ISO 27001 CCM、雲端安全 資訊安全管理系統 雲端控制 法規遵循 資料治理

注意法律與作業管理 雲端風險管理是重要關鍵

2013-12-25
上一期,我們說明了雲端控制矩陣中,關於資安事故回應處理、網路安全控制,以及行動裝置與原始碼存取之管控,本期將繼續說明在雲端控制矩陣中,有關法律議題與營運作業時應實施的風險管理。
在雲端控制矩陣中的第六項是有關法律的議題,主要是針對雲端服務中的人員與服務內容,希望藉由書面協議的正式簽署,確保雲端服務能夠符合安全要求。以下將說明法律議題中的2個控制措施,以及對應ISO 27001的標準內容與實務建議。

因應雲端服務法律議題

雲端控制矩陣中,有關法律議題包括LG-01保密協議以及LG-02第三方協議兩項控制措施:

LG-01 保密協議

對雲端服務供應商而言,為客戶所提供的各項雲端服務,資訊安全肯定是客戶會關注的重要問題,尤其是服務內容所涵蓋的項目,若是包括了重要資料的儲存和處理,那麼可能接觸到這些資料的人員,就需要擁有足夠的安全意識與技能,才可妥善地確保資料的安全。這項控制措施是要求針對組織中需要受到保護的,或是與營運相關的資訊,應該被識別並採取文件化的紀錄,同時也要求相關人員必須簽署保密協議,並且定期地進行審查。針對保密協議的簽署,在ISO 27001標準中,可參照「A.6.1.5 機密性協議」之要求,對於敏感性的職務工作,可以由法務部門會同人事部門,制訂保密政策和程序,據此要求人員簽署保密協議。但協議內容必須能夠反映內部資安政策的要求,因此也要配合定期審查對各項資訊保護的要求,再將其更新至保密協議的內容之中。

LG-02 第三方協議

如果所提供的雲端服務,需要依靠第三方所提供的資源或技術協助,那麼與第三方所協議的相關內容,就會直接或間接地影響雲端服務供應商的營運。因此,有關資訊的處理、存取、傳輸、儲存以及資產和服務的管理與終止等,在協議內容中就要包括資訊安全要求與資訊的完整性控制,以避免資訊受到不當的揭露、竄改及損毀。對此,可以參考ISO 27001附錄「A.6.2.3 第三方協議中的安全說明」之要求,也就是在與第三方所簽定的協議與合約之中,必須明訂組織的資訊安全要求、應遵守的相關法規,以及在違反時應負的法律責任等。

規劃進行雲端作業管理

雲端服務的運作,有賴組織中各個階層人員的參與,包括由管理階層來制訂相關政策與程序,透過雲端服務小組的協同運作,技術人員規劃資源運用與設備的維護等,這些都需要有效的作業辦法,才能滿足客戶需求,並且達到營運目標。在雲端控制矩陣之中,對於雲端服務的作業管理,也提出了以下幾項的控制要求。

OP-01 作業管理之政策

實務方面,在雲端服務尚未運作之前,管理階層應會同人事部門,針對雲端服務所需的作業人員,定義其工作角色與執掌,並且確認此項工作所需的專業技能、工作經驗與人格特質,以便招募所需的作業人員。在標準方面,可以參照ISO 27001附錄5.1所提到的兩項控制措施,如A.5.1.1要求資訊安全政策應經由管理階層的核准,並且公布傳達讓所有員工和相關的內外部團體知道,實作方面,在這份資訊安全政策中,除了傳達管理階層對於資訊安全的支持,確保資訊安全與組織營運目標的一致性之外,也需要說明資安的重要性與實施範圍,以及相關人員的職責。A.5.1.2則是要求資訊安全政策若發生重大變更時,也需要進行審查,以確保內容持續地適用充分和有效,因此這份政策必須配合雲端服務的環境、業務型態、法律合約要求和技術更新等事項,進行持續的修訂與發行。

OP-02 作業管理之文件化要求

在作業管理中,所謂的標準作業程序(SOP),是指有正式的文件化紀錄,並且經過管理階層審查核可的內容,才能用於實際的作業環境。所以在雲端服務之中,有關系統組態、安裝與操作,還有所包括的安全功能與管理員的操作指引、系統架構圖等相關文件,都應採取文件化方式建立起來,並且交付給已被授權的作業人員,根據此一標準作業程序來進行各項工作。針對這項要求,可參照ISO 27001附錄「A.10.1.1 文件化作業程序」,只要是與資訊系統活動和作業有關的程序,包括通訊設施的使用、電腦開機與關機、備份方式、資訊設備維護、資訊儲存媒體使用和機房作業管理等,都以文件化方式來呈現,並且讓相關人員在需要的時候即可馬上取得,以便遵照其要求的標準作業程序來進行。

OP-03 容量與資源之規劃

這個控制措施是要求針對各項資源的可用性、品質及所需的容量,依照法規、合約與業務要求來實施規劃與量測,同時也要考量有足夠的能力,因應未來服務系統可能過載的風險。對此,在ISO 27001附錄「A.10.3.1 容量管理」中提到,管理人員需要預作規劃準備,評估未來可能成長的資料量,來添購所需的儲存媒體和設備,以避免因為容量不足的問題而導致系統服務的中斷。

OP-04 設備裝置維護

這個控制措施要求雲端服務供應商對於設備裝置的維護,需要建立政策與程序,以確保各項服務作業的持續與可用性。在實務方面,可以依據ISO 27001附錄「A.9.2.4 設備維護」,要求相關的資訊設備應定期自行維護或尋求廠商協助,相關的維護也需要留下適當的紀錄,以便定期地進行追蹤查核。而實施維護的外部人員,應該事先經過申請與核准,在實際作業時也要有適當的人員來陪同。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!