Page 46 - ความมั่นคงปลอดภัยไซเบอร์
P. 46

9-34 ความมนั่ คงปลอดภยั ไซเบอร์
ระบบคลาวด์จะส่งแบบส�ำรวจความคิดริเริ่มการประเมิน (CAIQ) ที่เสร็จสมบูรณ์หรือเพ่ือส่งรายงานการ
ปฏิบัติตามการจัดท�ำเอกสาร การจัดท�ำเมทริกซ์ควบคุมคลาวด์ (CCM) จากน้ันข้อมูลน้ีจะเผยแพร่สู่
สาธารณะ เพ่ือส่งเสริมความโปร่งใสของอุตสาหกรรมและให้ลูกค้ามองเห็นแนวทางการรักษาความมั่นคง
ปลอดภัยของผ้ใู หบ้ รกิ ารเฉพาะได้

            ระดับท่ี 2 ใบรบั รอง/การรับรองของ STAR (STAR Certification/STAR Attestation)
เป็นระดับที่ต้องเปิดเผยผลลัพธ์การประเมินและได้รับการรับรองจากหน่วยงานภายนอกหรือองค์กรอื่น
ทไี่ ม่มผี ลประโยชน์เก่ยี วข้อง โดยใช้ CCM และมาตรฐาน ISO27001 หรอื AICPA SOC25

            การรบั รองของ CSA-STAR (CSA-STAR Attestation) เปน็ การทำ� งานรว่ มกนั ระหวา่ ง
องคก์ ร CSA และ AICPA เพ่ือใหแ้ นวทางในการทำ� ภารกิจ SOC2 โดยใช้เกณฑ์จาก AICPA ในเรอ่ื ง
หลักบริการที่นา่ เช่อื ถือและ CCM โดยการรับรองของ CSA-STAR จะน�ำเสนอการประเมินผ้ใู หบ้ ริการ
คลาวดอ์ ย่างอิสระโดยบุคคลทสี่ ามอยา่ งเข้มงวด

            AICPA SOC2 เป็นรายงานการควบคุมท่ีหน่วยงานบริการที่เก่ียวข้องกับความม่ันคง
ปลอดภยั ความพรอ้ มใชง้ าน การประมวลผล ความสมบรู ณ์ ความลบั หรอื ความเปน็ สว่ นตวั สำ� หรบั องคก์ ร
บรกิ ารในเรอ่ื งเกณฑก์ ารบรกิ ารทเี่ ชอ่ื ถอื ได้ โดยรายงานเหลา่ นม้ี วี ตั ถปุ ระสงคเ์ พอ่ื ตอบสนองความตอ้ งการ
ของผู้ใช้ที่ต้องการข้อมูลรายละเอียดและการรับประกันเก่ียวกับการควบคุมท่ีองค์กรบริการท่ีเก่ียวข้องกับ
ความมัน่ คงปลอดภัยความพรอ้ มใช้งานและความสมบรู ณ์ของการประมวลผลของระบบทอี่ งค์กรบริการใช้
ในการประมวลผลขอ้ มลู ของผใู้ ช้ การรกั ษาความลบั และความเปน็ สว่ นตวั ของขอ้ มลู ทป่ี ระมวลผลโดยระบบ
เหล่าน้ี รายงานนี้มรี ายละเอียดประกอบดว้ ยเน้ือหาที่สำ� คัญ ได้แก่

                 1)		การกำ� กบั ดูแลขององคก์ ร (Oversight of the organization)
                 2)		โปรแกรมการบรหิ ารจดั การผู้ขาย (Vendor management programs)
                 3)		กระบวนการก�ำกับดูแลกิจการและการบริหารความเส่ียง (Internal corporat-
egovernance and risk management processes)
                 4)		การกำ� กบั ดูแล (Regulatory Oversight)
            ระดับท่ี 3 การตรวจสอบอยา่ งตอ่ เนอ่ื งของ STAR (STAR Continuous) เปน็ ระดบั ทต่ี อ้ ง
เปิดเผยผลลัพธ์การตรวจสอบและประเมินความปลอดภัยบนระบบคลาวด์ของตนอย่างต่อเนื่อง โดยใช้
โพรโทคอล Cloud Trust Protocol (CTP) ซง่ึ เปน็ กลไกที่ผู้ใชบ้ ริการคลาวด์ หรือที่เรียกว่า ผู้ใชค้ ลาวด์
(Cloud user) หรอื เจา้ ของบรกิ ารคลาวด์ (Cloud Service Owner) โดยจะรบั ขอ้ มลู เกย่ี วกบั องคป์ ระกอบ
ของความโปร่งใส (elements of transparency) ที่ใช้กับผใู้ หบ้ ริการคลาวด์

         5 American Institute of Certified Public Accountants (AICPA) SOC2 for Service Organizations: Trust
Services Criteria (AICPA SOC2) Report on Controls at a Service Organization Relevant to Security, Availabil-
ity, Processing Integrity, Confidentiality or Privacy
   41   42   43   44   45   46   47   48   49   50   51