雲服務安全要求

ISO27001的要求

• A.5.23使用雲端服務之資訊安全 ：應依組織之資訊安全要求事項，建立獲取、使用、管理及退出雲端服務的過程。

  • 雲服務的資訊安全(摘錄自驗證公司ISO27001:2022 LA課程講義的說明重點)

    • 雲服務風險識別與管理

    • 雲服務使用政策

      • 選擇標準、法令法規、使用範圍、資安要求、角色權限、事故因應...等

    • 雲服務供應商協議

      • 保護雲服務客戶資料、服務可用性、切實的資安管控措施

    • 雲服務退出/變更/移轉策略 

TISAX ISA VDA 5.1.0 / 6.0.1的要求

• 1.2.4外部 IT 服務提供者與組織之間的責任要定義到什麼 程度? 

  • M1:定義使用的相關服務和 IT 服務。 (佐證：外部IT/雲服務管理清單)

  • M2:決定與 IT 服務相關的安全要求事項： (佐證：專案安全要求事項表)

  • M3:定義負責實施每個單獨要求事項的組織並認知其職責  (佐證：外部IT/雲服務管理清單、專案安全要求事項表、合約)

  • M4:規定和實施分擔責任的機制。 (佐證：合約)

  • M5:負責的組織履行各自的職責。  (佐證：合約)

  • S1:對於 IT 服務，已根據必要的安全要求開發、實施和文件化。  (佐證：專案安全要求事項表)

  • S2:負責的員工經過充分訓練。  (佐證：合約)

  • H1:存在相關 IT 服務提供者和 IT 服務的列表。 (機密性 ，完整性，可用性 ) (佐證：外部IT/雲服務管理清單)

  • H2:驗證並文件化 ISA 控制的適用性。 (機密性，完整性，可用性 ) (佐證：廠商通過TISAX的證明 / 廠商的ISA適用性聲明)

  • H3:服務配置包含在定期安全評鑑範圍。 (機密性，完整性，可用性 )  (佐證：專案安全要求事項表/實施審查稽核)

  • H4:提供 IT 服務提供者履行責任的證據。 (機密性，完整性，可用性 )  (佐證：合約、服務承諾書)

  • H5:建立並文件化與本地端保護措施（ 例如： 安全認證程序）的整合。 (機密性，完整性，可用性 )  (佐證：合約、服務承諾書)

• 1.3.3只使用經過評估和核准的外部 IT 服務來處理組織的資訊資產，要確認到什麼程度？ 

  • M1:未經明確評估和實施資訊安全要求，不得使用外部 IT 服務。 (佐證：雲服務之風險評鑑-威脅弱點分析、專案安全要求事項表/實施審查稽核)

    • - 存在外部 IT 服務的風險評鑑。

    • - 考慮到法律、法規和合約要求。 

  • M2:外部 IT 服務與要處理的資訊資產的保護需求保持一致。  (佐證：外部IT/雲服務管理清單、資訊資產清單-盤點內容包含外部/雲服務)

  • S1:決定並完成關於使用外部 IT 服務的採購、委託和核准的要求事項。 (佐證：採碰評估同意之簽核、專案安全要求事項表之簽核)

  • S2:依據保護需求建立發行程序。  (佐證：外部/雲服務使用申請流程、使用規定)

  • S3:文件化外部 IT 服務及其根據保護需求的核准。 (佐證：專案安全要求事項表/實施審查稽核)

  • S4:定期驗證僅使用核准之外部IT服務。 (佐證：專案安全要求事項表/實施審查稽核)

• 5.3.3從受監管的外部 IT 服務返 還 ，並需要安全移除的資訊資產，要實施到什麼程度？ 

  • M1:定義並實施從任何外部 IT 服務返 還 和安全移除資訊資產的程序 。  (佐證：(1)合約:不再使用資料移除的承諾; (2)外部/雲服務使員工用申請流程、使用規定、帳號移除流程、資料返還規定)

  • S1:提供終止過程的描述，適應任何變化並受合同規定 。(佐證：合約終止的規定)

• 5.3.4在共享的外部 IT 服務中的資訊，要保護到什麼程度？

  • M1:有效區隔（ 例如： 承租人區隔）可防止其他組織的未授權使用者存取自己的資訊 。 (佐證：合約-其他組織無法存取本公司資料的合約內容)

  • S1:文件化提供者的區隔概念並適用於任何變更。以下幾個方面需要考慮：(佐證：合約-其他組織無法存取、外部IT/雲服務管理清單、專案安全要求事項表)

    • - 資料、功能、客戶特定的軟體、應用程式、作業系統、記憶體和網路的區隔 。

    • - 共享環境中的第三方軟體運作進行風險評鑑 。  

公部門法律要求

• 8.7. 有關雲端服務是否會提供相關參考指引？且是否有相關限制？：https://moda.gov.tw/ACS/laws/faq/28/744

  • 一、政府機關於建置或使用雲端服務時，請參考國家資通安全研究院之共通規範專區所公布「政府機關雲端服務應用資安參考指引」，其內容包括共通資安管理規劃、IaaS、PaaS、SaaS以及自建雲端服務等資安控制措施。

  • 二、為使政府機關於建置或使用雲端服務時，降低可能之風險，相關資安要求事項如下：

  • （一）應禁止使用大陸地區(含香港及澳門地區)廠商之雲端服務運算提供者。

  • （二）提供機關雲端服務所使用之資通訊產品(含軟硬體及服務)不得為大陸廠牌，執行委外案之境內團隊成員(含分包廠商)亦不得有陸籍人士參與，就境外雲端服務之執行團隊成員，至少應具備相關國際標準之人員安全管控機制，並通過驗證。另，雲端服務提供者自行設計之白牌設備暫不納入限制。

  • （三）機關應評估機敏資料於雲端服務之存取、備份及備援之實體所在地不得位於大陸地區(含香港及澳門地區)，且不得跨該等境內傳輸相關資料。

•