CSASTAR云安全评估认证规则.PDFVIP

编号：BMS-SC-052 CSA STAR 云安全评估认证规则 版本：A 发行日期 CSA STAR 云安全评估认证规则 目录 1. 标准简介 2. 适用范围 3. 认证基本原则 4. 对认证人员的要求 5. 申请和合同评审程序 6．审核准备 7. 初次认证审核 8. 审核实现 9．认证决定 10. 暂停、撤销和取消 11. 受理申诉和投诉 12. 认证记录管理 附录 A CSA STAR 云安全评估认证人天计算表 必维认证（北京）有限公司 1 编号：BMS-SC-052 CSA STAR 云安全评估认证规则 版本：A 发行日期 1 标准简介 CSA STAR 云安全评估基于国际权威的非盈利组织云安全联盟（Cloud Security Alliance）推出的云控制矩阵CCM （Cloud Control Matrix），满足云计算安全领域的 特定要求，针对云计算安全特性的一项国际性认证；同时它也是 ISO/IEC 27001 信息 安全管理体系的增强版本，将云安全的特有问题可视化，并采用 BSI 制定的成熟度模 型和评估方法，同时遵循国际相关法律法规和标准要求，对云计算服务进行全面、中 立、严苛、准确的安全评价。为云服务商的安全管控能力提供了直观的评估框架。 2 适用范围 2.1 本规则用于规范必维认证（北京）有限公司（以下简称“必维”）对申请认证 和获证的各类组织按照《CSA STAR 云安全评估-要求》建立 CSA STAR 云安全评估的认 证活动。 2.2 本规则是对必维从事 CSA STAR 云安全评估认证活动的基本要求，公司各部门 从事该项认证活动应当遵守本规则。 3 认证基本原则 3.1 公正性：保持公正，是提供第三方认证的必要条件。公司通过合同评审、技 术评审、审核准备和实现等过程控制，确保审核过程是公正的、客观的。 3.2 能力：能力是指经证实的应用知识和技能的本领。公司通过审核人员管理机 制，保障的人员能力是提供可建立信心的认证审核的必要条件。 3.3 责任：公司基于合理抽样、足够的客观证据基础上进行审核和评价，并在 此基础上做出认证决定。 3.4 开放性：为确保诚信性与可信性，公司采用透明运营的方式，公布有关CSA STAR云安全评估认证审核过程和状态的适宜、及时的信息，或提供获取上述信息的公 必维认证（北京）有限公司 2 编号：BMS-SC-052 CSA STAR 云安全评估认证规则 版本：A 发行日期 开渠道。 3.5 保密性：公司采取措施对任何关于客户的专有信息予以保密，但对于享有 获取充分评价认证审核符合性所需的信息的特别权利是必不可少的。 3.6 对投诉的回应：公司依据《投诉和申诉流程》，对投诉和申诉进行调查和适 当处理。 4 对认证人员的要求 为了确保审核能力，公司基于 ISO 19011 的要求，对 CSA STAR 云安全评估审核 员、主任审核员、技术专家进行资格审批和管理。成为审核员，需要满足以下条件要 求： 4.1 职业素养的要求 审核人员应具备以下职业素养：