業務流程中有使用到雲端服務的公司要注意了!舊版ISO27001:2013對雲端這塊的稽核重點通常放在A.15供應者關係、A.13.1.1網路控制措施。由於近年雲技術運來越興盛,因應時代潮流,新版ISO27001:2022的A5.23 雲端服務與資訊安全(Information security for use of cloud services)要求建立獲取、使用、管理和退出雲端服務的流程。
使用雲端服務的ISO27001用戶,最關心的應該就是針對合約是否有新要求?
答案是有!
針對使用者(客戶)與雲端服務供應商之間所簽署協議,ISO27001:2022要求供應商將下列條款納入,以保護客戶的資料並確保其服務:
一、依循業界標準提供解決辦法
二、依據客戶要求管理存取控制
三、監控惡意軟體&保護措施
四、在指定的地區/國家/司法官轄區內處理及儲存客戶的敏感訊息
五、發生資安事件時能提供協助
六、確實達成組織的資安要求
七、支持組織蒐集數位證據
八、於客戶要求退出雲服務時提供適當支持及服務可用性
九、提供數據備份、組態資訊
十、服務中止時返還資訊
並且,針對科技基礎設施變更、在新的法律管轄區處理或儲存資訊、下包部分服務等情況,供應商都必須對客戶盡告知義務。
在內部程序的設計上應該如何具體落實?
一個重要的思路便是在第三方供應商管理的要求上多加著墨,比如,應選擇有通過ISO驗證的雲端供應商或通過其它雲端安全驗證的項目(如:ISO27001, SOC 2 Type II, SO27017, ISO27018)又或者,可參考「金融機構運用新興科技作業規範」第2條相關規定。如果希望更細部的實作,則可以參考英國國家網路安全中心的雲服務安全指南:
Comments