符合 ISO 27001 標準的雲端安全

德國企業中雲端運算的普及程度如何？

根據德國資訊科技協會（Bitkom）發布的《2025年雲端運算報告》（2025年6月11日），德國90%的企業目前都在使用雲端應用，高於前一年的81%。另有10%的企業計劃採用雲端運算或正在討論採用雲端運算，這意味著雲端運算現在幾乎已成為所有企業關注的話題。

雲端運算早已成為企業的核心基礎設施。同時，雲端服務對許多企業而言也至關重要：62% 的企業表示，如果沒有雲端服務，他們將無法正常運作。同時，人們對國際依賴的擔憂也日益加劇：78% 的企業認為德國對美國雲端服務供應商的依賴程度過高，而 82% 的企業希望看到實力雄厚的超大規模雲端服務供應商落腳德國或歐洲。

如果企業不採取適當措施加強雲端安全，無論資料儲存在國內或國外，在管理客戶資料時都將面臨重大的安全風險。潛在的安全措施將在下文中描述。控制5.23“雲端服務使用中的資訊安全”在ISO 27001 ，這是眾所周知的標準資訊安全管理。

這項安全措施具體包含哪些內容？成功（重新）認證需要考慮哪些面向？

為什麼雲端安全如此重要？

雲端安全至關重要，因為越來越多的關鍵業務資料、應用程式和流程都在雲端運行。雲端的安全漏洞或隱患可能導致重大資料遺失、營運中斷、違反合規性，以及嚴重的財務和聲譽損失。

從私有雲到公有雲，無論是基礎設施即服務 (IaaS)、平台即服務 (PaaS) 或軟體即服務 (SaaS)：雲端架構和雲端服務定義了當今企業、組織和政府機構所使用的大部分資訊和通訊技術 (ICT)。雲端運算早已成為現實，並從根本上改變了 IT 服務的交付和使用方式。

然而，這種日益增長的使用所帶來的安全風險是多方面的，並非僅限於組織犯罪。身分和存取管理不善、配置錯誤以及員工意外洩漏雲端資料也是企業雲端安全面臨的最大威脅。

此外，安全措施的缺失會損害服務的可用性，並危及對各項法規和標準的遵守，這些法規和標準要求保護客戶和個人資料。有鑑於此，國際標準化組織 (ISO) 和國際電工委員會 (IEC) 將雲端服務的資訊安全列為單獨的項目。修訂版 ISO 27001:2022 。

如何提高雲端安全性？

Control 5.23 透過定義雲端服務選擇、使用和管理的明確規則和流程來促進安全解決方案並加強雲端安全，從而係統地降低風險並支援有效的安全解決方案。

這項預防性安全措施支援在使用雲端服務時的資訊安全。它支援根據組織的特定安全要求，系統地建立採購、使用、管理和停用流程。鑑於所提供服務的多樣性，新的 Control 5.23 在ISO 27001 附錄 A需要遵循“主題特定方法”。

此舉旨在鼓勵企業制定針對特定業務職能的雲端服務策略。與適用於雲端服務安全性使用的通用策略相比，這種策略能夠更精細地滿足合規性要求。

在目前的 ISO 27001:2022 標準的附件 A 中，針對雲端服務的資訊安全問題，以雲端服務特有的形式進行了闡述。而在 2013 年的先前版本中，雲端服務通常是在供應商關係部分中涵蓋的。

鑑於雲端運算領域的日益普及和巨大進步，採用獨立的安全措施系統地保護雲端服務和系統安全是十分必要的。然而，控制措施 A.5.23 應與控制措施 A.5.21 和 A.5.22 緊密協調，後兩者主要針對資訊安全。資訊通信技術供應鏈以及供應商服務的管理。

Control 5.23 如何實現增強雲端安全性？

安全措施 5.23 的實施，是透過公司明確定義雲端服務選擇、使用、監控和終止的要求、角色、職責和流程，並使之與雲端提供者的安全措施保持一致。

在資訊安全方面，公司必須明確實施控制措施 5.23 的若干方面。這些方麵包括與雲端服務使用相關的所有要求、選擇標準和應用領域。對角色和相關職責的詳細描述決定了這些服務在組織內部的使用和管理方式。

從外部來看，這必須與服務提供者協調：

• 服務提供者採取了哪些資訊安全措施？
• 哪些屬於公司本身的職責範圍？

此外，還需明確如何確保供應商提供的安全措施能夠有效實施、最佳利用並被驗證為可信。特別是在使用來自不同供應商的多個雲端服務時，清晰定義的流程有助於管理控制措施、介面和服務變更，從而最大限度地減少漏洞和威脅。

然而，鑑於當今企業面臨的許多安全風險，安全事件永遠無法完全避免。在這種情況下，針對特定服務的事件管理流程有助於以最佳方式應對挑戰。

為了管理此類風險，必須根據現行法規對雲端服務進行監控、審查和評估。 ISO 27001本標準採用系統定義的方法制定。此外，該標準還要求建立變更或停止使用服務的流程。這些流程還必須包括針對雲端服務的明確退出策略。

雲端安全：合約安全條款有多重要？

合約安全條款對於雲端服務至關重要，因為它們從法律上定義瞭如何保護資訊的機密性、完整性和可用性，提供者實施哪些安全措施，以及如何處理資料位置、事件、分包商和安全退出等問題。

因此，雲端服務的合約條款對客戶公司至關重要，它能幫助客戶公司確定關鍵參數並確保法律保障。然而，雲端服務協定通常是預先設定的，且不可協商。在此背景下，企業應格外注意並仔細審查這些協議，以確保滿足必要的營運需求。資訊安全目標滿足「保密性、完整性和可用性」的要求，並滿足資訊處理的要求。

為確保這一點，雲端服務應提供基於行業認可的解決方案。標準對於架構和基礎設施而言，它應具備滿足安全要求的存取控制，並包含監控和防範惡意軟體的解決方案。必須透過合約明確規定，敏感資訊的處理和儲存只能在授權地點或特定管轄範圍內進行。這一點對於關鍵基礎設施尤其重要。

處理安全事件和服務提供者

服務提供者必須在雲端服務環境中發生安全事件時提供針對性支持，並在收集數位證據方面提供一般性支持。將服務外包給外部服務提供者時，也必須滿足安全要求。

雲端服務的終止和變更

如果公司希望終止服務，服務提供者應在一段合理的時間內繼續提供支援和服務可用性。因此，服務提供者還必須提供資料和配置資訊的備份副本，並在必要時對其進行安全管理。諸如配置文件、源代碼和組織擁有的敏感數據等信息，必須應要求提供，或在服務終止時歸還。

雲端服務客戶應根據自身安全需求，考慮是否應在協議中加入通知義務，以便在雲端服務供應商做出重大變更時及時通知客戶。這些變更包括：

• 影響服務提供的技術基礎設施變更
• 在新的地理或法律管轄區內處理或儲存訊息
• 使用或切換到對等雲端服務供應商或其他分包商

附註：網路安全是總經理的責任

隨著德國NIS2實施法案（NIS2UmsuCG）歐盟網路安全指令2（NIS 2）已轉化為各國法律，網路安全監管架構也因此顯著加強。新規大幅擴大了受影響組織的範圍，要求眾多公司和機構實施結構化措施，以確保資訊安全、管理網路風險，並在發生安全事件時履行明確的報告義務。

NIS2法規的關鍵要素是明確責任。高階管理人員網路安全方面，高階管理層和董事會必須確保實施並有效監控適當的網路風險管理措施。因此，網路安全成為一項明確的管理責任：公司領導階層負責遵守法律法規，並確保資訊安全在組織內部得到適當落實。

Control 5.23 能為企業帶來哪些好處？總結如下。

新ISO 27001:2022 A.5.23 版本彌補了現代雲端環境中的關鍵安全漏洞。因此，它為組織提供了一個結構化的框架，以系統化保護雲端服務、確保合規性並安全地管理與雲端供應商的協作。

有了這項新的安全措施， ISO和國際電工委員會ISO 27001 資訊安全標準正在彌合現代資訊通訊技術架構以及企業、組織和政府機構敏感資料保護方面的重要差距。作為全球公認的標準，ISO 27001 資訊安全標準如今也為實現一致、系統化的雲端安全做出了貢獻。

無論貴公司是在公有雲、私有雲或混合雲環境中運營，雲端安全解決方案和資訊安全最佳實踐都至關重要。這是確保業務連續性和合規性的唯一途徑。尤其是在技能短缺和企業網路分散化的當下，未來幾年雲端資料安全的重要性將持續成長。

新的 Control 5.23附件A雲端服務用戶可以使用一個框架。他們可以利用該框架來審查現有的資訊安全措施，並根據需要進行調整。

除了各種基本的組織要求外，這項新的安全措施還強調了與雲端服務提供者密切合作以保持持續資訊交流的重要性。這有助於建立相互協作的機制，以監控既定的服務特性，並識別和報告違反約定義務的行為。

專注的審核專業知識：您的 DQS

DQS成立於1985年，是德國首個認證機構。自成立以來，我們一直是世界領先的審核和認證專家之一。創始合夥人， DGQ （德國品質協會） DIN德國標準化協會 (DIS) 是我們在培訓、持續教育和標準化工作方面的重要合作夥伴。我們積極代表客戶參與委員會和理事會的工作，並將我們的專業知識運用到審核工作中。我們的承諾始於審核清單之外。請相信我們！

信任與專業

我們的文本和宣傳冊均由我們的標準專家或資深審核員撰寫。如果您對文字內容或我們的服務有任何疑問，歡迎隨時與我們的作者聯絡。

註：為便於閱讀，我們使用通用的男性形式。然而，這種方法本質上涵蓋了所有性別認同的人，只要其適用範圍與陳述內容相符。