根据 Statista 的一项研究,到 2022 年,84% 的德国公司已经在使用云服务。另有13%的公司正在计划或讨论使用云服务。因此,使用云服务的公司总体比例将继续增加。然而,这些服务的使用或运行也伴随着各种风险。
如果不采取适当措施提高云的安全性,企业在管理客户数据时,无论数据存储在何处,都会面临相当大的安全风险。更新版 ISO/IEC 27001:2022 标准中新的控制 5.23 "使用云服务的信息安全 "描述了可能的安全措施。在下面的博文中,我们将介绍新安全措施的内容,以及成功(重新)认证需要考虑哪些方面。
从私有云到公共云,无论是 IaaS、PaaS 还是 SaaS:云结构和云服务决定了当今公司、组织或机构的大部分信息和通信技术领域。云计算早已成为现实,并正在从根本上改变 IT 服务的提供和使用方式。
然而,与云计算的日益广泛使用相关的安全风险十分复杂,而且不仅限于有组织犯罪。身份和访问管理不足、配置错误以及员工无意中泄露云数据也是最大的威胁之一。
云安全联盟(CSA)2022 年度报告证实了这一点。此外,缺乏安全性会影响服务的可用性,并危及各种法规和标准的合规性,而这些法规和标准都要求保护客户和个人数据。
所有这些威胁促使国际标准化组织(ISO)和国际电工委员会(IEC)在新的ISO/IEC 27001:2022 中将使用云服务的信息安全列为一个单独的项目。
有关修订标准的有趣细节汇编:
......以及其他 35 个问题。
新的预防措施旨在确保使用云服务时的信息安全。它支持根据企业各自的安全要求,系统地定义获取、使用、管理和退出流程。
鉴于所提供的服务种类繁多,附件 A 中新的控制措施 5.23 要求遵守 "特定主题方法"。
这样做的目的是鼓励企业制定针对个别业务职能的云服务政策。与全面适用于云服务安全使用的一揽子政策相比,合规要求可以更加细化地加以解决。
新版 ISO 27001:2022 附件 A 中新引入了针对云服务使用的信息安全措施。在以前的版本中,云服务一般属于供应商关系的范畴。
由于云行业的使用日益增多,发展势头迅猛,因此采用独立的信息安全措施来系统地保护云服务是有意义的。不过,控制 A.5.23 应与措施 A.5.21 和 A.5.22 密切协调,后者涉及 ICT 供应链中的信息安全和供应商服务管理。
受益于我们专家的知识
在数字经济时代,无差错的 ICT 对于维护业务流程至关重要。ISO 标准 27001 和 27002 的最新更新旨在将安全风险降至最低。附件 A 中的控制项 5.30 "信息和通信技术为业务连续性做好准备 "要求企业确保信息和通信技术的持续可用性,即使在出现中断的情况下也是如此。阅读我们的博文,了解这对您的信息安全管理系统意味着什么。
关于信息安全,企业必须确定实施控制 5.23 的若干方面 。其中包括与使用云服务相关的所有相关要求、选择标准和应用领域。对角色和相关责任的详细描述决定了如何在企业内部使用和管理这些服务。
在外部方面,必须与服务提供商达成一致:
同样重要的是,要明确如何提供、理想地使用和可靠地检查服务提供商提供的安全措施。特别是在使用来自不同提供商的多种云服务时,明确定义的流程可为控制、接口和服务变更的处理提供支持。
然而,由于企业目前面临着多种安全风险,因此永远无法完全排除安全事故的发生。在这种情况下,特定服务的事件管理程序有助于以最佳方式应对挑战。
为管理此类风险,必须根据修订后的 ISO 27001 标准,采用系统化的方法对云服务进行监控、审查和评估。此外,该标准还要求定义更改或停止使用服务的流程。这些流程还必须包括明确的云服务退出策略。
使用国际标准管理系统保护您的信息 ★ 有效实施风险管理流程 ★ 了解更多信息。无约束力,免费。
为了建立重要的框架参数并提供法律保护,云服务的合同设计对客户公司来说至关重要。然而,云服务协议通常是预先确定的,不可讨价还价。有鉴于此,企业应特别关注这些协议,并对其进行仔细审查。这样才能确保满足信息安全保护目标"保密性、完整性、可用性 "和信息处理的基本操作要求。
为确保这一点,云服务应根据行业公认的架构和基础设施标准提供解决方案。云服务应具有符合安全要求的访问控制,并包括监控和防范恶意软件的解决方案。应在合同中规定,只允许在授权地点或特定管辖范围内处理和存储敏感信息。这对关键基础设施等非常重要。
服务提供商必须在云服务环境中发生安全事故时提供有针对性的支持,并在收集数字证据时提供一般支持。当服务转交给外部服务提供商时,也必须满足安全要求。
如果公司希望放弃服务,提供商应在一段合理的时间内继续承诺提供支持和服务可用性。因此,他们还必须提供数据和配置信息的备份,并在必要时对其进行安全管理。组织拥有的配置文件、源代码和敏感数据等信息必须应要求提供,或在服务终止时归还。
云服务客户应根据自身的安全要求,考虑协议中是否应包含云提供商做出重大变更时的通知义务。这些变更包括
使用或变更同行云服务提供商或其他分包商
根据Statista在 2022 年进行的一项研究,84% 的德国公司使用云服务。此外,有 13% 的公司正处于使用云服务的决策或规划阶段。这意味着个人信息和机密数据的保护变得越来越重要。
通过新的安全措施,ISO 和 IEC 正在缩小在保护现代 ICT 架构和公司、组织和当局的敏感数据方面的重要差距。这意味着信息安全标准ISO 27001 作为一项全球标准,现在也有助于实现一致、系统的云安全。
无论贵公司是在公共云、私有云还是混合云环境中运行,信息安全解决方案和最佳实践都是必不可少的。这是确保业务连续性和合规性的唯一途径。特别是在技能短缺和企业网络分散的时代,云中数据安全的重要性在未来几年将继续增加。
附录 A 中的新控制项 5.23 为云服务用户提供了一个框架。他们可以利用它来测试现有的信息安全措施,并在必要时对其进行调整。
除了大量的基本组织要求外,新控制项还强调了与云服务提供商密切合作的重要性,以便随时保持信息的相互交流。这促进了互惠机制的建立,以监控已定义的服务功能,识别并报告违反约定义务的行为。
新版 ISO/IEC 27001:2022于 2022 年 10 月 25 日以英文发布。因此,用户的过渡期限和时间如下
将所有现有证书转换为新版本:
根据 "旧 "ISO 27001 进行初始认证和重新认证的最后日期:
在DQS擔任資訊安全管理的product manager。作為資訊安全和IT安全目錄(關鍵基礎設施)領域的標準專家,André Säckel負責以下標準和產業特定標準等。ISO 27001、ISIS12、ISO 20000-1、KRITIS和TISAX(汽車產業的資訊安全)。他也是ISO/IEC JTC 1/SC 27/WG 1工作組的成員,作為德國標準化研究所DIN的國家代表。
