ISO 27001:2022 Bilag A 5.23 – Informationssikkerhed til brug af skytjenester

Formål med ISO 27001:2022 bilag A 5.23

ISO 27001: 2022 Bilag A 5.23 er en ny kontrol, der skitserer de processer, der kræves for anskaffelse, brug, styring af og exit fra cloud-tjenester, i forhold til organisationens unikke krav til informationssikkerhed.

Bilag A Kontrol 5.23 giver organisationer mulighed for først at specificere og derefter administrere og administrere informationssikkerhedskoncepter som relateret til cloud-tjenester, i deres egenskab af "cloud services-kunde".

Bilag A 5.23 er en forebyggende kontrol at fastholder risiko ved at specificere politikker og procedurer, der styrer informationssikkerhed, inden for kommercielle cloud-tjenester.

Ejerskab af bilag A 5.23

Sådan er udbredelsen af ​​cloud-tjenester i løbet af det sidste årti, ISO 27001 2022 Bilag A Kontrol 5.23 indeholder et væld af procedurer, der omfatter mange forskellige elementer i en organisations drift.

I betragtning af at ikke alle cloudtjenester er IKT-specifikke – selvom det med rimelighed kunne hævdes, at de fleste er det – bør ejerskabet af bilag A Kontrol 5.23 fordeles mellem en organisations CTO or COOafhængigt af de gældende driftsforhold.

Vejledning om ISO 27001:2022 Bilag A Kontrol 5.23 – Organisatoriske forpligtelser

Overholdelse af kontrol 5.23 indebærer overholdelse af det, der er kendt som en 'emnespecifik' tilgang til cloud-tjenester og informationssikkerhed.

I betragtning af de mange forskellige cloud-tjenester, der tilbydes, tilskynder emnespecifikke tilgange organisationer til at skabe cloud-tjenester-politikker, der er skræddersyet til individuelle forretningsfunktioner, i stedet for at overholde en generel politik, der gælder for informationssikkerhed og cloud-tjenester over hele linjen.

Det skal bemærkes, at ISO betragter overholdelse af bilag A Kontrol 5.23 som en samarbejdsindsats mellem organisationen og deres cloud-servicepartner. Bilag A Kontrol 5.23 bør også være nøje tilpasset kontrol 5.21 og 5.22, som omhandler henholdsvis informationsstyring i forsyningskæden og styring af leverandørtjenester.

Uanset hvor en organisation vælger at operere, bør bilag A kontrol 5.23 ikke tages isoleret og bør supplere eksisterende bestræbelser på at styre leverandørforhold.

Med informationssikkerhed i højsædet bør organisationen definere:

1. Eventuelle relevante sikkerhedskrav eller bekymringer involveret i brugen af ​​en cloud-platform.
2. Kriterierne involveret i at vælge en cloud-tjenesteudbyder, og hvordan deres tjenester skal bruges.
3. Granulær beskrivelse af roller og relevante ansvarsområder, der styrer, hvordan cloud-tjenester skal bruges på tværs af organisationen.
4. Præcis hvilke informationssikkerhedsområder, der er kontrolleret af cloud-tjenesteudbyderen, og dem, der hører under organisationen selv.
5. De bedste måder, hvorpå man først kan samle og derefter bruge eventuelle informationssikkerhedsrelaterede servicekomponenter leveret af cloudserviceplatformen.
6. Hvordan man opnår kategoriske forsikringer om eventuelle informationssikkerhedsrelaterede kontroller, der er vedtaget af cloud-tjenesteudbyderen.
7. De skridt, der skal tages for at styre ændringer, kommunikation og kontroller på tværs af flere forskellige cloud-platforme, og ikke altid fra den samme leverandør.
8. Incident Management procedurer, der udelukkende vedrører levering af cloud-tjenester.
9. Hvordan organisationen forventer at styre sin løbende brug og/eller engrosadoption af cloud-platforme i overensstemmelse med deres bredere informationssikkerhedsforpligtelser.
10. En strategi for ophør eller ændring af cloud-tjenester, enten på leverandør-for-leverandør-basis eller gennem processen fra cloud til on-premise migrering.

Vejledning om bilag A Kontrol 5.23 – Cloud Services Agreements

Bilag A Kontrol 5.23 anerkender, at i modsætning til andre leverandørforhold er cloud-serviceaftaler stive dokumenter, som ikke kan ændres i langt de fleste tilfælde.

Med det i tankerne bør organisationer granske cloud-serviceaftaler og sikre, at fire primære driftskrav er opfyldt:

1. Fortrolighed.
2. Sikkerhed/dataintegritet.
3. Service tilgængelighed.
4. Informationshåndtering.

Som med andre leverandørkontrakter bør cloud-serviceaftaler forud for accept gennemgå en grundig risikovurdering, der fremhæver potentielle problemer ved kilden.

Organisationen bør som et minimum kun indgå en cloud-serviceaftale, når de er overbevist om, at følgende 10 bestemmelser er opfyldt:

• Cloud-tjenester leveres og implementeres baseret på organisationens unikke krav i forhold til deres driftsområde, herunder industriaccepterede standarder og praksis for cloud-baseret arkitektur og hostet infrastruktur.
• Adgang til enhver cloudplatform opfylder organisationens krav til grænseinformationssikkerhed.
• Der tages tilstrækkeligt hensyn til antimalware- og antivirustjenester, herunder proaktiv overvågning og trusselsbeskyttelse.
• Cloud-udbyderen overholder et foruddefineret sæt af datalagrings- og behandlingsbestemmelser, der relaterer til en eller flere forskellige globale regioner og regulatoriske miljøer.
• Proaktiv support ydes til organisationen, hvis cloud-platformen skulle lide en katastrofal fejl eller informationssikkerhedsrelateret hændelse.
• Hvis der opstår behov for at udlicitere eller på anden måde outsource noget element af cloud-platformen, er leverandørens krav til informationssikkerhed en konstant overvejelse.
• Hvis organisationen har brug for hjælp til at samle digitale oplysninger til ethvert relevant formål (lovhåndhævelse, lovgivningsmæssig tilpasning, kommercielle formål), vil udbyderen af ​​cloudtjenester støtte organisationen så vidt det er muligt.
• Ved afslutningen af ​​forholdet bør cloud-tjenesteudbyderen yde rimelig support og passende tilgængelighed under overgangs- eller nedlukningsperioden.
• Cloud-tjenesteudbyderen bør operere med en robust BUDR-plan, der er fokuseret på at udføre tilstrækkelige backups af organisationens data.
• Overførsel af alle relevante supplerende data fra cloud-tjenesteudbyderen til organisationen, herunder konfigurationsoplysninger og kode, som organisationen har krav på.

Supplerende oplysninger om bilag A Kontrol 5.23

Ud over ovenstående vejledning foreslår bilag A Kontrol 5.23, at organisationer danner et tæt samarbejde med udbydere af cloud-tjenester, i overensstemmelse med den vigtige service, de leverer ikke kun i informationssikkerhedsmæssig henseende, men på tværs af en organisations hele kommercielle drift.

Organisationer bør, hvor det er muligt, søge følgende krav fra cloud-tjenesteudbydere for at forbedre den operationelle modstandsdygtighed og nyde forbedrede niveauer af informationssikkerhed:

1. Alle ændringer i infrastrukturen bør kommunikeres på forhånd for at informere organisationens eget sæt af informationssikkerhedsstandarder.
2. Organisationen skal holdes orienteret om eventuelle ændringer i datalagringsprocedurer, der involverer migrering af data til en anden jurisdiktion eller global region.
3. Enhver intention fra cloud-tjenesteudbyderens side om at bruge "peer cloud"-udbydere eller outsource områder af deres drift til underleverandører, der kan have informationssikkerhedsmæssige konsekvenser for organisationen.

Understøttende kontrol i bilag A

• ISO 27001:2022 Bilag A 5.21
• ISO 27001:2022 Bilag A 5.22

Hvad er ændringerne og forskellene fra ISO 27001:2013?

Bilag A Kontrol 5.23 er en ny kontrol der ikke er med i ISO 27001:2013 på nogen måde.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

Hvordan ISMS.online hjælper

ISMS.online strømliner ISO 27001-implementeringsprocessen ved at levere en sofistikeret cloud-baseret ramme til dokumentation af informationssikkerhedsstyringssystemprocedurer og tjeklister for at sikre overholdelse af anerkendte standarder.

Når du bruger ISMS.online, vil du være i stand til at:

• Opret et ISMS, der er kompatibelt med ISO 27001-standarder.
• Udfør opgaver og indsend bevis for, at de har opfyldt kravene i standarden.
• Tildel opgaver og spor fremskridt hen imod overholdelse af loven.
• Få adgang til et specialiseret team af rådgivere, der vil hjælpe dig hele vejen mod overholdelse.

Tag kontakt og book en demo.