Cloud Security Alliance (CSA) STAR-Selbstbewertung

Die Microsoft STAR-Selbstbewertung beschreibt, wie die Clouddienste die Anforderungen der Cloud Security Alliance erfüllen.

Microsoft und die CSA STAR-Selbstbewertung

Im Rahmen der STAR-Selbstbewertung können CSPs zwei verschiedene Dokumenttypen einreichen, um ihre Compliance mit den Best Practices der CSA nachzuweisen: einen beantworteten CAIQ oder einen Bericht, der die CCM-Compliance dokumentiert. Für die CSA STAR-Selbstbewertung veröffentlicht Microsoft sowohl einen CAIQ als auch einen CCM-basierten Bericht für Microsoft Azure sowie CCM-basierte Berichte für Microsoft Dynamics 365 und Microsoft Office 365.

Erfahren Sie mehr über die Vorteile der CSA STAR-Selbstbewertung in Bezug auf die Microsoft Cloud.

Hintergrundinformationen zur CSA STAR-Selbstbewertung herunterladen

Erfahren Sie, wie Sie die Bereitstellung Ihrer CSA STAR-Selbstbewertung mit dem Azure Security and Compliance Blueprint beschleunigen können.

Azure-Antwort auf CSA Consensus Assessments herunterladen

Relevante Microsoft-Clouddienste

Übersicht über die CSA STAR-Selbstbewertung

Die Cloud Security Alliance (CSA) ist eine gemeinnützige Organisation, der verschiedene Branchenexperten, Unternehmen und andere wichtige Stakeholder angehören. Die Organisation hat es sich zur Aufgabe gemacht, Best-Practice-Lösungen zu definieren, um die Sicherheit der Cloud Computing-Umgebung zu erhöhen und potenziellen Cloudkunden dabei zu helfen, fundierte Entscheidungen bei der Umstellung ihres IT-Betriebs zu treffen.

2010 veröffentlichte die CSA eine Reihe von Tools, um die Vorgänge der Cloudinformationstechnologie zu bewerten: CSA Governance, Risk Management and Compliance (GRC) Stack. Dieses Toolset soll Cloudkunden dabei unterstützen, zu bewerten, wie Cloud Service-Anbieter (CSP) den branchenüblichen Best Practices und Standards folgen und Complianceanforderungen erfüllen.

2013 startete die CSA zusammen mit der British Standards Institution die „Security, Trust & Assurance Registry“, kurz STAR, ein kostenloses, öffentlich zugängliches Verzeichnis, in dem Cloud Service-Anbieter ihre CSA-bezogenen Bewertungen veröffentlichen.

CSA STAR basiert auf zwei Hauptkomponenten des CSA GRC Stack:

  • Cloud Controls Matrix (CCM): ein Kontrollrahmen, der grundlegende Sicherheitsprinzipien in 16 Bereichen abdeckt, um Cloudkunden bei der Bewertung des Gesamtsicherheitsrisikos eines CSPs zu unterstützen.
  • Consensus Assessments Initiative Questionnaire (CAIQ): ein Satz von über 140 Fragen basierend auf dem CCM, die ein Kunde oder ein Cloudprüfer CSPs stellen kann, um ihre Compliance mit CSA Best Practices zu bewerten.

STAR umfasst drei Assurance-Stufen; CSA STAR Self-Assessment stellt das Einführungsangebot auf Stufe 1 dar, die allen CSPs kostenlos zur Verfügung steht. Stufe 2 des STAR-Programms umfasst bewertungsbasierte Zertifizierungen durch Dritte und Stufe 3 umfasst Zertifizierungen auf der Basis einer kontinuierlichen Überwachung.

Zentrales Compliance-Management

Führen Sie kontinuierliche Risikobewertungen durch, nutzen Sie aussagekräftige Insights, und vereinfachen Sie Ihren Complianceprozess bei der Verwendung von Microsoft-Clouddiensten mit dem Compliance Manager.

Compliance Manager jetzt testenBlog zu Sicherheit, Datenschutz und Compliance lesen

Häufig gestellte Fragen

Alle erweitern

Die CCM entspricht branchenweit anerkannten Sicherheitsstandards, Bestimmungen und Kontrollrahmen wie ISO 27001, PCI DSS, HIPAA, AICPA SOC 2, NERC CIP, FedRAMP, NIST und vielen weiteren. Die aktuelle Liste finden Sie auf der CSA-Website.

Sie ermöglicht CSPs, ihre Compliance mit den von der CSA veröffentlichten bewährten Verfahren auf transparente Weise zu dokumentieren. Selbsteinschätzungsberichte sind öffentlich zugänglich. So erhalten Cloudkunden mehr Transparenz in die Sicherheitsmethoden von CSPs und können verschiedene CSPs auf derselben Grundlage vergleichen.

  • Stufe 1: CSA STAR Self-Assessment: Azure, Dynamics 365 und Office 365. Die Selbsteinschätzung ist ein ergänzendes Angebot der Cloud Service-Anbieter, um ihre Sicherheitskontrollen zu dokumentieren und die Kunden beim Bewerten der Sicherheit des Diensts zu unterstützen.
  • Stufe 2: CSA STAR-Zertifizierung: Azure, Cloud App Security, Intune und Power BI. Für die STAR Certification ist die Zertifizierung nach ISO/IEC 27001 und die Erfüllung der in der CCM angegebenen Kriterien erforderlich. Sie wird nach strenger Bewertung der Sicherheitskontrollen und Methoden eines Cloud Service-Anbieters durch Dritte erteilt.
  • Stufe 2: CSA STAR-Bestätigung: Azure und Intune CSA und AICPA haben gemeinsam Richtlinien für CPAs aufgestellt, die diese für SOC 2-Bestrebungen unter Verwendung der Kriterien des AICPA (Trust Service Principles, AT 101) und der CSA CCM nutzen können. Die STAR-Bestätigung beruht auf diesen Richtlinien und wird aufgrund strenger unabhängiger Bewertungen der Cloudanbieter ausgestellt.