在選擇一個云提供商時，他們應該具備哪些云安全認證和標準?是否有匹配具體安全服務類型的認證?

安全需求跨度非常廣，涵蓋行業甚至企業自己內部，但是確有一些共性的需求來保證云安全認證和標準的開發。一些標準很明顯是適用的，比如SOC標準，還有一些其他的具體產業的標準，比如健康信息信任聯盟(HITRUST)。

下面這些是主要的一些認證：

SOC 1認證證明了財務報表上的質量控制，同時SOC 2和SOC 3報表則解決安全、可用性、流程完整性以及與信息系統相關的其他因素。

ISO 27001是一種跨行業的安全標準，解決了需求、實施、度量以及代碼的實踐。

云安全聯盟的STAR認證項目另外一個主要的安全標準，實際上由于其合并了其他標準，更像是元標準。該標準旨在專門針對云提供商并且基于兩個主要組件構建：云控制矩陣和一致性評估計劃問卷(CAIQ)。云控制矩陣是一套安全風險評估標準，而CAIQ則是以問題列表的形式幫助云客戶評估云服務提供商。

HITRUST認證和PCI DSS認證是重要的醫療健康和支付卡產業組織認證。HITRUST是安全和醫療健康組織關注的組織，關注于創建通用的安全框架(CSF)。這個CSF包含了實施需求以及替代控制的具體細節。取得CSF認證證明遵從了HIPAA和HITRUST標準。

除了這些云安全認證，當然可能還有一些重復的認證，還可能需要關注一下國家的安全框架。這當然并非認證，但是是評估安全的框架，而且那些文檔包括了更多具體的安全話題的參考和鏈接。

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_91581.htm