policy Enterprise

Felhőhasználati szabályzat

Biztosítsa a felhőszolgáltatások biztonságos, megfelelő és hatékony használatát egyértelmű irányítással, erős kontrollokkal és minden környezetre meghatározott szerepkörökkel.

Áttekintés

A Felhőhasználati szabályzat kötelező követelményeket határoz meg valamennyi felhőszolgáltatás biztonságos, megfelelő használatához, és minden környezetre meghatározza a szerepköröket, kontrollokat és az irányítást.

Átfogó felhőbiztonság

Kockázatalapú kontrollokat, adatvédelmet és folyamatos megfelelést ír elő valamennyi felhőszolgáltatási modell és szolgáltató esetén.

Központosított irányítás

Tartalmaz egy felhőszolgáltatások nyilvántartását és egyértelmű elszámoltathatóságot a szolgáltató kiválasztására, életciklusára és a kivételkezelési irányításra.

Szigorú hozzáférés-ellenőrzés

Kötelezővé teszi a többtényezős hitelesítést, a szerepköralapú hozzáférés-szabályozást (RBAC), az SSO-t és a legkisebb jogosultság elvét valamennyi adminisztratív és kiemelt jogosultságú fiók esetén.

Teljes áttekintés olvasása
A Felhőhasználati szabályzat (P27) egységes, kötelező szabványt biztosít a felhőalapú számítási szolgáltatások bevezetéséhez, kezeléséhez és irányításához, lefedve az Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) és Software-as-a-Service (SaaS) modelleket. Célja annak biztosítása, hogy a felhőplatformok szervezeti használata biztonságos legyen, megfeleljen a vonatkozó szabályozásoknak, és támogassa a működési hatékonyságot és innovációt, miközben védi az információs vagyonelemek bizalmasságát, sértetlenségét és rendelkezésre állását. A szabályzat alkalmazási területe átfogó: valamennyi munkatársra, vállalkozóra, harmadik fél beszállítóra és tanácsadóra vonatkozik, akik bármilyen felhőszolgáltatás-kiosztási, konfigurációs, adminisztrációs vagy használati tevékenységet végeznek. Ez a hatókör kiterjed a nyilvános, privát, hibrid és közösségi felhőbevezetésekre, lefedi az összes adatosztályozást, és kifejezetten magában foglalja a belső és a beszállító által üzemeltetett környezeteket, továbbá a shadow IT és a személyes felhő üzleti célú használatának megelőzését. A szabályzat fő célkitűzései: egyértelmű iránymutatások és alapvonalak meghatározása a felhőbevezetéshez; a működési és szabályozási kockázatok minimalizálása (például hibás konfigurációk, adatvédelmi incidensek és jogosulatlan hozzáférés); valamint erős biztonsági és adatvédelmi kontrollok előírása szerződéses kötelezettségek, folyamatos értékelés és auditálási jog révén valamennyi felhőszolgáltató esetén. A szabályzat előírja egy felhőszolgáltatások nyilvántartása központi fenntartását, amelyet az információbiztonsági vezető (CISO) felügyel, és amely nyilvántartja a jóváhagyott szolgáltatókat, szolgáltatástípusokat, kockázati minősítéseket, üzleti tulajdonosokat és szerződéses jellemzőket, támogatva a szigorú életciklus-kezelést és a folyamatos megfelelés-monitorozást. A szerepkörök és felelősségek pontosan meghatározottak, a vezetési és felügyeleti funkciók hozzárendelésével a felső vezetés, a CISO, a felhőbiztonsági architekt, az informatikai üzemeltetés, a beszerzés, a jogi és megfelelőség, az adattulajdonosok és a végfelhasználók között. A szabályzat szigorú technikai és eljárási kontrollokat érvényesít: identitás- és hozzáférés-kezelést (kötelező szerepköralapú hozzáférés-szabályozás és többtényezős hitelesítés az adminisztratív fiókokhoz), alapvető biztonsági konfigurációkat, titkosítást (NIST által jóváhagyott szabványok használatával), naplózási követelményeket, valamint a felhőszolgáltatások integrációját a SIEM rendszerekkel. A felhőszolgáltatókkal kötött szerződéseknek kezelniük kell az auditálási jogot, az incidensbejelentést, az adatok visszaadását/törlését és a megfelelés-monitorozást. Adat csak adatosztályozás után vihető felhőbe, és a határokon átnyúló adattovábbításoknak meg kell felelniük a kialakított szabályozásoknak, például a GDPR-nak. A kockázatkezelés központi elem: bármely eltéréshez dokumentált kivételek, részletes kockázatkezelési tervek, a CISO vagy a felhőbiztonsági architekt jóváhagyása, valamint többszintű felülvizsgálat szükséges magas kockázatú forgatókönyvek esetén. A folyamatos irányítás rendszeres megfelelés-monitorozáson, az incidensreagálás integrációján (az Incidenskezelési szabályzat szerinti eszkalációval), éves felülvizsgálatokon és az incidensek kimenetelei, migrációk vagy szabályozási változások által vezérelt időközi frissítéseken keresztül érvényesül. A szabályzat rendelkezéseinek megsértése — például nem engedélyezett felhőfiókok használata vagy a kötelező kontrollok elmulasztása — következményeket vált ki, a képzéstől a jogi eljáráson át a munkaviszony megszüntetéséig. A Felhőhasználati szabályzat kapcsolódó szabályzatokkal is összekapcsolódik az információbiztonság, változáskezelés, adatosztályozás, kriptográfiai kontrollok, naplózási és monitorozási szabályzat, incidensreagálás és audit területén, tovább erősítve szerepét mint a felhőirányítás hiteles alapja.

Irányelv-diagram

Felhőhasználati szabályzat diagram, amely bemutatja a központosított szolgáltatásregisztrációt, a kockázatalapú beszállítói beléptetést, a szerződéses kontrollokat, a technikai védelmi intézkedéseket, az aktív monitorozást és a kivételkezelés munkafolyamatát.

Kattintson a diagramra a teljes méret megtekintéséhez

Tartalom

Hatókör és együttműködési szabályok

Felhőszolgáltató beszállítói átvilágítás

Hozzáférés-ellenőrzés és többtényezős hitelesítés követelmények

Központosított felhőszolgáltatások nyilvántartása

Konfiguráció és adatlokáció kontrollok

Incidensreagálás integráció

Keretrendszer-megfelelőség

🛡️ Támogatott szabványok és keretrendszerek

Ez a termék a következő megfelelőségi keretrendszerekhez igazodik, részletes záradék- és vezérlőleképezésekkel.

Keretrendszer Lefedett záradékok / Vezérlők
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.235.245.25
NIST SP 800-53 Rev.5
AC-20SA-9(5)SC-12SC-13SC-14SC-15SC-16SC-17SC-18SC-19SC-20SC-21SC-22SC-23SC-24SC-25SC-26SC-27SC-28SR-5
EU GDPR
Article 28Article 32Chapter V
EU NIS2
Article 21(2)(f)Article 21(2)(i)
EU DORA
Article 5(2)Article 28
COBIT 2019
BAI04DSS01DSS05

Kapcsolódó irányelvek

Audit és megfelelés-monitorozási szabályzat

Támogatja az auditfelkészültséget és a folyamatos kontrollbizonyosságot, hogy a felhőkörnyezetben a kontrollok érvényesítettek és monitorozottak.

Információbiztonsági politika

Meghatározza a biztonságos rendszer- és szolgáltatásüzemeltetést irányító átfogó elveket, amelyeket ez a szabályzat a felhő kontextusában érvényesít.

Változáskezelési szabályzat

Valamennyi felhőkonfigurációs változtatásnak a P5-ben meghatározott változáskezelési folyamatok szerint kell történnie.

Adatosztályozási és címkézési szabályzat

Meghatározza, hogyan történik az adatok értékelése felhőbe történő átvitel előtt, és hogyan kerülnek alkalmazásra a kontrollok, például a titkosítás és az adatlokáció.

Kriptográfiai kontrollok szabályzat

Szabványokat ad a titkosításhoz, a kulcskezeléshez és a kriptográfiai algoritmusok használatához, amelyek közvetlenül alkalmazandók a felhőszolgáltatások konfigurációiban.

Naplózási és monitorozási szabályzat

Meghatározza a naplógyűjtés, naplómegőrzés és elemzés követelményeit, amelyeket a felhőkörnyezetekben is érvényesíteni kell.

Incidenskezelési szabályzat

Meghatározza az eszkaláció, elszigetelés és korrekciós intézkedések eljárásait a felhőhöz kapcsolódó biztonsági események esetén.

A Clarysec irányelveiről - Felhőhasználati szabályzat

A hatékony biztonsági irányítás több, mint megfogalmazás; egyértelműséget, elszámoltathatóságot és a szervezettel együtt skálázódó struktúrát igényel. Az általános sablonok gyakran nem működnek, mert hosszú bekezdésekkel és meghatározatlan szerepkörökkel kétértelműséget teremtenek. Ez a szabályzat úgy készült, hogy az Ön biztonsági programjának operatív gerince legyen. A felelősségeket a modern vállalatokban jellemző konkrét szerepkörökhöz rendeljük, beleértve az információbiztonsági vezetőt (CISO), az IT- és információbiztonsági csapatokat és a releváns bizottságokat, biztosítva az egyértelmű elszámoltathatóságot. Minden követelmény egyedileg számozott záradék (pl. 5.1.1, 5.1.2). Ez az atomi struktúra megkönnyíti a bevezetést, az auditálást konkrét kontrollok ellen, és a biztonságos testreszabást a dokumentum integritásának sérülése nélkül, így a szabályzat statikus dokumentumból dinamikus, végrehajtható keretrendszerré válik.

Szerződéses védelmi intézkedések szolgáltatók számára

Kötelezővé teszi az auditálási jog feltételeit, az adatlokációt, a bejelentési határidőket és a szolgáltatásfolytonosságot valamennyi felhőszolgáltatói szerződésben.

Testreszabott szerepkör-hozzárendelés

Meghatározza a felelősségeket az információbiztonsági vezető (CISO), a felhőbiztonsági architekt, a jogi és megfelelőség, valamint a szolgáltatástulajdonosok számára az életciklus- és megfelelés-kezelésben.

Shadow IT automatizált észlelése

Aktív hálózati, DNS- és naplómonitorozást ír elő a jogosulatlan felhőhasználat azonosítására és kezelésére.

Gyakran ismételt kérdések

Vezetőknek, vezetők által

Ez az irányelv egy biztonsági vezető által készült, aki több mint 25 éves tapasztalattal rendelkezik ISMS keretrendszerek bevezetésében és auditálásában globális vállalatoknál. Nem csupán dokumentumként készült, hanem olyan védhető keretrendszerként, amely megfelel az auditorok vizsgálatának.

Az alábbi képesítésekkel rendelkező szakértő készítette:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Lefedettség és témák

🏢 Célterületek

IT Biztonság Megfelelés Irányítás

🏷️ Témafedezet

Felhőbiztonság Megfelelés-kezelés Adatvédelem Kockázatkezelés Harmadik fél kockázatkezelés
€49

Egyszeri vásárlás

Azonnali letöltés
Élethosszig tartó frissítések
Cloud Usage Policy

Termék részletei

Típus: policy
Kategória: Enterprise
Szabványok: 7