policy Enterprise

Debesijos naudojimo politika

Užtikrinkite saugų, atitiktį užtikrinantį ir veiksmingą debesijos paslaugų naudojimą, taikant aiškią valdyseną, stiprias kontrolės priemones ir apibrėžtus vaidmenis kiekvienai aplinkai.

Apžvalga

Debesijos naudojimo politika nustato privalomuosius reikalavimus saugiam, atitiktį užtikrinančiam visų debesijos paslaugų naudojimui, apibrėždama vaidmenis, kontrolės priemones ir valdyseną kiekvienai aplinkai.

Išsamus debesijos saugumas

Nustato rizika grindžiamas kontrolės priemones, duomenų apsaugą ir nuolatinę atitiktį visuose debesijos paslaugų modeliuose ir paslaugų teikėjuose.

Centralizuota valdysena

Apima Debesijos paslaugų registrą ir aiškią atskaitomybę už paslaugų teikėjo parinkimą, gyvavimo ciklą ir išimčių valdymą.

Griežta prieigos kontrolė

Užtikrina MFA, vaidmenimis pagrįstą prieigos kontrolę (RBAC), SSO ir mažiausių privilegijų principo taikymą visoms administracinėms ir privilegijuotoms debesijos paskyroms.

Skaityti visą apžvalgą
Debesijos naudojimo politika (P27) nustato vieningą, privalomą standartą debesijos kompiuterijos paslaugų diegimui, valdymui ir valdysenai, apimant Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) ir Software-as-a-Service (SaaS) modelius. Jos tikslas – užtikrinti, kad visas organizacijos debesijos platformų naudojimas būtų saugus, atitiktų taikomus reglamentavimo reikalavimus ir palaikytų operacinį efektyvumą bei inovacijas, kartu apsaugant informacinio turto konfidencialumą, vientisumą, prieinamumą. Politikos taikymo sritis yra plati: ji taikoma visiems darbuotojams, rangovams, trečiųjų šalių tiekėjams ir konsultantams, kurie vykdo bet kokį debesijos paslaugų suteikimą, konfigūravimą, administravimą ar naudojimą. Ji apima viešosios, privačiosios, hibridinės ir bendruomeninės debesijos diegimus, apima visus duomenų klasifikavimo lygius ir aiškiai įtraukia tiek vidines, tiek tiekėjų talpinamas aplinkas, taip pat šešėlinės IT ir asmeninės debesijos naudojimo verslo tikslais prevenciją. Pagrindiniai politikos tikslai: apibrėžti aiškias gaires ir bazinius lygius debesijos diegimui, mažinti operacines ir reglamentavimo rizikas (pvz., neteisingas konfigūracijas, duomenų saugumo pažeidimus ir nesankcionuotą prieigą) ir nustatyti tvirtas saugumo bei privatumo kontrolės priemones per sutartinius įsipareigojimus, nuolatinį vertinimą ir teises atlikti auditą visiems debesijos paslaugų teikėjams. Politika reikalauja centralizuotai palaikyti Debesijos paslaugų registrą, kurį prižiūri Vyriausiasis informacijos saugumo pareigūnas (CISO), ir kuriame registruojami patvirtinti paslaugų teikėjai, paslaugų tipai, rizikos įvertinimai, verslo savininkai ir sutarčių atributai, taip užtikrinant griežtą gyvavimo ciklo valdymą ir nuolatinę atitikties stebėseną. Vaidmenys ir atsakomybės apibrėžiami tiksliai, paskirstant valdymo ir priežiūros funkcijas tarp aukščiausiosios vadovybės, Vyriausiojo informacijos saugumo pareigūno (CISO), debesijos saugumo architekto, IT operacijų, pirkimų, teisės ir atitikties, duomenų savininkų ir galutinių naudotojų. Politika nustato griežtas technologines ir procedūrines kontrolės priemones: tapatybės ir prieigos valdymą (su privaloma vaidmenimis pagrįsta prieigos kontrole (RBAC) ir kelių veiksnių autentifikavimu (MFA) administracinėms paskyroms), bazines saugumo konfigūracijas, šifravimą (naudojant NIST patvirtintus standartus), žurnalinimo reikalavimus ir debesijos paslaugų integraciją su SIEM sistemomis. Sutartyse su debesijos paslaugų teikėjais turi būti numatytos teisės atlikti auditą, pranešimų apie pažeidimus teikimas, duomenų grąžinimas / ištrynimas ir atitikties stebėsena. Duomenys į debesiją gali būti perduodami tik po duomenų klasifikavimo, o tarpvalstybiniai perdavimai turi atitikti nustatytus reglamentus, pvz., GDPR. Rizikos valdymas yra esminis: bet kokiems nukrypimams reikalingos dokumentuotos išimtys, detalūs rizikos tvarkymo planai, patvirtinimas iš Vyriausiojo informacijos saugumo pareigūno (CISO) arba debesijos saugumo architekto ir kelių lygių peržiūra didelės rizikos scenarijams. Nuolatinė valdysena užtikrinama reguliaria nuolatine atitikties stebėsena, integracija su reagavimu į incidentus (eskaluojama pagal reagavimo į incidentus politiką), metinėmis peržiūromis ir tarpiniais atnaujinimais, kuriuos lemia incidentų rezultatai, migracijos ar reglamentavimo pokyčiai. Politikos nuostatų pažeidimai, pvz., nesankcionuotų debesijos paslaugų naudojimas arba privalomų kontrolės priemonių netaikymas, sukelia pasekmes nuo mokymų iki teisinių veiksmų ar darbo santykių nutraukimo. Debesijos naudojimo politika susiejama su susijusiomis politikomis dėl informacijos saugumo, pokyčių valdymo, duomenų klasifikavimo, kriptografinių kontrolės priemonių, žurnalinimo ir stebėsenos politikos, reagavimo į incidentus ir audito, taip dar labiau sustiprindama jos vaidmenį kaip autoritetingą debesijos valdysenos pagrindą.

Politikos diagrama

Debesijos naudojimo politikos diagrama, iliustruojanti centralizuotą paslaugų registravimą, rizika grindžiamą paslaugų teikėjų įtraukimą, sutartines kontrolės priemones, technologines apsaugos priemones, aktyvią stebėseną ir išimčių tvarkymo darbo eigą.

Spustelėkite diagramą, kad peržiūrėtumėte visu dydžiu

Turinys

Taikymo sritis ir įsitraukimo taisyklės

tiekėjų deramas patikrinimas

Prieigos kontrolė ir MFA reikalavimai

Centralizuotas Debesijos paslaugų registras

Konfigūracijų ir duomenų rezidavimo kontrolės priemonės

reagavimo į incidentus integracija

Sistemos atitiktis

🛡️ Palaikomi standartai ir sistemos

Šis produktas yra suderintas su šiomis atitikties sistemomis su išsamiu sąlygų ir kontrolės susiejimu.

Sistema Aptariamos sąlygos / Kontrolės
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.235.245.25
NIST SP 800-53 Rev.5
AC-20SA-9(5)SC-12SC-13SC-14SC-15SC-16SC-17SC-18SC-19SC-20SC-21SC-22SC-23SC-24SC-25SC-26SC-27SC-28SR-5
EU GDPR
Article 28Article 32Chapter V
EU NIS2
Article 21(2)(f)Article 21(2)(i)
EU DORA
Article 5(2)Article 28
COBIT 2019
BAI04DSS01DSS05

Susijusios politikos

Audito ir atitikties stebėsenos politika

Palaiko pasirengimą auditui ir nuolatinį užtikrinimą, kad debesijos kontrolės priemonės būtų taikomos ir stebimos.

Informacijos saugumo politika

Nustato bendruosius principus, reglamentuojančius saugų sistemų ir paslaugų veikimą, kuriuos ši politika įgyvendina debesijos kontekste.

Pakeitimų valdymo politika

Visi debesijos konfigūracijos pakeitimai turi atitikti pakeitimų kontrolės procedūras, aprašytas P5.

Duomenų klasifikavimo ir ženklinimo politika

Nustato, kaip duomenys vertinami prieš perkeliant į debesiją ir kaip taikomos kontrolės priemonės, pvz., šifravimas ir duomenų rezidavimas.

Kriptografinių kontrolės priemonių politika

Pateikia šifravimą, raktų valdymo ir kriptografinių algoritmų naudojimo standartus, tiesiogiai taikomus debesijos paslaugų konfigūracijose.

Žurnalinimo ir stebėsenos politika

Nurodo reikalavimus žurnalų rinkimui, žurnalų saugojimui ir analizei, kurie turi būti taikomi debesijos aplinkose.

Reagavimo į incidentus politika

Apibrėžia eskalavimą, lokalizavimą ir taisomuosius veiksmus debesijos saugumo įvykiams.

Apie Clarysec politikas - Debesijos naudojimo politika

Veiksminga saugumo valdysena reikalauja daugiau nei tik žodžių; ji reikalauja aiškumo, atskaitomybės ir struktūros, kuri plečiasi kartu su organizacija. Bendriniai šablonai dažnai nepasiteisina, nes sukuria dviprasmybių dėl ilgų pastraipų ir neapibrėžtų vaidmenų. Ši politika sukurta kaip jūsų saugumo programos operacinis pagrindas. Atsakomybes priskiriame konkretiems vaidmenims, būdingiems šiuolaikinei įmonei, įskaitant Vyriausiąjį informacijos saugumo pareigūną (CISO), IT ir saugumo komandas ir atitinkamus komitetus, užtikrindami aiškią atskaitomybę. Kiekvienas reikalavimas pateikiamas kaip unikaliai sunumeruota nuostata (pvz., 5.1.1, 5.1.2). Ši atominė struktūra leidžia politiką lengvai įgyvendinti, audituoti pagal konkrečias kontrolės priemones ir saugiai pritaikyti nepažeidžiant dokumento vientisumo, paverčiant ją iš statinio dokumento į dinamišką, įgyvendinamą sistemą.

Sutartinės apsaugos priemonės paslaugų teikėjams

Nustato teises atlikti auditą, duomenų rezidavimą, pranešimų apie pažeidimus teikimą ir paslaugų tęstinumą visose debesijos tiekėjų sutartyse.

Pritaikytas vaidmenų priskyrimas

Nurodo atsakomybes Vyriausiajam informacijos saugumo pareigūnui (CISO), debesijos saugumo architektui, teisei ir atitikčiai ir paslaugų savininkams dėl gyvavimo ciklo ir atitikties valdymo.

Automatizuotas šešėlinės IT aptikimas

Reikalauja aktyvios stebėsenos tinkluose, DNS ir žurnaluose, siekiant identifikuoti ir reaguoti į nesankcionuotų debesijos paslaugų naudojimą.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

IT Saugumas Atitiktis Valdysena

🏷️ Teminė aprėptis

Debesijos saugumas Atitikties valdymas Duomenų apsauga Rizikos valdymas Trečiųjų šalių rizikos valdymas
€49

Vienkartinis pirkimas

Momentinis atsisiuntimas
Visą gyvenimą trunkantys atnaujinimai
Cloud Usage Policy

Produkto informacija

Tipas: policy
Kategorija: Enterprise
Standartai: 7