top of page

ISO27001:2022改版系列專題(七)─雲端服務與資訊安全(Information security for use of cloud services)

業務流程中有使用到雲端服務的公司要注意了!舊版ISO27001:2013對雲端這塊的稽核重點通常放在A.15供應者關係、A.13.1.1網路控制措施。由於近年雲技術運來越興盛,因應時代潮流,新版ISO27001:2022的A5.23 雲端服務與資訊安全(Information security for use of cloud services)要求建立獲取、使用、管理和退出雲端服務的流程。


使用雲端服務的ISO27001用戶,最關心的應該就是針對合約是否有新要求?

答案是有!

針對使用者(客戶)與雲端服務供應商之間所簽署協議,ISO27001:2022要求供應商將下列條款納入,以保護客戶的資料並確保其服務:

一、依循業界標準提供解決辦法

二、依據客戶要求管理存取控制

三、監控惡意軟體&保護措施

四、在指定的地區/國家/司法官轄區內處理及儲存客戶的敏感訊息

五、發生資安事件時能提供協助

六、確實達成組織的資安要求

七、支持組織蒐集數位證據

八、於客戶要求退出雲服務時提供適當支持及服務可用性

九、提供數據備份、組態資訊

十、服務中止時返還資訊

並且,針對科技基礎設施變更、在新的法律管轄區處理或儲存資訊、下包部分服務等情況,供應商都必須對客戶盡告知義務。

Comments


bottom of page