ISO 27002:2022 – Kontrol 5.23 – Informationssikkerhed til brug af skytjenester

Formål med kontrol 5.23

5.23 er en ny kontrol, der skitserer de processer, der kræves for anskaffelse, brug, styring af og exit fra cloud-tjenester, i forhold til organisationens unikke krav til informationssikkerhed.

Kontrol 5.23 giver organisationer mulighed for først at specificere og derefter administrere og administrere informationssikkerhed begreber som relateret til cloud-tjenester, i deres egenskab af "cloud services-kunde".

5.23 er en forebyggende kontrol at fastholder risiko ved at specificere politikker og procedurer, der styre informationssikkerheden, inden for kommercielle cloud-tjenester.

Kontrolattributter 5.23

Ejerskab af kontrol 5.23

Sådan er udbredelsen af ​​cloud-tjenester i løbet af det seneste årti, Control 5.23 indeholder et væld af procedurer, der omfatter mange forskellige elementer i en organisations drift.

Da ikke alle cloudtjenester er IKT-specifikke – selvom det med rimelighed kunne hævdes, at de fleste er det – bør ejerskabet af Control 5.22 fordeles mellem en organisations CTO or COOafhængigt af de gældende driftsforhold.

Vejledning om kontrol 5.23 – Organisatoriske forpligtelser

Overholdelse af kontrol 5.23 indebærer overholdelse af det, der er kendt som en 'emnespecifik' tilgang til cloud-tjenester og informationssikkerhed.

I betragtning af de mange forskellige cloud-tjenester, der tilbydes, tilskynder emnespecifikke tilgange organisationer til at skabe politikker for cloud-tjenester, der er skræddersyet til individuelle forretningsfunktioner i stedet for at overholde et tæppe politik, der gælder for informationssikkerhed og cloud-tjenester over hele linjen.

Det skal bemærkes, at ISO betragter overholdelse af Control 5.23 som et samarbejde mellem organisationen og deres cloud-servicepartner. Kontrol 5.23 bør også være nøje tilpasset kontrol 5.21 og 5.22, som omhandler information ledelse i forsyningskæden og styring af leverandørydelser henholdsvis.

Uanset hvor en organisation vælger at operere, bør kontrol 5.23 ikke tages isoleret og bør supplere eksisterende bestræbelser på at styre leverandørrelationer.

Med informationssikkerhed i højsædet bør organisationen definere:

1. Eventuelle relevante sikkerhedskrav eller bekymringer involveret i brugen af ​​en cloud-platform.
2. Kriterierne involveret i at vælge en cloud-tjenesteudbyder, og hvordan deres tjenester skal bruges.
3. Granuleret beskrivelse af roller og relevante ansvarsområder der styrer, hvordan cloud-tjenester skal bruges på tværs af organisationen.
4. Præcis hvilke informationssikkerhedsområder, der er kontrolleret af cloud-tjenesteudbyderen, og dem, der hører under organisationen selv.
5. De bedste måder, hvorpå man først kan samle og derefter bruge eventuelle informationssikkerhedsrelaterede servicekomponenter leveret af cloudserviceplatformen.
6. Hvordan man opnår kategoriske forsikringer om eventuelle informationssikkerhedsrelaterede kontroller, der er vedtaget af cloud-tjenesteudbyderen.
7. De skridt, der skal tages for at styre ændringer, kommunikation og kontroller på tværs af flere forskellige cloud-platforme, og ikke altid fra den samme leverandør.
8. Incident Management procedurer der udelukkende beskæftiger sig med levering af cloud-tjenester.
9. Hvordan organisationen forventer at styre sin løbende brug og/eller engros-adoption af cloud-platforme, på linje med deres bredere informationssikkerhed forpligtelser.
10. En strategi for ophør eller ændring af cloud-tjenester, enten på leverandør-for-leverandør-basis eller gennem processen fra cloud til on-premise migrering.

Vejledning om kontrol 5.23 – Cloud Services-aftaler

Kontrol 5.23 anerkender, at i modsætning til andre leverandørforhold er cloud-serviceaftaler stive dokumenter, som ikke kan ændres i langt de fleste tilfælde.

Med det i tankerne bør organisationer granske cloud-serviceaftaler og sikre, at fire primære driftskrav er opfyldt:

1. Fortrolighed
2. Sikkerhed/dataintegritet
3. Service tilgængelighed
4. Informationshåndtering

Som med andre leverandørkontrakter skal cloud-serviceaftaler forud for accept gennemgå en grundig risikovurdering der fremhæver potentielle problemer ved kilden.

Organisationen bør som et minimum kun indgå en cloud-serviceaftale, når de er overbevist om, at følgende 10 bestemmelser er opfyldt:

1. Cloud-tjenester leveres og implementeres baseret på organisationens unikke krav i forhold til deres driftsområde, herunder industriaccepterede standarder og praksis for cloud-baseret arkitektur og hostet infrastruktur.
2. Adgang til enhver cloudplatform opfylder organisationens krav til grænseinformationssikkerhed.
3. Der tages tilstrækkeligt hensyn til antimalware- og antivirustjenester, herunder proaktiv overvågning og trusselsbeskyttelse.
4. Cloud-udbyderen overholder et foruddefineret sæt af datalagrings- og behandlingsbestemmelser, der relaterer til en eller flere forskellige globale regioner og regulatoriske miljøer.
5. Proaktiv support ydes til organisationen, hvis cloud-platformen skulle lide en katastrofal fejl eller informationssikkerhedsrelateret hændelse.
6. Hvis der opstår behov for at udlicitere eller på anden måde outsource noget element af cloud-platformen, er leverandørens krav til informationssikkerhed en konstant overvejelse.
7. Hvis organisationen har brug for hjælp til at samle digitale oplysninger til ethvert relevant formål (lovhåndhævelse, lovgivningsmæssig tilpasning, kommercielle formål), vil udbyderen af ​​cloudtjenester støtte organisationen så vidt det er muligt.
8. Ved afslutningen af ​​forholdet bør cloud-tjenesteudbyderen yde rimelig support og passende tilgængelighed under overgangs- eller nedlukningsperioden.
9. Cloud-tjenesteudbyderen bør operere med en robust BUDR-plan, der er fokuseret på at udføre tilstrækkelige backups af organisationens data.
10. Overførsel af alle relevante supplerende data fra cloud-tjenesteudbyderen til organisationen, herunder konfigurationsoplysninger og kode, som organisationen har krav på.

Supplerende oplysninger om kontrol 5.23

Ud over ovenstående vejledning foreslår Kontrol 5.23, at organisationer danner et tæt samarbejde med cloud-tjenesteudbydere i overensstemmelse med den vigtige service, de leverer, ikke kun i informationssikkerhedsmæssig henseende, men på tværs af en organisations hele kommercielle drift.

Organisationer bør, hvor det er muligt, søge følgende krav fra cloud-tjenesteudbydere for at forbedre den operationelle modstandsdygtighed og nyde forbedrede niveauer af informationssikkerhed:

1. Alle ændringer i infrastrukturen bør kommunikeres på forhånd for at informere organisationens eget sæt af informationssikkerhedsstandarder.
2. Organisationen har brug for at blive holdt orienteret om eventuelle ændringer i datalagringsprocedurer, der involverer migrering af data til en anden jurisdiktion eller global region.
3. Enhver intention fra cloud-tjenesteudbyderens side om at bruge "peer cloud"-udbydere eller outsource områder af deres drift til underleverandører, der kan have informationssikkerhedsmæssige konsekvenser for organisationen.

Understøttende kontroller

• 5.21
• 5.22

Ændringer fra ISO 27002:2013

Kontrol 5.23 er en ny kontrol der ikke er med i ISO 27002:2013 på nogen måde.

Nye ISO 27002 kontroller

Hvordan ISMS.online hjælper

ISMS.online strømliner ISO 27002 implementeringsproces ved at levere en sofistikeret cloud-baseret ramme til dokumentation af informationssikkerhedsstyringssystemprocedurer og tjeklister for at sikre overholdelse af anerkendte standarder.

Når du bruger ISMS.online, vil du være i stand til at:

• Opret en ISMS, der er kompatibel med ISO 27001 standarder.
• Udfør opgaver og indsend bevis for, at de har opfyldt kravene i standarden.
• Tildel opgaver og spor fremskridt hen imod overholdelse af loven.
• Få adgang til et specialiseret team af rådgivere, der vil hjælpe dig hele vejen mod overholdelse.

Tag kontakt og book en demo.