SlideShare a Scribd company logo

CSA STAR i OCF

Download as PPSX, PDF
Marcin Fronczak
Marcin Fronczak

Cloud Security Alliance Polska - opis programów STAR - Security Trust Assurance Registry oraz OCF - Open Certification Framework

Technology
1 of 11
CSA STAR i OCF Security, Trust and Assurance Registry Open Certification Framework Marcin Fronczak Cloud Security Alliance Polska
Program Security, Trust and Assurance Registry ("STAR") jest częścią CSA Open Certification Framework („OCF”), który jest branżową inicjatywą polegającą na przyznawaniu dostawcom usług w chmurze globalnych, akredytowanych, zaufany ch certyfikatów potwierdzających stosowanie najlepszych praktyk w zarządzaniu bezpieczeostwem.
OCF jest elastycznym, przyrostowym i wielowarstwowym programem certyfikacyjnym zgodnym z przewodnikiem CSA i celami kontrolnymi zdefiniowanymi w zakresie CSA GRC (Governance, Risk and Compliance).
Projekt integruje powszechne programy certyfikacyjne prowadzone przez zaufane trzecie strony oraz mapuje wymagania uznanych norm, standardów oraz najlepszych praktyk z zakresu bezpieczeostwa i nadzoru IT. Obejmuje swoim zakresem ocenę zaufanej trzeciej strony oraz ciągłe monitorowanie i doskonalenie.
CSA Open Certification Framework dostarcza: • Ścieżkę mapowania kwestii związanych z zachowaniem zachowania zgodności z obowiązującymi, lokalnymi regulacjami do globalnie uznanych najlepszych praktyk w tym zakresie. Na przykład, rządy mają możliwośd zaadaptowania unikalnych, lokalnych wymagao na najwyższej warstwie GRC Stack Stack (Governance, Risk and Compliance) i w ten sposób udostępnid możliwośd certyfikacji w sektorze publicznym • Przewodnik dla dostawców jak korzystad z narzędzi GRC Stack w celu certyfikacji np. jakie kroki należy podjąd w celu spełnienia wymagao standardu ISO 27001, które są zmapowane z wymaganiami zawartymi w Cloud Control Matrix (CCM)
Poziom 1 – Samoocena STAR Dostawcy usług mogą przedstawid 2 różne typy raportów potwierdzających zgodnośd z wymaganiami najlepszych praktyk wskazanych przez CSA oraz uznanych norm i standardów (m.in. ISO/IEC 27001:2007).
Poziom 1 – Samoocena STAR W pierwszym poziomie programu STAR wzięły udział 22 rozwiązania oferowanych w modelu chmury m.in. firm Amazon, HP, Microsoft, Symantec, Teleco m Italia, Verizon
Poziom 2 – Certyfikacja STAR – Ocena niezależnego audytora Głównym założeniem poziomu 2 jest wykorzystanie wymagao ISO/IEC 27001:2007 zintegrowanych z wymaganiami Cloud Control Matrix („CCM”) w celu dokonania oceny poziomu dojrzałości organizacji i stosowanego przez nią systemu kontroli wewnętrznej. Dodatkową korzyścią jest dostarczenie potencjalnemu odbiorcy usługi narzędzia wspomagającego proces oceny i wyboru dostawcy.
Poziom 3 – Ciągły monitoring i doskonalenie Program STAR opiera się na cyklu Deminga zwanym również modelem PDCA (ang. Plan-Do-Check-Act), który zapewnia proces ciągłego monitoringu i doskonalenia wdrożonych mechanizmów kontrolnych i procesów.
Harmonogram OCF Poziom 1 – już jest dostępny Open Certification Framework - 1 kwartał 2013 Ocena niezależnego audytora – 1 kwartał 2013 Certyfikacja STAR dla dostawców - 2 kwartał 2013 Poziom 3 - nie wcześniej niż 2015 r.

Recommended

The CSA STAR Program: Certification & Attestation
The CSA STAR Program: Certification & AttestationThe CSA STAR Program: Certification & Attestation
The CSA STAR Program: Certification & AttestationSchellman & Company
 
CSA STAR Program
CSA STAR ProgramCSA STAR Program
CSA STAR ProgramSchellman & Company
 
Analiza nowej Rekomendacji D pod kątem metodologii testowania
Analiza nowej Rekomendacji D pod kątem metodologii testowania Analiza nowej Rekomendacji D pod kątem metodologii testowania
Analiza nowej Rekomendacji D pod kątem metodologii testowania QualityIn.IT
 
Jakość i metody jej pomiaru
Jakość i metody jej pomiaruJakość i metody jej pomiaru
Jakość i metody jej pomiaruSławomir Stańczuk
 
Narzędziownik Compliance Officera
Narzędziownik Compliance OfficeraNarzędziownik Compliance Officera
Narzędziownik Compliance OfficeraPwC Polska
 
2
22
2Szymon Konkol - Publikacje Cyfrowe
 
Scalone dokumenty (11)
Scalone dokumenty (11)Scalone dokumenty (11)
Scalone dokumenty (11)konrad konraddf
 
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Adam Mizerski
 

Recommended

The CSA STAR Program: Certification & Attestation
The CSA STAR Program: Certification & AttestationThe CSA STAR Program: Certification & Attestation
The CSA STAR Program: Certification & AttestationSchellman & Company
 
CSA STAR Program
CSA STAR ProgramCSA STAR Program
CSA STAR ProgramSchellman & Company
 
Analiza nowej Rekomendacji D pod kątem metodologii testowania
Analiza nowej Rekomendacji D pod kątem metodologii testowania Analiza nowej Rekomendacji D pod kątem metodologii testowania
Analiza nowej Rekomendacji D pod kątem metodologii testowania QualityIn.IT
 
Jakość i metody jej pomiaru
Jakość i metody jej pomiaruJakość i metody jej pomiaru
Jakość i metody jej pomiaruSławomir Stańczuk
 
Narzędziownik Compliance Officera
Narzędziownik Compliance OfficeraNarzędziownik Compliance Officera
Narzędziownik Compliance OfficeraPwC Polska
 
2
22
2Szymon Konkol - Publikacje Cyfrowe
 
Scalone dokumenty (11)
Scalone dokumenty (11)Scalone dokumenty (11)
Scalone dokumenty (11)konrad konraddf
 
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Adam Mizerski
 
FitSM by Cloudica
FitSM by CloudicaFitSM by Cloudica
FitSM by CloudicaAdam Kotecki
 
Prezentacja+Ryzyko+2009+ +Dariusz+Lipski
Prezentacja+Ryzyko+2009+ +Dariusz+LipskiPrezentacja+Ryzyko+2009+ +Dariusz+Lipski
Prezentacja+Ryzyko+2009+ +Dariusz+Lipskidareklipski
 
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
2012 Premium Technology usługi bezpieczeństwa teleinformatycznegoSzymon Dowgwillowicz-Nowicki
 
Czym jest AWS Well-Architected?
Czym jest AWS Well-Architected?Czym jest AWS Well-Architected?
Czym jest AWS Well-Architected?Serverless User Group Poland
 
Wydajnosc+Organizacji+Pracy+ +Dariusz+Lipski
Wydajnosc+Organizacji+Pracy+ +Dariusz+LipskiWydajnosc+Organizacji+Pracy+ +Dariusz+Lipski
Wydajnosc+Organizacji+Pracy+ +Dariusz+Lipskidareklipski
 
Efekty ekonomiczne wprowadzenia SZJ
Efekty ekonomiczne wprowadzenia SZJEfekty ekonomiczne wprowadzenia SZJ
Efekty ekonomiczne wprowadzenia SZJMisio Pi
 
Aa1000 as pl
Aa1000 as plAa1000 as pl
Aa1000 as plStowarzyszenie Wspierania Przedsiębiorczości Loża Biznesu
 
Wstęp do Zarządzania Projektami
Wstęp do Zarządzania ProjektamiWstęp do Zarządzania Projektami
Wstęp do Zarządzania ProjektamiKrzysztof Skubis
 
QlikView / Qlik Sense
QlikView / Qlik SenseQlikView / Qlik Sense
QlikView / Qlik SenseBPX SA
 
Outsourcing pod lupą - standardy
Outsourcing pod lupą - standardyOutsourcing pod lupą - standardy
Outsourcing pod lupą - standardyGrant Thornton
 
OWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForceOWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForcePabiszczak Błażej
 
Jakość utracona v13
Jakość utracona v13Jakość utracona v13
Jakość utracona v13magda3695
 
TPI - Test Process Improvement
TPI - Test Process ImprovementTPI - Test Process Improvement
TPI - Test Process ImprovementRadoslaw Smilgin
 
B04 Ewaluacja
B04 EwaluacjaB04 Ewaluacja
B04 EwaluacjaUM Łódzkie
 
Wirtualne Call Center - stać cię na innowacje. Systemy Call Center.
Wirtualne Call Center - stać cię na innowacje. Systemy Call Center.Wirtualne Call Center - stać cię na innowacje. Systemy Call Center.
Wirtualne Call Center - stać cię na innowacje. Systemy Call Center.mmisiak
 
Technical Side of Agile
Technical Side of AgileTechnical Side of Agile
Technical Side of AgileMatt Harasymczuk
 
questus Diploma in Professional Marketing
questus Diploma in Professional Marketingquestus Diploma in Professional Marketing
questus Diploma in Professional Marketingquestus_polska
 
Audit Doskonalący Seminarium WSB 18 05 2010
Audit Doskonalący Seminarium WSB 18 05 2010Audit Doskonalący Seminarium WSB 18 05 2010
Audit Doskonalący Seminarium WSB 18 05 2010gdsfalco
 
Wstęp do Agile
Wstęp do AgileWstęp do Agile
Wstęp do AgileRyszard Krakowiak
 
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwaMicrosoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwaMaciej Sobianek
 

More Related Content

Similar to CSA STAR i OCF

Prezentacja+Ryzyko+2009+ +Dariusz+Lipski
Prezentacja+Ryzyko+2009+ +Dariusz+LipskiPrezentacja+Ryzyko+2009+ +Dariusz+Lipski
Prezentacja+Ryzyko+2009+ +Dariusz+Lipskidareklipski
 
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
2012 Premium Technology usługi bezpieczeństwa teleinformatycznegoSzymon Dowgwillowicz-Nowicki
 
Wydajnosc+Organizacji+Pracy+ +Dariusz+Lipski
Wydajnosc+Organizacji+Pracy+ +Dariusz+LipskiWydajnosc+Organizacji+Pracy+ +Dariusz+Lipski
Wydajnosc+Organizacji+Pracy+ +Dariusz+Lipskidareklipski
 
Efekty ekonomiczne wprowadzenia SZJ
Efekty ekonomiczne wprowadzenia SZJEfekty ekonomiczne wprowadzenia SZJ
Efekty ekonomiczne wprowadzenia SZJMisio Pi
 
Wstęp do Zarządzania Projektami
Wstęp do Zarządzania ProjektamiWstęp do Zarządzania Projektami
Wstęp do Zarządzania ProjektamiKrzysztof Skubis
 
QlikView / Qlik Sense
QlikView / Qlik SenseQlikView / Qlik Sense
QlikView / Qlik SenseBPX SA
 
Outsourcing pod lupą - standardy
Outsourcing pod lupą - standardyOutsourcing pod lupą - standardy
Outsourcing pod lupą - standardyGrant Thornton
 
OWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForceOWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForcePabiszczak Błażej
 
Jakość utracona v13
Jakość utracona v13Jakość utracona v13
Jakość utracona v13magda3695
 
TPI - Test Process Improvement
TPI - Test Process ImprovementTPI - Test Process Improvement
TPI - Test Process ImprovementRadoslaw Smilgin
 
Wirtualne Call Center - stać cię na innowacje. Systemy Call Center.
Wirtualne Call Center - stać cię na innowacje. Systemy Call Center.Wirtualne Call Center - stać cię na innowacje. Systemy Call Center.
Wirtualne Call Center - stać cię na innowacje. Systemy Call Center.mmisiak
 
questus Diploma in Professional Marketing
questus Diploma in Professional Marketingquestus Diploma in Professional Marketing
questus Diploma in Professional Marketingquestus_polska
 
Audit Doskonalący Seminarium WSB 18 05 2010
Audit Doskonalący Seminarium WSB 18 05 2010Audit Doskonalący Seminarium WSB 18 05 2010
Audit Doskonalący Seminarium WSB 18 05 2010gdsfalco
 
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwaMicrosoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwaMaciej Sobianek
 

Similar to CSA STAR i OCF (20)

FitSM by Cloudica
FitSM by CloudicaFitSM by Cloudica
FitSM by Cloudica
 
Prezentacja+Ryzyko+2009+ +Dariusz+Lipski
Prezentacja+Ryzyko+2009+ +Dariusz+LipskiPrezentacja+Ryzyko+2009+ +Dariusz+Lipski
Prezentacja+Ryzyko+2009+ +Dariusz+Lipski
 
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
 
Czym jest AWS Well-Architected?
Czym jest AWS Well-Architected?Czym jest AWS Well-Architected?
Czym jest AWS Well-Architected?
 
Wydajnosc+Organizacji+Pracy+ +Dariusz+Lipski
Wydajnosc+Organizacji+Pracy+ +Dariusz+LipskiWydajnosc+Organizacji+Pracy+ +Dariusz+Lipski
Wydajnosc+Organizacji+Pracy+ +Dariusz+Lipski
 
Efekty ekonomiczne wprowadzenia SZJ
Efekty ekonomiczne wprowadzenia SZJEfekty ekonomiczne wprowadzenia SZJ
Efekty ekonomiczne wprowadzenia SZJ
 
Aa1000 as pl
Aa1000 as plAa1000 as pl
Aa1000 as pl
 
Wstęp do Zarządzania Projektami
Wstęp do Zarządzania ProjektamiWstęp do Zarządzania Projektami
Wstęp do Zarządzania Projektami
 
QlikView / Qlik Sense
QlikView / Qlik SenseQlikView / Qlik Sense
QlikView / Qlik Sense
 
Outsourcing pod lupą - standardy
Outsourcing pod lupą - standardyOutsourcing pod lupą - standardy
Outsourcing pod lupą - standardy
 
OWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForceOWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForce
 
Jakość utracona v13
Jakość utracona v13Jakość utracona v13
Jakość utracona v13
 
TPI - Test Process Improvement
TPI - Test Process ImprovementTPI - Test Process Improvement
TPI - Test Process Improvement
 
B04 Ewaluacja
B04 EwaluacjaB04 Ewaluacja
B04 Ewaluacja
 
Wirtualne Call Center - stać cię na innowacje. Systemy Call Center.
Wirtualne Call Center - stać cię na innowacje. Systemy Call Center.Wirtualne Call Center - stać cię na innowacje. Systemy Call Center.
Wirtualne Call Center - stać cię na innowacje. Systemy Call Center.
 
Technical Side of Agile
Technical Side of AgileTechnical Side of Agile
Technical Side of Agile
 
questus Diploma in Professional Marketing
questus Diploma in Professional Marketingquestus Diploma in Professional Marketing
questus Diploma in Professional Marketing
 
Audit Doskonalący Seminarium WSB 18 05 2010
Audit Doskonalący Seminarium WSB 18 05 2010Audit Doskonalący Seminarium WSB 18 05 2010
Audit Doskonalący Seminarium WSB 18 05 2010
 
Wstęp do Agile
Wstęp do AgileWstęp do Agile
Wstęp do Agile
 
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwaMicrosoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
 

CSA STAR i OCF

  • 1. CSA STAR i OCF Security, Trust and Assurance Registry Open Certification Framework Marcin Fronczak Cloud Security Alliance Polska
  • 2. Program Security, Trust and Assurance Registry ("STAR") jest częścią CSA Open Certification Framework („OCF”), który jest branżową inicjatywą polegającą na przyznawaniu dostawcom usług w chmurze globalnych, akredytowanych, zaufany ch certyfikatów potwierdzających stosowanie najlepszych praktyk w zarządzaniu bezpieczeostwem.
  • 3. OCF jest elastycznym, przyrostowym i wielowarstwowym programem certyfikacyjnym zgodnym z przewodnikiem CSA i celami kontrolnymi zdefiniowanymi w zakresie CSA GRC (Governance, Risk and Compliance).
  • 4. Projekt integruje powszechne programy certyfikacyjne prowadzone przez zaufane trzecie strony oraz mapuje wymagania uznanych norm, standardów oraz najlepszych praktyk z zakresu bezpieczeostwa i nadzoru IT. Obejmuje swoim zakresem ocenę zaufanej trzeciej strony oraz ciągłe monitorowanie i doskonalenie.
  • 5. CSA Open Certification Framework dostarcza: • Ścieżkę mapowania kwestii związanych z zachowaniem zachowania zgodności z obowiązującymi, lokalnymi regulacjami do globalnie uznanych najlepszych praktyk w tym zakresie. Na przykład, rządy mają możliwośd zaadaptowania unikalnych, lokalnych wymagao na najwyższej warstwie GRC Stack Stack (Governance, Risk and Compliance) i w ten sposób udostępnid możliwośd certyfikacji w sektorze publicznym • Przewodnik dla dostawców jak korzystad z narzędzi GRC Stack w celu certyfikacji np. jakie kroki należy podjąd w celu spełnienia wymagao standardu ISO 27001, które są zmapowane z wymaganiami zawartymi w Cloud Control Matrix (CCM)
  • 6.
  • 7. Poziom 1 – Samoocena STAR Dostawcy usług mogą przedstawid 2 różne typy raportów potwierdzających zgodnośd z wymaganiami najlepszych praktyk wskazanych przez CSA oraz uznanych norm i standardów (m.in. ISO/IEC 27001:2007).
  • 8. Poziom 1 – Samoocena STAR W pierwszym poziomie programu STAR wzięły udział 22 rozwiązania oferowanych w modelu chmury m.in. firm Amazon, HP, Microsoft, Symantec, Teleco m Italia, Verizon
  • 9. Poziom 2 – Certyfikacja STAR – Ocena niezależnego audytora Głównym założeniem poziomu 2 jest wykorzystanie wymagao ISO/IEC 27001:2007 zintegrowanych z wymaganiami Cloud Control Matrix („CCM”) w celu dokonania oceny poziomu dojrzałości organizacji i stosowanego przez nią systemu kontroli wewnętrznej. Dodatkową korzyścią jest dostarczenie potencjalnemu odbiorcy usługi narzędzia wspomagającego proces oceny i wyboru dostawcy.
  • 10. Poziom 3 – Ciągły monitoring i doskonalenie Program STAR opiera się na cyklu Deminga zwanym również modelem PDCA (ang. Plan-Do-Check-Act), który zapewnia proces ciągłego monitoringu i doskonalenia wdrożonych mechanizmów kontrolnych i procesów.
  • 11. Harmonogram OCF Poziom 1 – już jest dostępny Open Certification Framework - 1 kwartał 2013 Ocena niezależnego audytora – 1 kwartał 2013 Certyfikacja STAR dla dostawców - 2 kwartał 2013 Poziom 3 - nie wcześniej niż 2015 r.