CSA(云安全联盟) & CSA STAR

CSA 是一个全球性的非营利组织，致力于推动云计算环境中的安全最佳实践（Security Best Practices）、提升行业安全意识，并提供可落地的框架、工具与教育内容。

其核心目标是：

为云服务提供者（Cloud Service Providers, CSPs）和云服务使用者（Cloud Service Customers, CSCs）建立统一的安全语言与信任机制。

组件	中文名称	说明
Security Guidance	安全指南	CSA 发布的权威文档，涵盖云安全治理、数据保护、身份管理等关键领域，是其他工作的基础。
CCM（Cloud Controls Matrix）	云控制矩阵	一套结构化的安全控制框架，包含约 197 项控制措施，覆盖 16 个安全域（如访问控制、日志审计、加密等）。 ✅ 支持自动映射到 ISO/IEC 27001、NIST CSF、GDPR、PCI DSS 等主流合规标准。
CAIQ（Consensus Assessments Initiative Questionnaire）	共识评估倡议问卷	基于 CCM 衍生的标准化问卷，供云客户向云服务提供者提问，用于快速评估其安全能力。
CCSK（Certificate of Cloud Security Knowledge）	云安全知识认证	全球认可的基础级云安全认证，考察 CSA 指南、ENISA 报告及关键控制理解。
Working Groups	工作组	由全球专家组成的专题小组，持续研究零信任（Zero Trust）、生成式 AI 安全、SASE、数据主权等前沿议题。

CSA STAR（Security, Trust & Assurance Registry） 是由 CSA 推出的全球性云安全透明化注册平台，旨在通过标准化方式展示云服务提供者的安全与合规状态，增强客户信任。

✅ STAR 不是认证，而是一个分级披露与验证机制。

CSA STAR 采用三级模型，逐级提升透明度与可信度：

级别	中文名称	关键要求
Level 1: Self-Attestation	一级：自我声明	- 云服务提供者基于 CAIQ 问卷自行填写安全控制实现情况 - 结果公开注册于 STAR 在线 registry（注册库） - 无第三方验证
Level 2: Third-Party Audit	二级：第三方审计	- 提交由独立机构出具的合规证明（如 ISO/IEC 27001 认证、SOC 2 报告） - 审计范围需覆盖 CCM 控制项 - 结果在 STAR 平台公示，增强可信度
Level 3: Continuous Monitoring	三级：持续监控	- 利用自动化工具（如 API 驱动的安全平台）对安全控制进行实时或近实时验证 - 实现安全状态的动态更新 - 代表最高级别的透明度与成熟度（目前较少实施）

🔗 简言之：
CCM 定义“安全控制要求”，CAIQ 用于“提问与回答”，STAR 则是“公开承诺与验证”的舞台。

CSA = 云安全领域的标准制定者与知识引擎
CSA STAR = 基于 CSA 标准的信任建立与透明化机制
核心支柱：
- CCM（云控制矩阵） → 安全控制基准
- CAIQ（共识评估问卷） → 评估工具
- STAR 三级模型 → 从自我声明到持续监控的信任演进路径

这些组件共同构成了一个开放、可互操作、以风险为基础的云安全生态体系，适用于任何云服务提供者或使用者，无论其规模或地域。

官方资源（不含商业推广）：

CSA 全球官网：cloudsecurityalliance.org

STAR 注册库：cloudsecurityalliance.org/star