Mākoņpakalpojumu izmantošanas politika – MVU

P27S Mākoņpakalpojumu izmantošanas politika nosaka visaptverošas, bet praktiskas prasības mākoņpakalpojumu pārvaldībai mazo un vidējo uzņēmumu (MVU) vidēs. Atzīstot, ka MVU bieži nav pilna mēroga IT struktūrvienības, šī politika ir izstrādāta ar skaidriem un vienkāršotiem pienākumiem, piemēram, galveno lēmumu piešķiršanu galvenajam izpilddirektoram (GM) un IT pakalpojumu sniedzējam vai tehniskajam atbalstam, nevis specializētām galvenā informācijas drošības vadītāja (CISO) vai drošības operāciju centra (SOC) lomām, vienlaikus nodrošinot ciešu saskaņotību ar ISO/IEC 27001:2022, GDPR, NIS2 un DORA ietvariem. Politika attiecas uz visiem mākoņvidē izvietotu sistēmu pakalpojumiem, neatkarīgi no tā, vai tie ir bezmaksas vai maksas, aptverot izplatītas biznesa lietojumprogrammas, piemēram, dokumentu koplietošanas platformas, SaaS rīkus, videokonferences, e-pastu, rezerves kopiju sistēmas un klientu platformas. Ikvienam, kas piekļūst uzņēmuma datiem, arī izmantojot mobilo tālruni vai planšeti, ir jāievēro šie noteikumi, kas paredz iepriekšēju apstiprināšanu visiem mākoņpakalpojumiem un pilnībā aizliedz personīgo mākoņkontu izmantošanu biznesa datiem, novēršot shadow IT riskus. Ir jāuztur skaidri definēts mākoņpakalpojumu reģistrs, lai izsekotu katru autorizēto platformu, atbildīgo personu, datu atrašanās vietu, piekļuves tiesības, piekļuves privilēģijas un atbalsta informāciju. Drošības kontroles pasākumi ir obligāti: visām mākoņplatformām ir jānodrošina daudzfaktoru autentifikācija (MFA) lietotājiem un administratoriem; jāizmanto spēcīgas, sarežģītas paroles; jānodrošina audita žurnālu veidošana un piekļuves ierobežošana (piemēram, atļauto saraksti pēc IP, ja pieejams); un regulāri jāpārskata koplietotais saturs. Jebkurš pārkāpums, piemēram, aizmirsta lietotāja deaktivizēšana vai sensitīvu datu publiska koplietošana, tiek klasificēts kā informācijas drošības incidents un ir pakļauts koriģējošām darbībām, tostarp piekļuves tiesību atsaukšanai, mērķtiecīgai atkārtotai apmācībai vai, ja nepieciešams, juridiskai/regulatīvai eskalācijai. Politika nosaka stingras prasības datu uzglabāšanas politikai un rezerves kopijām, paredzot, ka biznesam kritiski svarīgi vai reglamentēti dati regulāri jārezervē, jāuzglabā, lai izpildītu juridiskos pienākumus vai klientu pienākumus, un jāapstiprina datu eksporta iespējas no mākoņplatformām, lai izvairītos no piegādātāja piesaistes. Līgumiem par maksas mākoņpakalpojumiem ir jānosaka datu aizsardzība, paziņošana par ziņojamiem pārkāpumiem, datu īpašumtiesības un definēta eskalācija. Atbilstība tiek uzraudzīta ar vismaz divreiz gadā veiktām pārbaudēm attiecībā uz piekļuvi, parolēm un administratoru statusu, un visi politikas izņēmumi ir formāli jāpamato un jāapstiprina galvenajam izpilddirektoram (GM), nosakot kompensējošos kontroles pasākumus un izpildes termiņus trūkumu novēršanai. Pārskatīšana un nepārtraukta uzlabošana ir iekļauta: politika paredz ikgadēju pārskatīšanu, kā arī atjauninājumus pēc incidentiem, jaunu platformu ieviešanas vai normatīvo izmaiņu gadījumā. Arhivētie ieraksti tiek droši glabāti saskaņā ar datu uzglabāšanas politiku, nodrošinot, ka visa mākoņdarbība ir auditējama iekšējām un ārējām (tostarp ISO) prasībām. Ar savu fokusēto darbības jomu šī politika nodrošina MVU stabilu, bet pārvaldāmu struktūru mākoņpakalpojumu izmantošanas pārvaldībai, nodrošinot regulatīvo atbilstību, risku pārvaldību un darbības nepārtrauktību.