Skip to main content

5.23 Bezpieczeństwo informacji w usługach chmurowych

Cel

Zapewnienie zgodnego z wymaganiami organizacji i polityką bezpieczeństwa zarządzania ryzykiem związanym z korzystaniem z usług chmurowych.

Wymagania

Organizacja powinna:

  • Opracować i wdrożyć politykę dotyczącą bezpieczeństwa informacji w usługach chmurowych, określającą odpowiedzialność zarówno dostawcy, jak i klienta usługi chmurowej.
  • Zdefiniować kryteria wyboru dostawców chmurowych oraz zakres wykorzystania usług chmurowych.
  • Określić wymagania dotyczące:
    • podziału odpowiedzialności między dostawcą a klientem,
    • stosowanych mechanizmów zabezpieczeń,
    • audytowania i monitorowania poziomu bezpieczeństwa dostawcy,
    • obsługi incydentów bezpieczeństwa związanych z usługami chmurowymi,
    • procedur zmiany lub rezygnacji z usług chmurowych (exit strategy).

Wdrożenie

  • Organizacja powinna:
    • przeprowadzać ocenę ryzyka związanego z wykorzystaniem usług chmurowych,
    • określić mechanizmy zarządzania dostępem i autoryzacją w chmurze,
    • zapewnić monitorowanie i raportowanie poziomu bezpieczeństwa przez dostawcę,
    • wdrożyć procedury reagowania na incydenty w środowisku chmurowym,
    • wymagać zgodności z regulacjami dotyczącymi ochrony danych osobowych i jurysdykcji przetwarzania danych.
  • Umowy z dostawcami chmurowymi powinny obejmować:
    • wymagania dotyczące zabezpieczeń architektury chmury,
    • procesy zarządzania subdostawcami,
    • mechanizmy przechowywania i archiwizacji danych organizacji,
    • prawa organizacji do przeprowadzania audytów dostawcy.

Przegląd i aktualizacja

  • Organizacja powinna regularnie przeglądać umowy z dostawcami usług chmurowych, aby zapewnić ich zgodność z wymaganiami bezpieczeństwa informacji.
  • Należy monitorować zmiany w infrastrukturze dostawcy, np. zmiany lokalizacji przetwarzania danych czy wdrażanie nowych rozwiązań technologicznych.
  • Powinna istnieć strategia wyjścia (exit strategy) umożliwiająca bezpieczne przeniesienie usług i danych do innego dostawcy lub środowiska lokalnego organizacji.

Efektywne zarządzanie bezpieczeństwem informacji w usługach chmurowych minimalizuje ryzyko nieautoryzowanego dostępu do danych, zapewnia integralność informacji oraz zgodność z regulacjami prawnymi.