DNVGL.NL

Duidelijk en transparant met CSA Star-certificering

CSA Star

Naast de bekendere normen ISO 27017 en ISO 27018, groeit de CSA Star certificering in populariteit. In dit artikel legt Aart Bitter, lead auditor en information security expert, uit wat CSA Star-certificering is en hoe een CSA Star audit in zijn werking gaat.

Waar staat CSA Star voor?

CSA Star staat voor Cloud Security Alliance (CSA) Security, Trust & Assurance Registry (STAR). CSA Star-certificering is een externe onafhankelijke beoordeling van de beveiliging van een Cloudserviceprovider. De certificering maakt gebruik van de vereisten van het ISO/IEC 27001-beheersysteemstandaard samen met de CSA Cloud Controls Matrix, een specifieke reeks criteria die de volwassenheidsniveaus van de Cloudservice meet. 


Waarom is het goed om CSA Star gecertificeerd te zijn? 

CSA Star certificatie zorgt ervoor dat zowel de klant als de leverancier vertrouwen én zekerheid over een adequaat managementsysteem voor informatiebeveiliging hebben, dat specifiek gericht is op cloud providers. Een (potentiele) klant krijgt inzicht in de mate van beheersing door een leverancier van specifieke cloud security maatregelen en de leverancier krijgt inzicht in de cloud security gebieden waar (de grootste) verbeteringen mogelijk zijn. Als organisatie kunt u zich hierdoor onderscheiden op het gebeid van veiligheid ten opzichte van de competitie. 


Hoe gaat een CSA Star audit in zijn werking?  

Een CSA Star audit is een aanvulling voor een organisatie, die al een (geaccrediteerd) ISO/IEC 27001 certificaat heeft behaald. De audit gaat dan uit van de resultaten van de ISO 27001 audit en hanteert als aanvullende norm de zogenaamde Cloud Control Matrix (CCM). Dit normenkader bevat 133 specifieke maatregelen voor Cloud dienstverleners, verdeeld over 16 maatregelgroepen. Tijdens de audit stelt de auditor een volwassenheidsniveau (Management Capability Score) vast tussen de 1 en 15 voor iedere maatregelgroep. Als laatste wordt een gemiddelde score berekend over alle maatregelgroepen en wordt een volwassenheidsniveau aan de organisatie toegekend in “Geen”, “Brons”, “Zilver” of “Goud”. 


Wat doet DNV GL tijdens een CSA Star Audit?

Met als uitgangspunt de resultaten van de ISO 27001 audit beoordelen we alle maatregelen c.q. maatregelgroepen van de organisatie (binnen de scope van de certificering). Op basis van een kader geven we een volwassenheidsscore aan iedere maatregel uit de CCM. Voor de scores hanteren we vastgestelde definities verdeeld over 5 managementprincipes (geen formele benadering, reactief, proactief, verbeteringsgericht, geoptimaliseerd). We zoeken naar bewijs op welke wijze de maatregel voldoet aan de gestelde eisen en wijzen de gerelateerde score toe. Dat resulteert in een volwassenheidniveau per maatregelgroep en tenslotte een score voor de organisatie. In de rapportage worden de onderbouwing en de scores opgenomen. 


Welke stappen worden doorlopen? 

Allereerst is het voor de klant natuurlijk noodzakelijk om de implementatie van CSA Star uit te voeren. De CCM is daarvoor vrij te verkrijgen als referentie en de Cloud Security Alliance heeft bovendien een Self-assessment vragenlijst, de Consensus Assessments Initiative Questionnaire (CAIQ) beschikbaar. De bijna 300 vragen, verdeeld over de 16 maatregelgroepen zorgen voor een helder inzicht in de status en een goede voorbereiding voor de audit. Bovendien mag ingevulde vragenlijst worden gepubliceerd bij de Cloud Security Alliance om transparantie en zichtbaarheid van de organisatie op het gebied van Cloud dienstverlening te verhogen. DNV GL kan de CSA star audit tegelijkertijd met de reguliere ISO 27001 uitvoeren. Hierdoor kunnen we direct steunen op de resultaten van de beoordeling van het ISMS conform ISO 27001 en de verdere focus kunnen leggen op de status van implementatie van de maatregelen uit de CCM. 


De voordelen van CSA Star 

Voor zowel gebruikers van Cloudservices als Cloudserviceproviders zelf, levert CSA Star veel voordelen op. Hieronder hebben wij de belangrijkste voordelen voor u opgesomd. 

  • Gebruikers krijgen een duidelijk beeld van de beveiligingsmaatregelen van Cloudproviders; 
  • Gebruikers krijgen inzicht in welke providers een aanvulling vormen voor hun bestaande infrastructuur; 
  • Gebruikers kunnen langetermijninvesteringen maximaliseren door de transparantie van leveranciers; 
  • Providers kunnen hun beveiligingsniveau aantonen met een certificering op aanvullend cloud normenkader; 
  • Providers kunnen door het verder verbeteren van specifieke cloud aandachtsgebieden een robuust managementsysteem voor informatiebeveiliging onderhouden  
  • Providers kunnen hun positie als vertrouwde leverancier van Clouddiensten aan klanten versterken. 

Hieruit blijkt dat CSA Star belangrijk is voor zowel leveranciers als afnemers van clouddiensten. CSA Star biedt transparantie in de geïmplementeerde cloud beveiligingsmaatregelen op basis van een best-practice normenkader met als basis het ISO 27001 managementsysteem voor informatiebeveiliging.


Wilt u meer weten over CSA Star-certificering? 

Kijk voor meer informatie op de CSA Star-certificering pagina of vraag vrijblijvend een offerte op. Dat kan via certificatie@dnvgl.com of telefonisch via 010 29 22 700.