CSA CAST认证白皮书 云应用安全可信认证 h t i g b u 2022年3月 m o c . 5 Cloud Application Security Trust 一、CAST认证简介 Cloud Application Security Trust 云应用安全可信认证,简称“CAST认证”，由云安 全联盟大中华区与公安部第三研究所安全防范与信息安全产品及系统检验实验室联合发 布。CAST认证主要是为了提升云应用类产品在生命周期各阶段的安全性、提升云应用类 产品的整体安全能力，同时节省客户的安全评估成本、增强客户的安全认可度。CAST聚 焦云应用领域，坚持安全技术与安全合规并重，渗透测试与管理评估并举的原则，致力 于提升云应用类产品的安全能力，增强客户对云应用类产品安全的信任。 CAST认证作为独立的第三方认证，相关的评估体系和标准由国际云安全联盟大中华区、 m o 公安部第三研究所安全防范与信息安全产品及系统检验实验室组织数十家云应用、网络 安全或相关领域的头部厂商共同参与制定，旨在客观公正的对云应用进行安全和可信能 c . 5 力测评。 二、认证对象 b u 云应用包括但不限于SaaS产品、所有在线订阅类服务、IaaS/PaaS云的应用部分对应的 h t i g 某个具体的版本，认证结果仅对通过认证的版本有效。 三、认证依据 CSA云安全联盟标准CSA C001-2022：Cloud Application Security Technology Standard 《云应用安全技术标准》,简称 CAST标准，包括基础级和增强级两个等级。 四、认证测评机构 认证机构：“云安全联盟大中华区”与“公安部第三研究所安全防范与信息安全产品及 系统检验实验室”联合认证。 测评机构：国家网络与信息系统安全产品质量检验检测中心（公安部第三研究所）。 其它具有类似水平的测评机构在未来也可向云安全联盟大中华区申请授权。 五、测评方式 实验室测评，必要时可进行现场测评。 六、认证测评流程 分为受理申请、测评和认证3个阶段。 1. 受理申请：委托单位提出申请，填写《云应用安全可信认证申请书》和《云应用安 全可信认证委托检验检测合同》，并提交相应材料； 2. 测评：测评机构根据测评计划开展测评活动，委托单位视测评情况进行整改，整改 结束以后由测评机构向委托单位出具测评报告。 3. 认证：认证机构向测评结果达标的委托单位发放认证证书。 七、认证证书 防范与信息安全产品及系统检验实验室联合颁发“Cloud b u Application Security Trust”(CAST) 认证证书。 可凭证书编号在CSA 大中华区(www.c-csa.cn)及公安部 h t i g m o c . 5 云安全联盟大中华区大中华区与公安部第三研究所安全 第三研究所安全防范与信息安全产品及系统检验实验室 （www.mctc.org.cn）官网查询。 CAST证书的有效期 3 年，证书失效后需重新测评。 （证书样式） 八、CSA CAST认证价值 ① 通过认证持续提升云应用类产品的整体安全能力 ② 向客户快速证明云应用的安全能力，节省客户对云应用的安全评估成本 ③ 提升客户对云应用安全的信任度，获得竞争优势 ④ 提升云应用厂商重视安全的形象 九、认证机构介绍 国际云安全联盟CSA （Cloud Security Alliance）是世界领先的国际产业与标准组织， 引领国际云计算和下一代数字技术安全的全面发展，聚焦在网络安全领域的技术标准研 究和产业最佳实践。CSA于2009年在RSA大会上宣布成立，已协助美国、欧盟、亚太等多 国政府开展国家网络安全战略、国家云安全标准、政府云安全框架、安全技术研究等工 作，并发布了《云安全指南》、《云控制矩阵》、《STAR 认证》、《物联网控制矩 阵》、《移动应用安全检测标准》、《量子时代的区块链》等全球政产学研一致认可的 m o 数字安全最佳实践。云安全联盟大中华区（CSA GCR）是CSA全球四大区之一（其它大区 为美洲区、亚太区、欧非区），是网络安全类首家在中国境内注册备案的国际NGO，立 c . 5 足于中国，作为国际桥梁联接世界，致力于构建国际网络安全的生态体系。 h t i g b u “公安部第三研究所安全防范与信息安全产品及系统检验实验室”(MSTL) 于1988年4月 正式成立。行政上依托公安部第三研究所，是国内外知名、行业领先的第三方检测机构， 为国内外企业、认证机构、政府部门提供专业的技术服务。业务上直接受国家认监委、 公安部科信局的领导。中心是经过国家认监委计量认证合格、并通过中国合格评定国家 认可委员会认可的、具有第三方公证地位的、面向社会的开放性检验机构，主要开展安 全防范和计算机信息安全产品及系统检验业务。涉及安全防范产品及系统、信息安全产 品、信息系统三大领域，共265项检测能力。检测业务范围覆盖安全防范产品及系统 （工程）测试，信息安全产品家检测、软件测试，信息系统、安全等级保护产品和系统 测试业务。具体为信息安全产品销售许可证检测、等级保护测评机构的人员培训、等级 保护测评机构的体系建设和能力审核，等级保护的产品检测和系统评估、防盗报警产品 检测、视频监控产品检测、电磁兼容试验和安防工程等。近几年，中心先后承担了国家 发改委项目、十二五国家科技支撑项目、国家863项目、“1110工程”、“1203工程”、 公安部应用创新项目等36项国家和省部级科研项目。此外，2012年至2017年共主持和参 与130多项安全防范和信息安全产品的国家标准、行业标准的制修订工作；致力于打造 研究型检验机构。 CAST 测评咨询： m o 微信号：csagcr 邮箱：info@c-csa.cn c . 5 电话：18024312752 b u 叶女士 @ CSA大中华区秘书处 h t i g 林女士 @ 公安三所MSTL实验室 邮箱 ：linyan@mctc.org.cn 电话：021-64745197 电话：021-64336810 转 1721