ISO27001的要求
A.5.23使用雲端服務之資訊安全 :應依組織之資訊安全要求事項,建立獲取、使用、管理及退出雲端服務的過程。
雲服務的資訊安全(摘錄自驗證公司ISO27001:2022 LA課程講義的說明重點)
雲服務風險識別與管理
雲服務使用政策
選擇標準、法令法規、使用範圍、資安要求、角色權限、事故因應...等
雲服務供應商協議
保護雲服務客戶資料、服務可用性、切實的資安管控措施
雲服務退出/變更/移轉策略
TISAX ISA VDA 5.1.0 / 6.0.1的要求
1.2.4外部 IT 服務提供者與組織之間的責任要定義到什麼 程度?
M1:定義使用的相關服務和 IT 服務。 (佐證:外部IT/雲服務管理清單)
M2:決定與 IT 服務相關的安全要求事項: (佐證:專案安全要求事項表)
M3:定義負責實施每個單獨要求事項的組織並認知其職責 (佐證:外部IT/雲服務管理清單、專案安全要求事項表、合約)
M4:規定和實施分擔責任的機制。 (佐證:合約)
M5:負責的組織履行各自的職責。 (佐證:合約)
S1:對於 IT 服務,已根據必要的安全要求開發、實施和文件化。 (佐證:專案安全要求事項表)
S2:負責的員工經過充分訓練。 (佐證:合約)
H1:存在相關 IT 服務提供者和 IT 服務的列表。 (機密性 ,完整性,可用性 ) (佐證:外部IT/雲服務管理清單)
H2:驗證並文件化 ISA 控制的適用性。 (機密性,完整性,可用性 ) (佐證:廠商通過TISAX的證明 / 廠商的ISA適用性聲明)
H3:服務配置包含在定期安全評鑑範圍。 (機密性,完整性,可用性 ) (佐證:專案安全要求事項表/實施審查稽核)
H4:提供 IT 服務提供者履行責任的證據。 (機密性,完整性,可用性 ) (佐證:合約、服務承諾書)
H5:建立並文件化與本地端保護措施( 例如: 安全認證程序)的整合。 (機密性,完整性,可用性 ) (佐證:合約、服務承諾書)
1.3.3只使用經過評估和核准的外部 IT 服務來處理組織的資訊資產,要確認到什麼程度?
M1:未經明確評估和實施資訊安全要求,不得使用外部 IT 服務。 (佐證:雲服務之風險評鑑-威脅弱點分析、專案安全要求事項表/實施審查稽核)
- 存在外部 IT 服務的風險評鑑。
- 考慮到法律、法規和合約要求。
M2:外部 IT 服務與要處理的資訊資產的保護需求保持一致。 (佐證:外部IT/雲服務管理清單、資訊資產清單-盤點內容包含外部/雲服務)
S1:決定並完成關於使用外部 IT 服務的採購、委託和核准的要求事項。 (佐證:採碰評估同意之簽核、專案安全要求事項表之簽核)
S2:依據保護需求建立發行程序。 (佐證:外部/雲服務使用申請流程、使用規定)
S3:文件化外部 IT 服務及其根據保護需求的核准。 (佐證:專案安全要求事項表/實施審查稽核)
S4:定期驗證僅使用核准之外部IT服務。 (佐證:專案安全要求事項表/實施審查稽核)
5.3.3從受監管的外部 IT 服務返 還 ,並需要安全移除的資訊資產,要實施到什麼程度?
M1:定義並實施從任何外部 IT 服務返 還 和安全移除資訊資產的程序 。 (佐證:(1)合約:不再使用資料移除的承諾; (2)外部/雲服務使員工用申請流程、使用規定、帳號移除流程、資料返還規定)
S1:提供終止過程的描述,適應任何變化並受合同規定 。(佐證:合約終止的規定)
5.3.4在共享的外部 IT 服務中的資訊,要保護到什麼程度?
M1:有效區隔( 例如: 承租人區隔)可防止其他組織的未授權使用者存取自己的資訊 。 (佐證:合約-其他組織無法存取本公司資料的合約內容)
S1:文件化提供者的區隔概念並適用於任何變更。以下幾個方面需要考慮:(佐證:合約-其他組織無法存取、外部IT/雲服務管理清單、專案安全要求事項表)
- 資料、功能、客戶特定的軟體、應用程式、作業系統、記憶體和網路的區隔 。
- 共享環境中的第三方軟體運作進行風險評鑑 。
公部門法律要求
8.7. 有關雲端服務是否會提供相關參考指引?且是否有相關限制?:https://moda.gov.tw/ACS/laws/faq/28/744
一、政府機關於建置或使用雲端服務時,請參考國家資通安全研究院之共通規範專區所公布「政府機關雲端服務應用資安參考指引」,其內容包括共通資安管理規劃、IaaS、PaaS、SaaS以及自建雲端服務等資安控制措施。
二、為使政府機關於建置或使用雲端服務時,降低可能之風險,相關資安要求事項如下:
(一)應禁止使用大陸地區(含香港及澳門地區)廠商之雲端服務運算提供者。
(二)提供機關雲端服務所使用之資通訊產品(含軟硬體及服務)不得為大陸廠牌,執行委外案之境內團隊成員(含分包廠商)亦不得有陸籍人士參與,就境外雲端服務之執行團隊成員,至少應具備相關國際標準之人員安全管控機制,並通過驗證。另,雲端服務提供者自行設計之白牌設備暫不納入限制。
(三)機關應評估機敏資料於雲端服務之存取、備份及備援之實體所在地不得位於大陸地區(含香港及澳門地區),且不得跨該等境內傳輸相關資料。