Pilveteenuste kasutamise poliitika

Pilveteenuste kasutamise poliitika (P27) annab ühtse, kohustusliku standardi pilvandmetöötlusteenuste kasutuselevõtuks, haldamiseks ja juhtimiseks, hõlmates Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) ja Software-as-a-Service (SaaS) mudeleid. Selle eesmärk on tagada, et kogu organisatsiooni pilveplatvormide kasutus on turvaline, vastab asjakohastele regulatsioonidele ning toetab operatiivset tõhusust ja innovatsiooni, kaitstes teabevarade konfidentsiaalsust, terviklust ja käideldavust. Poliitika kohaldamisala on ulatuslik ning kehtib kõigile töötajatele, töövõtjatele, kolmanda osapoole tarnijatele ja konsultantidele, kes tegelevad pilveteenuste provisioneerimise, konfiguratsiooni, administreerimise või kasutamisega. See hõlmab avaliku, privaatse, hübriidse ja kogukonnapilve juurutusi, katab kõik andmete klassifitseerimised ning sisaldab selgesõnaliselt nii sisemisi kui ka tarnija poolt majutatud keskkondi, samuti varjatud IT ja isiklike pilveteenuste kasutamise ennetamist ärieesmärkidel. Põhieesmärgid hõlmavad: selgete suuniste ja baastasemete määratlemist pilve kasutuselevõtuks, operatiivsete ja regulatiivsete riskide (nt valed seadistused, andmerikkumised ja volitamata juurdepääs) vähendamist ning tugevate turvalisuse ja andmekaitse kontrollimeetmete nõudmist lepinguliste kohustuste, pideva hindamise ja auditeerimisõiguste kaudu kõigi pilveteenuseosutajate puhul. Poliitika nõuab pilveteenuste registri tsentraalset haldamist infoturbejuhi (CISO) järelevalve all, kus kajastatakse heakskiidetud teenuseosutajad, teenusetüübid, riskihinnangud, ärilised omanikud ja lepingu atribuudid, toetades ranget elutsükli haldust ja vastavuse pidevat seiret. Rollid ja vastutused on täpselt määratletud, jaotades juhtimis- ja järelevalvefunktsioonid tegevjuhi, infoturbejuhi (CISO), pilveturbe arhitekti, IT-operatsioonide, hanke, õigusfunktsiooni, andmeomanike ja lõppkasutajate vahel. Poliitika jõustab ranged tehnilised ja protseduurilised kontrollimeetmed: identiteedi- ja juurdepääsuhaldus (kohustuslik RBAC ja MFA administraatorikontodele), turvalise seadistamise baastase, krüpteerimine (NIST-i heakskiidetud standardite alusel), logimisnõuded ning pilveteenuste integratsioon turbeinfo ja sündmuste halduse (SIEM) süsteemidega. Pilveteenuseosutajatega sõlmitud lepingud peavad käsitlema auditeerimisõigusi, rikkumisest teavitamist, andmete tagastamist/kustutamist ja vastavuse seiret. Andmeid võib pilve edastada ainult pärast andmete klassifitseerimist ning piiriülesed edastused peavad vastama kehtestatud regulatsioonidele, nagu GDPR. Riskijuhtimine on keskne: kõik kõrvalekalded nõuavad dokumenteeritud erandeid, üksikasjalikke riski käsitlemise plaane, infoturbejuhi (CISO) või pilveturbe arhitekti heakskiitu ning mitmetasandilist läbivaatamist kõrge riskiga stsenaariumide korral. Pidev juhtimine tagatakse regulaarse vastavuse seire, intsidentidele reageerimise integratsiooni (eskaleerimine toimub Intsidentidele reageerimise poliitika (P30) kaudu), iga-aastaste ülevaatuste ning vahepealsete ajakohastuste kaudu, mida käivitavad intsidentide tulemused, migreerimised või regulatiivsed muudatused. Poliitika sätete rikkumised, nagu heakskiitmata pilvekontode kasutamine või nõutud kontrollimeetmete eiramine, toovad kaasa tagajärgede spektri alates koolitusest kuni õiguslike meetmete või töösuhte lõpetamiseni. Pilveteenuste kasutamise poliitika on seotud poliitikatega infoturbe, muudatuste juhtimise, andmete klassifitseerimise, krüptograafiliste kontrollimeetmete, logimise ja seire, intsidentidele reageerimise ning auditi valdkonnas, tugevdades selle rolli autoriteetse pilvejuhtimise alusena.