業務流程中有使用到雲端服務的公司要注意了!舊版ISO27001:2013對雲端這塊的稽核重點通常放在A.15供應者關係、A.13.1.1網路控制措施。由於近年雲技術運來越興盛,因應時代潮流,新版ISO27001:2022的A5.23 雲端服務與資訊安全(Information security for use of cloud services)要求建立獲取、使用、管理和退出雲端服務的流程。
使用雲端服務的ISO27001用戶,最關心的應該就是針對合約是否有新要求?
答案是有!
針對使用者(客戶)與雲端服務供應商之間所簽署協議,ISO27001:2022要求供應商將下列條款納入,以保護客戶的資料並確保其服務:
一、依循業界標準提供解決辦法
二、依據客戶要求管理存取控制
三、監控惡意軟體&保護措施
四、在指定的地區/國家/司法官轄區內處理及儲存客戶的敏感訊息
五、發生資安事件時能提供協助
六、確實達成組織的資安要求
七、支持組織蒐集數位證據
八、於客戶要求退出雲服務時提供適當支持及服務可用性
九、提供數據備份、組態資訊
十、服務中止時返還資訊
並且,針對科技基礎設施變更、在新的法律管轄區處理或儲存資訊、下包部分服務等情況,供應商都必須對客戶盡告知義務。
Comments