Politik for brug af cloud

Politik for brug af cloud (P27) giver en samlet, obligatorisk standard for at adoptere, administrere og styre cloud computing-tjenester og omfatter Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) og Software-as-a-Service (SaaS)-modeller. Den har til formål at sikre, at al organisatorisk brug af cloud-platforme er sikker, compliant med relevante regler og understøtter driftseffektivitet og innovation, samtidig med at fortrolighed, integritet og tilgængelighed for informationsaktiver beskyttes. Politikkens omfang er omfattende og gælder for alle medarbejdere, kontrahenter, tredjepartsleverandører og konsulenter, der er involveret i enhver adgangstildeling, konfiguration, administration eller brug af cloud-tjenester. Dette omfatter offentlige, private, hybrid og community cloud-udrulninger, dækker alle dataklassificeringer og inkluderer eksplicit både interne og leverandørhostede miljøer samt forebyggelse af shadow IT og personlig cloud-brug til forretningsformål. Politikkens centrale mål omfatter: at definere klare retningslinjer og kontrolgrundlag for cloud-adoption, at minimere driftsmæssige og reguleringsmæssige risici (såsom fejlkonfigurationer, datasikkerhedsbrud og uautoriseret adgang) og at pålægge robuste sikkerheds- og databeskyttelseskontroller gennem kontraktlige forpligtelser, løbende vurdering og revisionsrettigheder for alle cloud-udbydere. Politikken kræver central vedligeholdelse af et Cloud Services Register, overvåget af informationssikkerhedschef (CISO), som katalogiserer godkendte udbydere, tjenestetyper, risikovurderinger, forretningsejere og kontraktattributter og understøtter streng livscyklusstyring af adgang og løbende overvågning af overholdelse. Roller og ansvar er præcist afgrænset med tildeling af ledelses- og tilsynsfunktioner på tværs af direktion, informationssikkerhedschef (CISO), Cloud Security Architect, IT-drift, indkøb, juridisk og compliance, dataejere og slutbrugere. Politikken håndhæver strenge tekniske og proceduremæssige kontroller: identitetsbaseret identitets- og adgangsstyring (med obligatorisk rollebaseret adgangskontrol (RBAC) og flerfaktorautentificering (MFA) for administrative konti), grundlæggende sikkerhedskonfigurationer, kryptering (ved brug af NIST-godkendte standarder), krav til revisionslogning og integration af cloud-tjenester med Security Information and Event Management (SIEM)-systemer. Kontrakter med cloud-udbydere skal adressere revisionsrettigheder, underretning om brud, dataretur/sletning og løbende overvågning af overholdelse. Data må kun overføres til cloud efter dataklassificering, og grænseoverskridende overførsler skal overholde etablerede regler såsom GDPR. Risikostyring er central: enhver afvigelse kræver dokumenterede undtagelser, detaljerede risikobehandlingsplaner, godkendelse af informationssikkerhedschef (CISO) eller Cloud Security Architect og gennemgang på flere niveauer for højrisikoscenarier. Løbende styring håndhæves gennem regelmæssig løbende overvågning af overholdelse, integration med håndtering af sikkerhedshændelser (eskaleret via Politik for hændelseshåndtering (P30)), årlige gennemgange og løbende opdateringer drevet af hændelsesresultater, systemmigrationer eller regulatoriske ændringer. Overtrædelser af politikbestemmelser, såsom brug af uautoriserede cloud-konti eller manglende efterlevelse af krævede kontroller, udløser en række konsekvenser fra træning til retlige skridt eller fratrædelsesproces. Politik for brug af cloud er sammenkoblet med relaterede politikker om informationssikkerhed, ændringsstyring, dataklassificering, kryptografiske kontroller, revisionslogning og overvågning, håndtering af sikkerhedshændelser og revision, hvilket yderligere styrker dens rolle som det autoritative grundlag for cloud-styring.