ISO/IEC 27001:2022 版标准 云服务使用中的信息安全
控制
宜按照组织的信息安全要求建立云服务的获取、使用、管理和退出过程。
目标
指定和管理云服务使用的信息安全。
指南
组织宜建立并向所有相关方传达有关云服务使用的特定主题策略。
组织宜定义并沟通其打算如何管理与云服务使用相关的信息安全风险。它可以是组织如何管理外部方提供的服务的现有方法的扩展或一部分。
云服务的使用可以涉及云服务提供商和充当云服务客户的组织之间的信息安全和协作工作的共同责任。云服务提供商和作为云服务客户的组织的责任必须得到适当的定义和实施。
组织宜定义:
a)与使用云服务相关的所有相关信息安全要求;
b)云服务选择标准和云服务使用范围;
c)与云服务的使用和管理相关的角色和责任;
d)哪些信息安全控制由云服务提供商管理,哪些由作为云服务客户的组织管理;
e)如何获得和利用云服务提供商提供的信息安全能力;
f)如何获得云服务提供商实施的信息安全控制的保证;
g)当一个组织使用多个云服务,特别是来自不同云服务提供商的云服务时,如何管理服务中的控制、接口和变更;
h)处理与云服务使用相关的信息安全事件的程序;
i)监测、评估和评估持续使用的云服务来管理信息安全风险的方法;
j)如何改变或停止使用云服务,包括云服务的退出策略。
云服务协议通常是预先定义的,不开放协商。对于所有云服务,组织宜与云服务提供商评审云服
务协议。云服务协议宜解决组织的保密性、完整性、可用性和信息处理要求,并具有适当的云服务级
别目标和云服务质量目标。组织还宜进行相关的风险评估,以确定与使用云服务的相关风险。与云服
务使用相关的任何残余风险都应被清楚地识别,并由组织的适当管理层接受。
云服务提供商和作为云服务客户的组织之间的协议宜包括以下关于保护组织数据和服务可用性的
规定:
a)提供基于行业公认的架构和基础设施标准的解决方案;
b)管理云服务的访问控制以满足组织的要求;
c)实施恶意软件监测和保护解决方案;
d)在批准的地点(例如,特定国家或地区)或特定管辖区内或受特定管辖区管辖的地点处理和存储组织的敏感信息;
e)在云服务环境中发生信息安全事件时提供专门支持;
f)确保在云服务进一步分包给外部供应商的情况下满足组织的信息安全要求(或禁止分包云服务);
g)支持组织收集数字证据,同时考虑不同管辖区有关数字证据的法律法规;
h)当组织想要退出云服务时,在适当的时间框架内提供适当的支持和服务可用性;
i)根据作为云服务客户的组织使用的云服务提供商的能力,提供所需的数据和配置信息备份,并在适用情况下安全地管理备份;
j)当请求发生在服务提供期间或服务终止时,提供并返回由作为云服务客户的组织拥有的配置文件、源代码和数据等信息。
作为云服务客户的组织宜考虑该协议是否宜要求云服务提供商按照服务交付同样的方式提前通知任何影响客户的实质性变更,包括:
a)影响或改变云服务提供的技术基础设施变更(例如,重新定位、重新配置或硬件或软件变更);
b)在新的地理或法律管辖区处理或存储信息;
c)使用对等云服务提供商或其他分包商(包括改变现供应商或使用新供应商)。
使用云服务的组织宜与其云服务提供商保持密切联系。这些联系能够相互交换有关使用云服务的信息安全的信息,包括云服务提供商和作为云服务客户的组织的机制,以监测每个服务特性并报告协议中包含的承诺的失败。
其他信息
该控制从云服务客户的角度考虑云安全。
与云服务相关的其他信息,请参见IS0/IEC17788、IS0/IEC17789和IS0/IEC22123-1。与支持退出策略的云可移植性相关的细节,请参见IS0/IEC19941。与信息安全和公共云服务有关的细节在IS0/IEC27017中描述。IS0/IEC27018中描述了作为PII处理者的公共云中PII保护的相关细节。IS0/IEC27036-4涵盖了云服务的供应商关系,IS0/IEC19086系列中处理了云服务协议及其内容,IS0/IEC19086-4专门涵盖了安全和隐私。