policy Enterprise

Politika dwar l-Użu tal-Cloud

Tiżgura użu sigur, konformi u effettiv tas-servizzi tal-cloud b’governanza ċara, kontrolli b’saħħithom, u rwoli definiti għal kull ambjent.

Ħarsa ġenerali

Il-Politika dwar l-Użu tal-Cloud tistabbilixxi rekwiżiti obbligatorji għal użu sigur u konformi tas-servizzi kollha tal-cloud, u tiddefinixxi rwoli, kontrolli u governanza għal kull ambjent.

Sigurtà Komprensiva tal-Cloud

Tobbliga kontrolli bbażati fuq ir-riskju, protezzjoni tad-data, u konformità kontinwa fuq il-mudelli u l-fornituri kollha tas-servizzi tal-cloud.

Governanza Ċentralizzata

Tinkludi Reġistru tas-Servizzi tal-Cloud u responsabbiltà ċara għall-għażla tal-fornitur, iċ-ċiklu tal-ħajja, u l-Ġestjoni tal-Eċċezzjonijiet tal-politika.

Kontroll tal-Aċċess Strett

Tinforza awtentikazzjoni b’diversi fatturi, kontroll ta’ aċċess ibbażat fuq ir-rwoli (RBAC), SSO, u l-prinċipju tal-inqas privileġġ għall-kontijiet amministrattivi kollha u l-kontijiet privileġġjati tal-cloud.

Aqra l-ħarsa ġenerali sħiħa
Il-Politika dwar l-Użu tal-Cloud (P27) tipprovdi standard unifikat u obbligatorju għall-adozzjoni, il-ġestjoni u l-governanza tas-servizzi tal-komputazzjoni fil-cloud, li jinkludu mudelli Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), u Software-as-a-Service (SaaS). L-għan tagħha huwa li tiżgura li l-użu kollu tal-organizzazzjoni tal-pjattaformi tal-cloud ikun sigur, konformi mar-regolamenti rilevanti, u jappoġġa l-effiċjenza operazzjonali u l-innovazzjoni filwaqt li jipproteġi l-kunfidenzjalità, l-integrità u d-disponibbiltà tal-assi tal-informazzjoni. Il-kamp ta’ applikazzjoni tal-politika huwa komprensiv, u japplika għall-impjegati kollha, kuntratturi, fornituri terzi, u konsulenti involuti fi kwalunkwe forniment ta’ aċċess, konfigurazzjoni, amministrazzjoni, jew użu tas-servizzi tal-cloud. Dan il-kamp jestendi għal deplojments ta’ cloud pubbliku, privat, ibridu, u community cloud, ikopri l-klassifikazzjoni tad-dejta kollha, u jinkludi b’mod espliċitu kemm ambjenti interni kif ukoll dawk ospitati mill-fornitur, kif ukoll il-prevenzjoni ta’ shadow IT u l-użu ta’ cloud personali għal skopijiet tan-negozju. L-objettivi ewlenin tal-politika jinkludu: id-definizzjoni ta’ linji gwida u linji bażi ċari għall-adozzjoni tal-cloud, it-tnaqqis tar-riskji operazzjonali u regolatorji (bħal konfigurazzjonijiet ħżiena, ksur ta’ data, u aċċess mhux awtorizzat), u l-obbligu ta’ kontrolli robusti ta’ sigurtà u privatezza permezz ta’ obbligi kuntrattwali, valutazzjoni kontinwa, u drittijiet ta’ awditjar għall-fornituri kollha tal-cloud. Il-politika tinsisti fuq iż-żamma ċentrali ta’ Reġistru tas-Servizzi tal-Cloud, taħt is-sorveljanza tal-Uffiċjal Kap tas-Sigurtà tal-Informazzjoni (CISO), li jikkataloga fornituri approvati, tipi ta’ servizz, klassifikazzjonijiet tar-riskju, sidien tan-negozju, u attributi tal-kuntratt, u b’hekk jappoġġa ġestjoni taċ-ċiklu tal-ħajja tal-aċċess rigoruża u monitoraġġ kontinwu tal-konformità. Ir-rwoli u r-responsabbiltajiet huma delineati b’mod preċiż, u jassenjaw funzjonijiet ta’ ġestjoni u sorveljanza fuq Tmexxija Eżekuttiva, Uffiċjal Kap tas-Sigurtà tal-Informazzjoni (CISO), Cloud Security Architect, Operazzjonijiet tal-IT, Akkwist, Legali, Sidien tal-assi tal-informazzjoni, u utenti finali. Il-politika tinforza kontrolli tekniċi u proċedurali stretti: ġestjoni tal-identità u tal-aċċess ibbażata fuq l-identità (b’kontroll ta’ aċċess ibbażat fuq ir-rwoli (RBAC) u awtentikazzjoni b’diversi fatturi obbligatorji għall-kontijiet amministrattivi), konfigurazzjonijiet bażiċi tas-sigurtà, iċċifrar (bl-użu ta’ standards approvati min-NIST), rekwiżiti ta’ reġistrazzjoni tal-awditjar, u integrazzjoni tas-servizzi tal-cloud ma’ sistemi ta’ Security Information and Event Management (SIEM). Il-kuntratti mal-fornituri tal-cloud iridu jindirizzaw drittijiet ta’ awditjar, notifikazzjonijiet ta’ ksur, ritorn/tħassir tad-dejta, u monitoraġġ kontinwu tal-konformità. Id-dejta tista’ tiġi trasferita lejn il-cloud biss wara klassifikazzjoni tad-dejta, u trasferimenti transfruntiera jridu jikkonformaw mar-regolamenti stabbiliti bħall-GDPR. Il-ġestjoni tar-riskju hija ċentrali: kwalunkwe devjazzjoni teħtieġ eċċezzjonijiet dokumentati, pjan ta’ trattament tar-riskju dettaljat, approvazzjoni mill-Uffiċjal Kap tas-Sigurtà tal-Informazzjoni (CISO) jew Cloud Security Architect, u rieżami f’diversi livelli għal xenarji ta’ riskju għoli. Il-governanza kontinwa tiġi infurzata permezz ta’ monitoraġġ kontinwu tal-konformità regolari, integrazzjoni mar-rispons għall-inċidenti (b’escalation skont il-Politika ta’ Rispons għall-Inċidenti (P30)), rieżamijiet annwali, u aġġornamenti interim immexxija mir-riżultati tal-inċidenti, migrazzjonijiet tas-sistemi, jew bidliet regolatorji. Ksur tad-dispożizzjonijiet tal-politika, bħall-użu ta’ kontijiet tal-cloud mhux approvati jew in-negliġenza ta’ kontrolli meħtieġa, jattiva firxa ta’ konsegwenzi, minn taħriġ sa azzjoni legali jew terminazzjoni. Il-Politika dwar l-Użu tal-Cloud tinterrelata ma’ politiki relatati dwar is-sigurtà tal-informazzjoni, ġestjoni tat-tibdil, klassifikazzjoni tad-dejta, kriptografija, Politika tal-Illoggjar u l-Monitoraġġ, rispons għall-inċidenti, u awditu u konformità, u b’hekk tissaħħaħ aktar ir-rwol tagħha bħala l-pedament awtorevoli tal-governanza tal-cloud.

Dijagramma tal-Politika

Dijagramma tal-Politika dwar l-Użu tal-Cloud li turi reġistrazzjoni ċentralizzata tas-servizzi, onboarding tal-fornitur ibbażat fuq ir-riskju, kontrolli kuntrattwali, salvagwardji tekniċi, monitoraġġ attiv, u fluss tax-xogħol ta’ mmaniġġjar tal-eċċezzjonijiet.

Ikklikkja fuq id-dijagramma biex tara d-daqs sħiħ

Kontenut

Kamp ta’ applikazzjoni u Regoli ta’ Ingaġġ

Diliġenza dovuta tal-fornitur tal-cloud

Kontroll tal-aċċess u rekwiżiti tal-awtentikazzjoni b’diversi fatturi

Reġistru tas-Servizzi tal-Cloud ċentralizzat

Kontrolli tal-konfigurazzjoni u tar-residenza tad-dejta

Integrazzjoni tar-Rispons għall-Inċidenti

Konformità mal-qafas

🛡️ Standards u frameworks appoġġati

Dan il-prodott huwa allinjat mal-qafas ta' konformità li ġejjin, b'mappjar dettaljat ta' klawżoli u kontrolli.

Qafas Klawżoli / Kontrolli koperti
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.235.245.25
NIST SP 800-53 Rev.5
AC-20SA-9(5)SC-12SC-13SC-14SC-15SC-16SC-17SC-18SC-19SC-20SC-21SC-22SC-23SC-24SC-25SC-26SC-27SC-28SR-5
EU GDPR
Article 28Article 32Chapter V
EU NIS2
Article 21(2)(f)Article 21(2)(i)
EU DORA
Article 5(2)Article 28
COBIT 2019
BAI04DSS01DSS05

Politiki relatati

Politika ta’ Monitoraġġ tal-Awditu u l-Konformità

Tappoġġa tħejjija għall-awditu u assigurazzjoni kontinwa li l-kontrolli tal-cloud huma infurzati u mmonitorjati.

P01 Politika tas-Sigurtà tal-Informazzjoni

Tistabbilixxi l-prinċipji ġenerali li jirregolaw operazzjoni sigura tas-sistemi u s-servizzi, li din il-politika tinforza fil-kuntest tal-cloud.

P05 Politika tal-Ġestjoni tat-Tibdil

Il-bidliet kollha fil-konfigurazzjoni tal-cloud iridu jsegwu proċeduri ta’ kontroll tat-tibdil kif deskritt f’P5.

Politika dwar il-Klassifikazzjoni u t-Tikkettar tad-Dejta

Tiddetermina kif id-dejta tiġi vvalutata qabel it-trasferiment lejn il-cloud u kif jiġu applikati kontrolli bħall-iċċifrar u r-residenza.

Politika dwar il-Kontrolli Kriptografiċi

Tipprovdi standards għall-iċċifrar, il-ġestjoni taċ-ċwievet, u l-użu ta’ algoritmi kriptografiċi, applikati direttament fil-konfigurazzjonijiet tas-servizzi tal-cloud.

Politika tal-Illoggjar u l-Monitoraġġ

Tispeċifika rekwiżiti għall-ġbir, iż-żamma u l-analiżi tal-logs li jridu jiġu infurzati f’ambjenti tal-cloud.

Politika ta’ Rispons għall-Inċidenti (P30)

Tiddefinixxi eskalazzjoni, trażżin, u azzjonijiet ta’ rimedju għal avvenimenti ta’ sigurtà relatati mal-cloud.

Dwar il-Politiki ta’ Clarysec - Politika dwar l-Użu tal-Cloud

Governanza effettiva tas-sigurtà teħtieġ aktar minn kliem; teħtieġ ċarezza, responsabbiltà, u struttura li tiskala mal-organizzazzjoni tiegħek. Mudelli ġeneriċi spiss ifallu, u joħolqu ambigwità b’paragrafi twal u rwoli mhux definiti. Din il-politika hija mfassla biex tkun is-sinsla operazzjonali tal-programm tas-sigurtà tiegħek. Aħna nassenjaw responsabbiltajiet lir-rwoli speċifiċi li jinstabu f’intrapriża moderna, inkluż l-Uffiċjal Kap tas-Sigurtà tal-Informazzjoni (CISO), it-timijiet tal-IT u tas-Sigurtà tal-Informazzjoni, u kumitati rilevanti, biex niżguraw responsabbiltà ċara. Kull rekwiżit huwa klawżola unika b’numru (eż., 5.1.1, 5.1.2). Din l-istruttura atomika tagħmel il-politika faċli biex tiġi implimentata, biex isir awditjar kontriha fuq kontrolli speċifiċi, u biex tiġi personalizzata b’mod sigur mingħajr ma taffettwa l-integrità tad-dokument, u b’hekk tittrasformaha minn dokument statiku għal qafas dinamiku u azzjonabbli.

Salvagwardji Kuntrattwali għall-Fornituri

Tobbliga termini tad-dritt għall-awditjar, residenza tad-dejta, notifika ta’ ksur, u kontinwità tas-servizz fil-kuntratti kollha tal-fornituri tal-cloud.

Assenjazzjoni tar-Rwoli Adattata

Tispeċifika responsabbiltajiet għall-Uffiċjal Kap tas-Sigurtà tal-Informazzjoni (CISO), Cloud Security Architect, Legali, u sidien tal-proċessi għall-ġestjoni taċ-ċiklu tal-ħajja u l-konformità.

Sejbien Awtomatizzat ta’ Shadow IT

Teħtieġ monitoraġġ attiv tan-netwerks, DNS, u logs biex jiġi identifikat u jingħata rispons għal użu tal-cloud mhux awtorizzat.

Mistoqsijiet Frekwenti

Maħluqa għal Mexxejja, minn Mexxejja

Din il-politika ġiet imfassla minn mexxej fis-sigurtà b’aktar minn 25 sena esperjenza fl-implimentazzjoni u l-awditjar ta’ oqfsa ISMS għal organizzazzjonijiet globali. Hija mfassla mhux biss bħala dokument, iżda bħala qafas difensibbli li jiflaħ għall-iskrutinju tal-awdituri.

Imfassla minn espert li għandu:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kopertura u Suġġetti

🏢 Dipartimenti mmirati

IT Sigurtà Konformità Governanza

🏷️ Kopertura tas-suġġett

Sigurtà tal-Cloud Ġestjoni tal-konformità Protezzjoni tad-data Ġestjoni tar-riskju Ġestjoni tar-riskju tal-partijiet terzi
€49

Xiri darba

Download immedjat
Aġġornamenti għall-ħajja
Cloud Usage Policy

Dettalji tal-prodott

Tip: policy
Kategorija: Enterprise
Standards: 7