปใช้ จะต้องพิจารณาให้รอบคอบเพื่อการขอรับรองมาตรฐานบริการคลาวด์ของตนเอง หรือหากเป็นผู้ใช้บริการและต้องการเลือกใช้บริการคลาวด์จากผู้ให้บริการต่างๆ ก็ควรทำความเข้าใจมาตรฐานแต่ละตัวเอาไว้เช่นกัน 

 

Cloud Security Alliance (CSA) เป็นหน่วยงานที่มีหน้าที่ในการจัดทำวิจัยและเผยแพร่ความรู้ในประเด็นด้านความมั่นคงปลอดภัยของระบบการประมวลผลแบบ Cloud โดยเฉพาะ ซึ่งได้มีการจัดอันดับภัยคุกคาม เทคโนโลยี และการเพิ่มความมั่นคงปลอดภัยสำหรับระบบการประมวลผลแบบกลุ่มเมฆ (Security Technology for Cloud Computing) สร้างความมั่นใจให้กับผู้ใช้งานระบบ Cloud ได้มากยิ่งขึ้น โดย CSA มีมาตรฐานของตัวเองที่ชื่อว่า มาตรฐาน CSA-STAR

CSA-STAR ย่อมาจาก Cloud Security Alliance (CSA) – Security, Trust & Assurance Registry (STAR ) เริ่มใช้งานเมื่อปลายปี 2011 โดยมีจุดประสงค์เพื่อเพิ่มความโปร่งใสของผู้ให้บริการและความมั่นใจในการใช้ระบบคลาวด์  CSA-STAR จึงเป็นทะเบียนสาธารณะที่ระบุถึงการควบคุมความปลอดภัยของระบบคลาวด์หลากหลายประเภท จากหลากหลายผู้ให้บริการ ซึ่งช่วยให้ผู้ใช้ที่ต้องการทำสัญญาหรือใช้บริการระบบคลาวด์สามารถประเมินความปลอดภัยของผู้ให้บริการให้เหมาะสมกับความต้องการของตนเองได้ โดย CSA-STAR นั้นเป็นมาตรฐานความปลอดภัยบนระบบคลาวด์ซึ่งเป็นส่วนเสริมเพิ่มเติมมาจากมาตรฐานความปลอดภัยของ ISO 27001 โดยมาตรฐาน CSA-STAR มุ่งเน้นที่ความปลอดภัยของการให้บริการคลาวด์เป็นหลัก สำหรับในส่วนของการปฏิบัติตาม กฎหมาย ข้อบังคับที่เกี่ยวข้อง หรือในส่วนของการรักษาความเป็นส่วนตัวของข้อมูลเป็นเพียงส่วนประกอบ และในการขอการรับรอง CSA-STAR นั้นผู้ให้บริการคลาวด์ต้องจัดทำ ISO 27001 และใช้ Cloud Control Matrix (CCM) เพิ่มเติม

(ที่มาภาพ: https://cloudsecurityalliance.org/star/)

CSA-STAR Certificate แบ่งออกเป็น 3 ระดับ คือ

  • STAR Self Assessment: ต้องเปิดเผยผลลัพธ์การประเมินด้วยตนเองจากแบบสอบถาม CSA Consensus Assessment Initiative (CAI) และ / หรือ Cloud Control Matrix (CCM)
  • STAR Certification / Attestation: ต้องเปิดเผยผลลัพธ์การประเมินโดย 3rd Party โดยใช้ CCM และ ISO27001 หรือ AICPA SOC2
  • STAR Continuous: ต้องเปิดเผยผลลัพธ์การตรวจสอบและประเมินความปลอดภัยบนระบบคลาวด์ของตนอย่างต่อเนื่อง โดยใช้ Cloud Trust Protocol (CTP) 

จะเห็นได้ว่า CSA-STAR Certification นั้นเป็นประโยชน์มากมายกับทุกหน่วยงานไม่ว่าจะเล็กหรือใหญ่เพราะช่วยสร้างความมั่นใจในการให้บริการและชื่อเสียงแก่หน่วยงาน ทำให้ผู้ใช้งานสามารถมั่นใจได้ถึงมาตรฐานหรือหลักฐานในการพิสูจน์ว่าระบบคลาวด์ที่ตนเองต้องการจะใช้นั้นปลอดภัยจริง นอกจากนี้ยังให้ประโยชน์แก่ผู้ให้บริการระบบคลาวด์ด้วย เช่น ช่วยให้สามารถประเมินถึงประสิทธิภาพของระบบบริหารจัดการที่เกี่ยวข้องกับความปลอดภัยบนระบบคลาวด์และมาตรฐาน ISO/IEC 27001 สามารถตรวจสอบผลสะท้อนถึงความสำเร็จในการบรรลุเป้าหมายในการให้บริการระบบคลาวด์ที่เหมาะสมแก่ลูกค้าเพื่อเปรียบเทียบศักยภาพของหน่วยงานกับผู้ให้บริการรายอื่น ซึ่งในปัจจุบันนี้ มีบริษัทมากมายจากทั่วโลกที่ได้รับการการันตีโดยมาตรฐาน CSA-STAR เช่น HP (อังกฤษ), Pulsant (อังกฤษ), Alibaba (จีน), BroadBand Tower (ญี่ปุ่น), Chunghwa Telecom (จีน) และอื่นๆ

  

สำหรับสำนักงานรัฐบาลอิเล็กทรอนิกส์ (องค์การมหาชน) ในฐานะผู้ให้บริการ G-Cloud เล็งเห็นถึงความสำคัญด้านความมั่นคงปลอดภัยของบริการ G-Cloud โดยมีการนำมาตรฐานระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001:2013 มาเป็นแนวทางปฏิบัติและผ่านการรับรองมาตรฐานจากผู้ตรวจสอบภายนอกไปแล้วนั้น และเพื่อสร้างความมั่นใจกับผู้ใช้บริการและพัฒนาบริการ G-Cloud อย่างต่อเนื่องจึงได้นำแนวทางการบริหารจัดการความมั่นคงปลอดภัยของ Cloud Security Alliance (CSA) ซึ่งเป็นมาตรฐานความปลอดภัยของระบบ Cloud ที่มีผู้ใช้งานอย่างแพร่หลายทั่วโลก มาปฏิบัติ และในประเทศไทยในปี 2559 ที่ผ่านมาสำนักงานรัฐบาลอิเล็กทรอนิกส์ (องค์การมหาชน)  ได้ผ่านการรับรองมาตรฐาน CSA STAR ในระดับที่ 2 CSA STAR Certification เป็นที่เรียบร้อยแล้วจากผู้ตรวจสอบภายนอก ทำให้ทุกหน่วยงานที่ใช้บริการ G-Cloud สามารถมั่นใจได้ในมาตรฐานในการทำงานและการให้บริการของ G-Cloud ว่ามีแนวทางการปฏิบัติ การให้บริการ การจัดการข้อมูลสำคัญ อย่างมีประสิทธิภาพและมีความปลอดภัยสูงตามมาตรฐานสากล

(เอกสารรับรองอย่างเป็นทางการจาก BSI หน่วยงานผู้ตรวจประเมินจากภายนอก)

รายละเอียดเพิ่มเติมเกี่ยวกับ CSA-STAR:
https://cloudsecurityalliance.org/star-registrant/electronic-government-agency-public-organization-ega/
https://cloudsecurityalliance.org/star/ และ http://www.bsigroup.com/en-GB/CSA-STAR-Certification/

ป้ายกำกับ : government cloud CSA G-Cloud STAR