policy Enterprise

Pilvipalveluiden käyttöpolitiikka

Varmista pilvipalveluiden turvallinen, vaatimustenmukainen ja tehokas käyttö selkeällä hallintotavalla, vahvoilla hallintakeinoilla ja määritellyillä rooleilla jokaiseen ympäristöön.

Yleiskatsaus

Pilvipalveluiden käyttöpolitiikka asettaa pakolliset vaatimukset kaikkien pilvipalveluiden turvalliselle ja vaatimustenmukaiselle käytölle sekä määrittelee roolit, hallintakeinot ja hallintotavan jokaiseen ympäristöön.

Kattava pilvitietoturva

Edellyttää riskiperusteisia hallintakeinoja, tietosuojaa ja vaatimustenmukaisuuden jatkuvaa seurantaa kaikissa pilvipalvelumalleissa ja palveluntarjoajilla.

Keskitetty hallintotapa

Sisältää Pilvipalvelurekisterin sekä selkeän vastuun palveluntarjoajan valinnasta, elinkaaresta ja poikkeusten hallinnasta.

Tiukka pääsynhallinta

Edellyttää monivaiheista todennusta, roolipohjaista käyttöoikeuksien hallintaa (RBAC), SSO:ta ja vähimmän etuoikeuden periaatetta kaikille hallinnollisille ja etuoikeutetuille pilvitileille.

Lue koko yleiskatsaus
Pilvipalveluiden käyttöpolitiikka (P27) tarjoaa yhtenäisen, pakollisen standardin pilvilaskentapalveluiden käyttöönottoon, hallintaan ja hallintotapaan kattaen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) ja Software-as-a-Service (SaaS) -mallit. Sen tavoitteena on varmistaa, että organisaation pilvialustojen käyttö on turvallista, asiaankuuluvien säädösten mukaista ja tukee operatiivista tehokkuutta ja innovointia samalla suojaten tietovarallisuuden luottamuksellisuutta, eheyttä ja saatavuutta. Politiikan soveltamisala on kattava ja koskee kaikkia työntekijöitä, urakoitsijoita, kolmannen osapuolen toimittajia ja konsultteja, jotka osallistuvat pilvipalveluiden provisiointiin, konfigurointiin, hallinnointiin tai käyttöön. Tämä ulottuu julkisiin, yksityisiin, hybridiympäristöihin ja yhteisöpilvitoteutuksiin, kattaa kaikki tietojen luokittelutasot ja sisältää nimenomaisesti sekä sisäiset että toimittajan isännöimät ympäristöt sekä varjotietotekniikan ja henkilökohtaisten pilvipalveluiden käytön estämisen liiketoimintatarkoituksiin. Keskeisiä tavoitteita ovat: selkeiden suuntaviivojen ja perustasojen määrittely pilven käyttöönotolle, operatiivisten ja sääntelyriskien minimointi (kuten virheelliset konfiguraatiot, tietoturvaloukkaukset ja luvaton pääsy) sekä vahvojen tietoturva- ja tietosuojakontrollien edellyttäminen sopimusvaatimusten, jatkuvan arvioinnin ja tarkastusoikeuksien kautta kaikille pilvipalveluntarjoajille. Politiikka edellyttää Pilvipalvelurekisterin keskitettyä ylläpitoa, jota valvoo tietoturvajohtaja (CISO) ja joka luetteloi hyväksytyt palveluntarjoajat, palvelutyypit, riskiluokitukset, liiketoiminnan omistajat ja sopimusattribuutit, tukien tiukkaa elinkaaren hallintaa ja vaatimustenmukaisuuden jatkuvaa seurantaa. Roolit ja vastuut määritellään täsmällisesti, ja hallinta- ja valvontatehtävät jaetaan toimitusjohtajalle, tietoturvajohtajalle (CISO), pilvitietoturva-arkkitehdille, IT-toiminnoille, hankinnalle, laki- ja vaatimustenmukaisuudelle, tieto-omaisuuden omistajille ja loppukäyttäjille. Politiikka edellyttää tiukkoja teknisiä ja menettelytason hallintakeinoja: identiteetin- ja pääsynhallintaa (IAM) (pakollinen roolipohjainen käyttöoikeuksien hallinta (RBAC) ja monivaiheinen todennus hallinnollisille tileille), perustason tietoturvamäärityksiä, salausta (NIST:n hyväksymien standardien mukaisesti), lokitusvaatimuksia sekä pilvipalveluiden integrointia Security Information and Event Management (SIEM) -järjestelmiin. Pilvipalveluntarjoajien sopimusten on käsiteltävä tarkastusoikeuksia, ilmoitettavia tietoturvaloukkauksia, tietojen palautusta/poistoa ja vaatimustenmukaisuuden seurantaa. Tietoja saa siirtää pilveen vain tietojen luokittelun jälkeen, ja rajat ylittävien siirtojen on noudatettava vakiintuneita säädöksiä, kuten GDPR:ää. Riskienhallinta on keskiössä: kaikki poikkeamat edellyttävät dokumentoituja poikkeuksia, yksityiskohtaisia riskien käsittelysuunnitelmia, hyväksyntää tietoturvajohtajalta (CISO) tai pilvitietoturva-arkkitehdilta sekä monitasoista katselmointia korkean riskin skenaarioissa. Jatkuva hallintotapa varmistetaan säännöllisellä vaatimustenmukaisuuden jatkuvalla seurannalla, tietoturvapoikkeamiin reagointi -integraatiolla (eskaloidaan Tietoturvapoikkeamiin reagoinnin politiikan (P30) mukaisesti), vuosittaisilla katselmoinneilla ja väliarvioinneilla, joita ohjaavat poikkeamien tulokset, järjestelmämigraatiot tai sääntelymuutokset. Politiikan vaatimusten rikkominen, kuten luvattomien pilvitilien käyttö tai vaadittujen hallintakeinojen laiminlyönti, käynnistää seuraamuksia koulutuksesta oikeudellisiin toimiin tai työsuhteen päättämiseen. Pilvipalveluiden käyttöpolitiikka linkittyy tietoturvaan, muutoksenhallintaan, tietojen luokitteluun, kryptografisiin hallintakeinoihin, lokitukseen ja seurantaan, tietoturvapoikkeamiin reagointiin sekä auditointiin liittyviin politiikkoihin, vahvistaen sen roolia pilvihallinnon auktoritatiivisena perustana.

Käytäntökaavio

Pilvipalveluiden käyttöpolitiikka -kaavio, joka havainnollistaa keskitetyn palvelurekisteröinnin, riskiperusteisen palveluntarjoajien käyttöönoton, sopimukselliset hallintakeinot, tekniset suojatoimet, aktiivisen valvonnan ja poikkeusten käsittelyn työnkulun.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Soveltamisala ja sitoutumissäännöt

Pilvipalveluntarjoajien toimittajahuolellisuusarviointi

Pääsynhallinta & monivaiheinen todennus -vaatimukset

Keskitetty Pilvipalvelurekisteri

Konfiguraatio- ja tietojen sijaintivaatimukset -hallintakeinot

Tietoturvapoikkeamiin reagointi -integraatio

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.235.245.25
NIST SP 800-53 Rev.5
AC-20SA-9(5)SC-12SC-13SC-14SC-15SC-16SC-17SC-18SC-19SC-20SC-21SC-22SC-23SC-24SC-25SC-26SC-27SC-28SR-5
EU GDPR
Article 28Article 32Chapter V
EU NIS2
Article 21(2)(f)Article 21(2)(i)
EU DORA
Article 5(2)Article 28
COBIT 2019
BAI04DSS01DSS05

Liittyvät käytännöt

Auditointi ja vaatimustenmukaisuuden jatkuva seuranta -politiikka

Tukee auditointivalmiutta ja jatkuvaa varmuutta siitä, että pilvikontrollit pannaan täytäntöön ja niitä seurataan.

P01 Tietoturvapolitiikka

Määrittää turvallisen järjestelmä- ja palvelutoiminnan yleiset periaatteet, joita tämä politiikka toimeenpanee pilvikontekstissa.

P05 Muutoksenhallintapolitiikka

Kaikkien pilvikonfiguraatiomuutosten on noudatettava P5:ssä kuvattuja muutoksenhallintaprosesseja.

Tietojen luokittelu- ja merkintäpolitiikka

Määrittää, miten tietoja arvioidaan ennen pilvisiirtoa ja miten hallintakeinot, kuten salaus ja tietojen sijaintivaatimukset, sovelletaan.

Kryptografisten hallintakeinojen politiikka

Tarjoaa standardit salaukselle, avainten hallinnalle ja kryptografisten algoritmien käytölle, joita sovelletaan suoraan pilvipalvelukonfiguraatioissa.

Lokitus- ja valvontapolitiikka

Määrittää vaatimukset lokien keruulle, lokien säilytykselle ja analyysille, jotka on toimeenpantava pilviympäristöissä.

Tietoturvapoikkeamiin reagoinnin politiikka (P30)

Määrittää eskaloinnin, rajaamisen ja korjaavat toimenpiteet pilveen liittyville tietoturvatapahtumille.

Tietoa Clarysecin käytännöistä - Pilvipalveluiden käyttöpolitiikka

Tehokas tietoturvan hallintotapa vaatii enemmän kuin pelkkiä sanoja; se edellyttää selkeyttä, vastuunjakoa ja rakennetta, joka skaalautuu organisaatiosi mukana. Geneeriset mallipohjat epäonnistuvat usein ja luovat epäselvyyttä pitkien kappaleiden ja määrittelemättömien roolien vuoksi. Tämä politiikka on suunniteltu tietoturvaohjelmasi operatiiviseksi selkärangaksi. Osoitamme vastuut nykyaikaisessa yrityksessä esiintyville rooleille, mukaan lukien tietoturvajohtaja (CISO), IT- ja tietoturvatiimit sekä asiaankuuluvat ohjausryhmät, varmistaen selkeän vastuuvelvollisuuden. Jokainen vaatimus on yksilöllisesti numeroitu lauseke (esim. 5.1.1, 5.1.2). Tämä atominen rakenne tekee politiikasta helpon ottaa käyttöön, auditoida tiettyjä hallintakeinoja vasten ja räätälöidä turvallisesti vaikuttamatta asiakirjan eheyteen, muuttaen sen staattisesta dokumentista dynaamiseksi, toimeenpantavaksi viitekehykseksi.

Sopimukselliset suojatoimet palveluntarjoajille

Edellyttää tarkastusoikeuksia, tietojen sijaintivaatimuksia, ilmoitettavia tietoturvaloukkauksia ja palvelun jatkuvuutta kaikissa pilvitoimittajasopimuksissa.

Räätälöity roolien osoittaminen

Määrittää vastuut tietoturvajohtajalle (CISO), pilvitietoturva-arkkitehdille, laki- ja vaatimustenmukaisuudelle sekä palvelun omistajille elinkaaren ja vaatimustenmukaisuuden hallintaan.

Varjotietotekniikan automatisoitu havaitseminen

Edellyttää aktiivista valvontaa verkossa, DNS:ssä ja lokeissa luvattoman pilvikäytön tunnistamiseksi ja siihen reagoimiseksi.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

IT Tietoturva Vaatimustenmukaisuus Hallintotapa

🏷️ Aiheen kattavuus

Pilvitietoturva Vaatimustenmukaisuuden hallinta Tietosuoja Riskienhallinta Kolmannen osapuolen riskienhallinta
€49

Kertaosto

Välitön lataus
Elinikäiset päivitykset
Cloud Usage Policy

Tuotetiedot

Tyyppi: policy
Luokka: Enterprise
Standardit: 7