云安全联盟(CSA)上周四宣称正式发布CSA云控制矩阵(CCM)3.0版，全面升级至评估云中心信息安全风险的行业黄金标准。自发布CSA开 创性的制导领域以来，CCM3.0版将其控制领域扩展到云安全风险的地址变化，集中于云计算关键领域的安全指导3.0版向两者更紧密的融合迈出了一大 步。

充分汲取行业公认的安全标准，条款，和控制框架，例如ISO 27001/2, 欧盟网络与信息安全局(ENISA)信息担保框架，ISACA(国际信息系统审计协会)对信息和相关技术的控制条款，美国注册会计师协会信托服务和委托人 支付卡行业数据安全标准，和联邦风险和授权管理程序，升级后的CSA CCM控制域为用户提供控制装置的内聚力，这种内聚力是管理云中心信息安全风险所必需的。CCM的重组抓住了不久的将来对于云管理的需求，届时它将作为升 级控制装置的年检，进一步确保CCM仍然符合未来技术和政策的变化。

由于云应用在不断进步，我们的安全控制也必须与之俱进，CCM工作小组联合主席兼思科系统数据中心和云安全专家伊夫林·德索萨说到，我们 现在必须解决云数据访问的拓展方法，对云服务提供者的供应链予以必要的谨慎，在面临一个向云服务提供者的关系转变时服务中断应最小化。具备额外的新关键控 制域和被提高的清晰度，为确保云更大的透明度、信任和安全，提供商和消费者将把CCM作为日渐依赖的重要工具。

CCM3.0版本包括如下升级内容：

5个全新控制域，说明对云数据进行访问，转移，和保护等操作过程中的信息安全风险：移动安全，供应链管理，透明度和问责制，互操作性和便携性，以及加密和密钥管理

与云计算关键领域3.0版的安全指导兼容性得到改善

整个控制域和单个扩展控制识别命名契约的控制审核能力得到改善

决定使用某个云服务应该考虑下一个问题，即我是否足够相信提供商有能力管理和保护好我的数据，CCM工作组联合主席、行业专家 Sean Cordero说到。CCM的使用为云服务提供商提供了一套可管理的部署好的控制装置，这种装置可以映射全球安全标准。对客户来说，它在与云服务提供商的 安全态势对话中起着催化剂的作用，这在以前是不可能的。在CCM3.0版维持这种平衡是一项重要的工作，这离不开来自CSA成员公司如微 软，Salesforce，普华永道和参与全球同行审查的120 多个人会员的努力。对于他们的奉献，我们不胜感激。

在秋季即将召开的CSA大会上CSA将举办3个CCM专业分会。本周，在苏格兰爱丁堡召开的CSA大会欧洲、中东、非洲地区会议 上，Evelyn De Souza将带领CCM3.0版团队向与会者介绍和指导新的控制装置和改进。她也将在研讨会上主持一个讲座，题为抓住机遇，打造CSA云控制矩阵的未 来

另外，于2013年12月3-5日在佛罗里达奥兰多举办的2013年CSA大会上，CSA将主持一个讲座，题为CSA和英国标准学 会：CCM，民意评估计划问卷(CAIQ)和CSA安全，信用和保险注册(STAR)的云管理，风险和合规。届时 Sean Cordero与其他行内专业将为与会者提供新版CCM的理论与设计，如何将机构要求映射到CCM，怎样最好地利用CSA GRC stack的关键伙伴：CCM3.0版，CAIQ和STAR。

关于CSA:

CSA作为一个非盈利性组织，负责促进保证云计算安全的应用，提供关于云计算应用的教育培训，旨在帮助保证其它计算形式的安全。CSA是一个行业从业人员、企业、协会和其他关键股东广泛参与的联盟。