摘要:[安全筆記] Amazon CTO counters skepticism on cloud security
亞馬遜的雲計畫部門正計畫提高安全標準以提高更高安全性給企業用戶。
亞馬遜的雲服務已經通過SAS70 Type II certification ,並且預定在年底通過ISO 27001
不過目前為止還沒有更多關於他們安全性措施的公開資料...
From http://www.networkworld.com/news/2010/072810-amazon-cloud-security.html?page=1
2010/7/28
SAS 70全名為The Statement on Auditing Standards No.70,它是由美國認證會計師協會(AICPA)所發展,並被國際所認可的稽核標準,主要實施對象為金融服務機構和提供資訊服務的組織。透過第三方以SAS70為準則的公正稽核過程,可以驗證受稽核的服務組織已具備並實施有效的內部控制。
SAS70的稽核類型分為兩種:Type I和Type II,兩者皆會產出一份稽核報告。在Type I中,服務組織必須提供內部控制的詳細描述,以供稽核員進行檢查,項目包括:
組織內部控制環境各層面的描述,這些將影響到組織內部人員,同時也是其他控制措施的基礎。
風險評鑑的流程,包括如何識別和分析和控制措施有關的風險,說明風險如何被適當地管理。
說明政策和程序等控制相關活動,可確保管理被真正實施。
資通訊的交換流程與形式,以及人員在各時間點應盡的責任。
內部控制目標和相關的控制措施,以及其他組織可能要求的補償性控制措施。
在完成稽核之後,稽核員將針對服務組織提供的內部控制描述,發布一份公正的評估聲明,說明各項控制措施是否已被適當的設計,以達成組織描述的控制目標。
至於Type II的稽核,則不只是採取以上的步驟,在實施Type II的稽核過程中,組織的控制措施將經過六個月(也有可能更長)的測試,以確認其是否真正有效地運作。
因此,Type II的稽核報告中除了包括Type I的評鑑之外,更增加了測試過程的完整描述,以及其最後產生的結果。
另外備忘參考資源:
http://www.27000.org/iso-27001.htm
http://www.27000.org/ismsprocess.htm
http://en.wikipedia.org/wiki/ISO/IEC_27001
