BS ISO/IEC 27017:2015
CÔNG BỐ TIÊU CHUẨN BSI
Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc thực hành về kiểm soát an toàn thông tin dựa trên ISO / IEC 27002 cho các dịch vụ đám mây
Making excellence a habit
1. Tổng quan
• Cung cấp khuôn khổ kiểm soát an ninh và hướng dẫn thực hiện cho cả khách hàng và nhà cung cấp dịch vụ đám mây:
- Hướng dẫn hỗ trợ việc thực hiện các kiểm soát an toàn thông tin
- Hướng dẫn quản lý rủi ro an toàn thông tin bao gồm lời khuyên về đánh giá rủi ro, xử lý rủi ro, chấp nhận rủi ro, truyền thông rủi ro, giám sát rủi ro và xem xét rủi ro
- Lựa chọn các biện pháp kiểm soát thích hợp và việc áp dụng hướng dẫn sẽ phụ thuộc vào việc đánh giá rủi ro, các yêu cầu pháp lý, hợp đồng hoặc quy định
Mục lục
12. An toàn vận
5. CHÍNH SÁCh bảo mật thông tin
13. An toàn thông tin liên lạc
6. Tổ chức bảo mật thông tin
7. An ninh nguồn nhân lực
14. mua lại phát triển và bảo trì hệ
15. các mối quan hệ với nhà cung cấp
8. Quản lý tài sản
16. quản lý sự cố an toàn thông
9. kiểm soát truy cập
18. sự tuân thủ
10. Mã hóa
11. An ninh vật lý và môi trường
5. Chính sách bảo mật thông tin
- Phải phù hợp với mức độ chấp nhận rủi ro an toàn thông tin đối với thông tin và các tài sản khác của tổ chức.Xác định chính sách dựa theo:- Thông tin được lưu trữ có thể được nhà cung cấp dịch vụ đám mây truy cập và quản lý. - Tài sản được duy trì, ví dụ: các chương trình ứng dụng.- Quy trình có thể chạy trên dịch vụ. - Người dùng cá nhân. - Quản trị viên được chỉ định đặc quyền truy cập - Vị trí địa lý lưu trữ dữ liệu khách hàng.
5.1.1 các chính sách về an toàn thông tin
6. TỔ chức bảo mật thông tin
6.1.1 Các vai trò và trách Nhiệm an toàn thông tin
- Có sự phân chia khác nhau về vai trò + trách nhiệm giữa khách hàng và nhà cung cấp.- Hai bên cần có những thỏa thuận rõ ràng và lập thành văn bản cho từng loại dịch vụ. - Ban quản lý cần phê duyệt việc phân công các vai trò và trách nhiệm cụ thể về ATTT
6.1.3 Liên hệ với các cơ quan CHỨc năng
- Xác định các cơ quan giám sát có thẩm quyền liên quan. (bao gồm cả liên hệ với nha cung cấp và các cơ quan pháp lý có liên quan vd A005, Cơ quan an ninh mạng)- Xác định vị trí lưu trữ dữ liệu và thông tin lưu trữ. tuân thủ luân ATTT của nơi (ví dụ nơi đặt trụ sở
7. An ninh nguồn nhân lực
7.2.2 nhận thức ,giáo dục và đào tạo về an toàn thông tin
- Nâng cao nhận thức về chính sách, các tiêu chuẩn và qui trình sử dụng dịch vụ; rủi ro an toàn thông tin và cách xử lý; rủi ro hệ thống và môi trường mạng.- Yêu cầu cung cấp các hướng dẫn liên quan, các biện pháp phòng ngừa và địa chỉ liên hệ liên quan đến sử dụng dịch vụ. - Nhận thức, giáo dục và đào tạo về an toàn thông tin cần được cung cấp cho các nhà quản lý giám sát và các đơn vị kinh doanh của tổ chức. - Chia sẻ và trao đổi thông tin về việc sử dụng dịch vụ đám mây.
8. quản lý tài sản
8.1.1 kiểm kê tài sản
- Bản kiểm kê tài sản bao gồm cả thông tin và các tài sản liên quan được lưu trữ: thông tin kinh doanh, thiết bị ảo hóa, phần mềm....- Hồ sơ kiểm kê chỉ ra nơi quản lý tài sản.
8.1.2 Ghi nhãn thông tin
- Phải gắn nhãn cho thông tin và các tài sản liên quan phù hợp với quy trình dán nhãn.
9. kiểm soát truy cập
9.1.2 Truy cập tới các mạng và dịch vụ mạng
- Xác định được yêu cầu của người dùng tới từng dịch vụ.
9.2.3 quản lý các quyền truy cập ĐẶC quyền
- Sử dụng các kĩ thuật xác thực đầy đủ, ví dụ như: xác thực đa yếu tố để xác thực năng lực của quản trị viên đối với các rủi ro được xác định.
9.2.4 Quản LÝ, xác THỰC thông tin bí mật Của người dùng
- Xác định quy trình quản lý thông tin xác thực, bảo mật của nhà cung cấp có đáp ứng được các yêu cầu của họ hay không (chẳng hạn như quy trình cung cấp mật khẩu).
9.4.1 hẠn chế truy cập thôngtin
- Hạn chế và phù hợp với chính sách quản lý truy cập. - Bao gồm hạn chế truy cập tới dịch vụ các chức năng và dữ liệu khách hàng.
9.4.4 sử dụng các chương trình tiện ích đặc quyền
- Xác định và đảm bảo các chương trình tiện ích đặc quyền không được can thiệp vào những kiểm soát của dịch vụ đám mây.
10. Mã hóa
10.1.1 Chính sách sử dụng của các kiểm soát mật mã
- Kiểm soát mật mã nếu có rủi ro được phát hiện (bằng hoạt động phân tích rủi ro). Các kiểm soát phải đủ mạnh để giảm thiểu các rủi ro được xác định. - Xác minh xem các khả năng mã hóa: + Đáp ứng được các yêu cầu của khách hàng. + Tương thích với bất kỳ biện pháp bảo vệ mật mã nào khác được sử dụng bởi khách hàng. + Áp dụng được cho dữ liệu nghỉ và dữ liệu đang chuyển động trong dịch vụ.
- Xác định các khóa mã hóa cho mỗi dịch vụ và triển khai các thủ tục quản lý khóa. - Cung cấp chức năng quản lý khóa nên yêu cầu những thông tin để quản lý các khóa liên quan đến dịch vụ: + Loại khóa. + Hệ thống quản lý khóa cụ thể: cấp phát, thay đổi hoặc cập nhật, lưu trữ, thu hồi, truy xuất, duy trì và phá hủy. + Các thủ tục quản lý khóa được đề xuất sử dụng bởi khách hàng. - Khách hàng không nên cho phép nhà cung cấp lưu trữ và quản lý khóa mã hóa cho các hoạt động mật mã
10.1.2 Quản lý khóa
11. An ninh vật lý và môi trường
11.2.7 Xử lý hoặc tái sử dụng thiết bị một cách an toàn
- Yêu cầu xác nhận rằng nhà cung cấp dịch vụ đám mây có các chính sách và thủ tục để xử lý hoặc tái sử dụng tài nguyên một cách an toàn.
12. An ninh VẬn hành
12.1.2 Quản lý thay đổi
- Xem xét đến tác động của bất kỳ thay đổi nào do nhà cung cấp dịch vụ đám mây thực hiện.
12.1.3 quản lý năng lực
- Đảm bảo năng lực đã thỏa thuận được cung cấp bởi dịch vụ đám mây đáp ứng được các yêu cầu của KH - Giám sát cách sử dụng của dịch vụ đám mây và dự tính nhu cầu cần thiết của họ để đảm bảo hiệu suất của dịch vụ đám mây theo thời gian.
12.3.1 Sao lưu thông tin
- Yêu cầu cụ thể đối với khả năng sao lưu của nhà cung cấp và xác mình mức độ đáp ứng yêu cầu sao lưu - Khách hàng có trách nhiệm về việc triển khai các khả năng sao lưu khi nhà cung cấp dịch vụ không cung cấp cho họ.
12.4.1 Nhật ký sự kiện
- Xác định các yêu cầu của họ đối với việc ghi nhật ký sự kiện và xác minh xem rằng dịch vụ đám mây có đáp ứng được các yêu cầu đó không.
12.4.3 Nhật ký quản trị và vận hành
- Nếu một hoạt động đặc quyền được ủy quyền cho khách hàng sử dụng dịch vụ đám mây thì hoạt động và hiệu suất của hoạt động đó phải được ghi lại. - Khách hàng phải xác định các khả năng ghi nhật ký được cung cấp bởi nhà cung cấp dịch vụ có phù hợp hay không hoặc khách hàng dịch vụ đám mây có nên triển khai bổ sung các khả năng ghi nhật ký hay không.
12.4.4 Đồng bộ hóa đồng hồ
- Yêu cầu thông tin về đồng bộ hóa đồng hồ được sử dụng cho các hệ thống của nhà cung cấp dịch vụ.
12.6.1 Quản lý lỗ hổng kỹ thuật
- Yêu cầu nhà cung cấp dịch vụ cung cấp thông tin về các lỗ hổng kỹ thuật có thể ảnh hưởng tới dịch vụ đám mây đang sử dụng. - Khách hàng phải xác định các lỗ hổng kỹ thuật mà họ chịu trách nhiệm với một quy trình rõ ràng để quản lý chúng.
13. An toàn thông tin liên lạc
13.1.3 Sự riêng biệt trong các mạng
- Xác định mức độ đáp ứng yêu cầu của NCC về phân tách mạng cho từng khách hàng trong môi trường dùng chung của điện toán đám mây
14. Mua lại, phát triển và bảo trì hệ thống
14.2.1 Chính sách phát triển an toàn
- Khách hàng sử dụng dịch vụ nên yêu cầu thông tin từ nhà cung cấp dịch vụ đám mây về các thủ tục và quy trình phát triển an toàn của nhà cung cấp.
14.1.1 Phân tích và đặc tả các yêu cầu về an toàn thông tin
- Xác định các yêu cầu của họ về vấn đề an toàn thông tin và đánh giá mức độ đáp ứng của dịch vụ đám mây được cung cấp. - Yêu cầu thông tin về khả năng bảo mật thông tin từ nhà cung cấp.
15. Các mối quan hệ với nhà cung cấp
15.1.1 Chính sách an toàn thông tin cho mối quan hệ nhà cung cấp
- Trong mối quan hệ giữa khách hàng và nhà cung cấp thì nhà cung cấp dịch vụ đám mây được xem là nhà cung cấp theo yêu cầu của chính sách an toàn thông tin. Điều này giúp giảm thiểu những rủi ro liên quan đến truy cập và quản lý dữ liệu khách hàng.
Khách hàng sử dụng dịch vụ phải xác định các vai trò và trách nhiệm an toàn thông tin liên quan đến dịch vụ , như đã mô tả trong thỏa thuận. Điều đó có thể bao gồm các quy trình sau: - Phòng chống mã độc.
- Sao lưu.
- Kiểm soát mã hóa.
- Quản lý sự cố.
- Quản lý tuân thủ kỹ thuật.
- Bảo mật thông tin.
- Kiểm toán.
- Thu thập, duy trì và bảo vệ bằng chứng bao gồm nhật ký và dấu vết kiểm toán.
- Bảo vệ thông tin khi chấm dứt hợp đồng dịch vụ.
- Kiểm soát xác thực và truy cập.
- Quản lý định danh và truy cập.
15.1.2 Giải quyết vấn đề bảo mật trong thỏa thuận với nhà cung cấp
16. Quản lý sự cố an toàn thông tin
16.1.1 Trách nhiệm và các thủ tục
- Xác định được sự phân chia trách nhiệm quản lý sự cố an toàn thông tin và đảm bảo sự phân chia đó đáp ứng được các yêu cầu của họ.
16.1.2 Báo cáo các sự kiện an toàn thông tin
Khách hàng sử dụng dịch vụ nên yêu cầu thông tin từ nhà cung cấp dịch vụ đám mây về các quy trình để: - Khách hàng sử dụng dịch vụ báo cáo một sự kiện an toàn thông tin đã được phát hiện tới nhà cung cấp dịch vụ. - Nhà cung cấp dịch vụ nhận báo cáo về một sự kiện an toàn thông tin được phát hiện bởi nhà cung cấp dịch vụ. - Khách hàng sử dụng dịch vụ theo dõi trạng thái của một sự kiện an toàn thông tin được báo cáo.
16.1.7 Thu thập bằng chứng
- Khách hàng sử dụng dịch vụ và nhà cung cấp nên thỏa thuận các phương pháp để đáp ứng các yêu cầu về khả năng thu thập bằng chứng hoặc thông tin từ trong môi trường điện toán đám mây.
18. Sự tuân thủ
18.1.1 Xác định các luật và yêu cầu hợp đồng hiện hành
- Khách hàng sử dụng dịch vụ nên xem xét các luật và quy định liên quan có thể là luật và quy định của các khu vực pháp lý quản lý nhà cung cấp dịch vụ đám mây. - Khách hàng nên yêu cầu bằng chứng của nhà cung cấp dịch vụ tuân thủ các quy định và tiêu chuẩn liên quan cần thiết. - Bằng chứng có thể là chứng nhận được cấp thông qua đánh giá bởi bên thứ ba.
18.1.2 Quyền sở hữu trí tuệ
- Cài đặt phần mềm được cấp phép thương mại trong dịch vụ có thể gây ra vi phạm các điều khoản cấp phép cho phần mềm. Khách hàng sử dụng dịch vụ nên có một quy trình xác định các yêu cầu cấp phép dành riêng cho đám mây trước khi cho phép cài đặt bất kỳ phần mềm được cấp phép nào trong dịch vụ. - Cần chú ý đến tính co giãn của dịch vụ và phần mềm có thể được chạy trên nhiều hệ thống hoặc bộ vi xử lý hơn mức cho phép của điều khoản cấp phép.
18.1.3 Bảo vệ hồ sơ
- Yêu cầu cung cấp thông tin về việc bảo vệ các hồ sơ do nhà cung cấp dịch vụ tập hợp và lưu trữ có liên quan đến việc sử dụng dịch vụ.
18.1.5 Quy định về các kiểm soát mật mã
- Phải xác minh tập hợp các kiểm soát mật mã áp dụng kết hợp với các thỏa thuận, luật và quy định liên quan
18.2.1 Đánh giá độc lập về an toàn thông tin
- Yêu cầu lập thành văn bản bằng chứng : triển khai kiểm soát và hướng dẫn ATTT - Bằng chứng đó có thể bao gồm các chứng nhận dựa vào các tiêu chuẩn liên quan.
PHỤ LỤC A
Tập hợp kiểm soát được mở rộng của dịch vụ đám mây
CLD.6.3.1. Các vai trò và trách nhiệm được chia sẻ trong một môi trường điện toán đám mây
- Xác định hoặc mở rộng các chính sách và thủ tục hiện có của mình --> phù hợp với việc sử dụng dịch vụ - Nhận thức được vai trò và trách nhiệm của họ khi sử dụng dịch vụ đám mây.
CLD.8.1.5 Loại bỏ tài sản của khách hàng dịch vụ đám mây
- Yêu cầu mô tả bằng văn bản về việc chấm dứt quy trình dịch vụ: trả lại và xóa tài sản, xóa bản sao khỏi hệ thống NCC
CLD.9.5.2 Máy ảo tăng cường
- Chỉ các phương diện cần thiết được tăng cường (ví dụ: chỉ những cổng, giao thức và dịch vụ cần thiết) - Các biện pháp kỹ thuật phù hợp có hiệu quả (ví dụ: chống mã độc, ghi nhật ký) cho máy ảo được sử dụng.
CLD.12.1.5 An toàn quản trị vận hành
- Một sai sót cũng có thể gây ra thiệt hại không thể phục hồi được đối với tài sản - Lập thành văn bản các quy trình vận hành quan trọng
CLD.12.4.5 Giám sát các dịch vụ đám mây
Khách hàng sử dụng dịch vụ nên yêu cầu thông tin từ nhà cung cấp dịch vụ về khả năng giám sát sẵn sàng cho từng dịch vụ đám mây.
Thanks
cảm ơn mọi người đã lắng nghe!!
INFOGRAPHIC PRESENTATION
Nam Đinh
Created on July 5, 2022
Start designing with a free template
Discover more than 1500 professional designs like these:
View
Terrazzo Presentation
View
Visual Presentation
View
Relaxing Presentation
View
Modern Presentation
View
Colorful Presentation
View
Modular Structure Presentation
View
Chromatic Presentation
Explore all templates
Transcript
BS ISO/IEC 27017:2015
CÔNG BỐ TIÊU CHUẨN BSI
Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc thực hành về kiểm soát an toàn thông tin dựa trên ISO / IEC 27002 cho các dịch vụ đám mây
Making excellence a habit
1. Tổng quan
• Cung cấp khuôn khổ kiểm soát an ninh và hướng dẫn thực hiện cho cả khách hàng và nhà cung cấp dịch vụ đám mây:
- Hướng dẫn hỗ trợ việc thực hiện các kiểm soát an toàn thông tin - Hướng dẫn quản lý rủi ro an toàn thông tin bao gồm lời khuyên về đánh giá rủi ro, xử lý rủi ro, chấp nhận rủi ro, truyền thông rủi ro, giám sát rủi ro và xem xét rủi ro - Lựa chọn các biện pháp kiểm soát thích hợp và việc áp dụng hướng dẫn sẽ phụ thuộc vào việc đánh giá rủi ro, các yêu cầu pháp lý, hợp đồng hoặc quy định
Mục lục
12. An toàn vận
5. CHÍNH SÁCh bảo mật thông tin
13. An toàn thông tin liên lạc
6. Tổ chức bảo mật thông tin
7. An ninh nguồn nhân lực
14. mua lại phát triển và bảo trì hệ
15. các mối quan hệ với nhà cung cấp
8. Quản lý tài sản
16. quản lý sự cố an toàn thông
9. kiểm soát truy cập
18. sự tuân thủ
10. Mã hóa
11. An ninh vật lý và môi trường
5. Chính sách bảo mật thông tin
- Phải phù hợp với mức độ chấp nhận rủi ro an toàn thông tin đối với thông tin và các tài sản khác của tổ chức.Xác định chính sách dựa theo:- Thông tin được lưu trữ có thể được nhà cung cấp dịch vụ đám mây truy cập và quản lý. - Tài sản được duy trì, ví dụ: các chương trình ứng dụng.- Quy trình có thể chạy trên dịch vụ. - Người dùng cá nhân. - Quản trị viên được chỉ định đặc quyền truy cập - Vị trí địa lý lưu trữ dữ liệu khách hàng.
5.1.1 các chính sách về an toàn thông tin
6. TỔ chức bảo mật thông tin
6.1.1 Các vai trò và trách Nhiệm an toàn thông tin
- Có sự phân chia khác nhau về vai trò + trách nhiệm giữa khách hàng và nhà cung cấp.- Hai bên cần có những thỏa thuận rõ ràng và lập thành văn bản cho từng loại dịch vụ. - Ban quản lý cần phê duyệt việc phân công các vai trò và trách nhiệm cụ thể về ATTT
6.1.3 Liên hệ với các cơ quan CHỨc năng
- Xác định các cơ quan giám sát có thẩm quyền liên quan. (bao gồm cả liên hệ với nha cung cấp và các cơ quan pháp lý có liên quan vd A005, Cơ quan an ninh mạng)- Xác định vị trí lưu trữ dữ liệu và thông tin lưu trữ. tuân thủ luân ATTT của nơi (ví dụ nơi đặt trụ sở
7. An ninh nguồn nhân lực
7.2.2 nhận thức ,giáo dục và đào tạo về an toàn thông tin
- Nâng cao nhận thức về chính sách, các tiêu chuẩn và qui trình sử dụng dịch vụ; rủi ro an toàn thông tin và cách xử lý; rủi ro hệ thống và môi trường mạng.- Yêu cầu cung cấp các hướng dẫn liên quan, các biện pháp phòng ngừa và địa chỉ liên hệ liên quan đến sử dụng dịch vụ. - Nhận thức, giáo dục và đào tạo về an toàn thông tin cần được cung cấp cho các nhà quản lý giám sát và các đơn vị kinh doanh của tổ chức. - Chia sẻ và trao đổi thông tin về việc sử dụng dịch vụ đám mây.
8. quản lý tài sản
8.1.1 kiểm kê tài sản
- Bản kiểm kê tài sản bao gồm cả thông tin và các tài sản liên quan được lưu trữ: thông tin kinh doanh, thiết bị ảo hóa, phần mềm....- Hồ sơ kiểm kê chỉ ra nơi quản lý tài sản.
8.1.2 Ghi nhãn thông tin
- Phải gắn nhãn cho thông tin và các tài sản liên quan phù hợp với quy trình dán nhãn.
9. kiểm soát truy cập
9.1.2 Truy cập tới các mạng và dịch vụ mạng
- Xác định được yêu cầu của người dùng tới từng dịch vụ.
9.2.3 quản lý các quyền truy cập ĐẶC quyền
- Sử dụng các kĩ thuật xác thực đầy đủ, ví dụ như: xác thực đa yếu tố để xác thực năng lực của quản trị viên đối với các rủi ro được xác định.
9.2.4 Quản LÝ, xác THỰC thông tin bí mật Của người dùng
- Xác định quy trình quản lý thông tin xác thực, bảo mật của nhà cung cấp có đáp ứng được các yêu cầu của họ hay không (chẳng hạn như quy trình cung cấp mật khẩu).
9.4.1 hẠn chế truy cập thôngtin
- Hạn chế và phù hợp với chính sách quản lý truy cập. - Bao gồm hạn chế truy cập tới dịch vụ các chức năng và dữ liệu khách hàng.
9.4.4 sử dụng các chương trình tiện ích đặc quyền
- Xác định và đảm bảo các chương trình tiện ích đặc quyền không được can thiệp vào những kiểm soát của dịch vụ đám mây.
10. Mã hóa
10.1.1 Chính sách sử dụng của các kiểm soát mật mã
- Kiểm soát mật mã nếu có rủi ro được phát hiện (bằng hoạt động phân tích rủi ro). Các kiểm soát phải đủ mạnh để giảm thiểu các rủi ro được xác định. - Xác minh xem các khả năng mã hóa: + Đáp ứng được các yêu cầu của khách hàng. + Tương thích với bất kỳ biện pháp bảo vệ mật mã nào khác được sử dụng bởi khách hàng. + Áp dụng được cho dữ liệu nghỉ và dữ liệu đang chuyển động trong dịch vụ.
- Xác định các khóa mã hóa cho mỗi dịch vụ và triển khai các thủ tục quản lý khóa. - Cung cấp chức năng quản lý khóa nên yêu cầu những thông tin để quản lý các khóa liên quan đến dịch vụ: + Loại khóa. + Hệ thống quản lý khóa cụ thể: cấp phát, thay đổi hoặc cập nhật, lưu trữ, thu hồi, truy xuất, duy trì và phá hủy. + Các thủ tục quản lý khóa được đề xuất sử dụng bởi khách hàng. - Khách hàng không nên cho phép nhà cung cấp lưu trữ và quản lý khóa mã hóa cho các hoạt động mật mã
10.1.2 Quản lý khóa
11. An ninh vật lý và môi trường
11.2.7 Xử lý hoặc tái sử dụng thiết bị một cách an toàn
- Yêu cầu xác nhận rằng nhà cung cấp dịch vụ đám mây có các chính sách và thủ tục để xử lý hoặc tái sử dụng tài nguyên một cách an toàn.
12. An ninh VẬn hành
12.1.2 Quản lý thay đổi
- Xem xét đến tác động của bất kỳ thay đổi nào do nhà cung cấp dịch vụ đám mây thực hiện.
12.1.3 quản lý năng lực
- Đảm bảo năng lực đã thỏa thuận được cung cấp bởi dịch vụ đám mây đáp ứng được các yêu cầu của KH - Giám sát cách sử dụng của dịch vụ đám mây và dự tính nhu cầu cần thiết của họ để đảm bảo hiệu suất của dịch vụ đám mây theo thời gian.
12.3.1 Sao lưu thông tin
- Yêu cầu cụ thể đối với khả năng sao lưu của nhà cung cấp và xác mình mức độ đáp ứng yêu cầu sao lưu - Khách hàng có trách nhiệm về việc triển khai các khả năng sao lưu khi nhà cung cấp dịch vụ không cung cấp cho họ.
12.4.1 Nhật ký sự kiện
- Xác định các yêu cầu của họ đối với việc ghi nhật ký sự kiện và xác minh xem rằng dịch vụ đám mây có đáp ứng được các yêu cầu đó không.
12.4.3 Nhật ký quản trị và vận hành
- Nếu một hoạt động đặc quyền được ủy quyền cho khách hàng sử dụng dịch vụ đám mây thì hoạt động và hiệu suất của hoạt động đó phải được ghi lại. - Khách hàng phải xác định các khả năng ghi nhật ký được cung cấp bởi nhà cung cấp dịch vụ có phù hợp hay không hoặc khách hàng dịch vụ đám mây có nên triển khai bổ sung các khả năng ghi nhật ký hay không.
12.4.4 Đồng bộ hóa đồng hồ
- Yêu cầu thông tin về đồng bộ hóa đồng hồ được sử dụng cho các hệ thống của nhà cung cấp dịch vụ.
12.6.1 Quản lý lỗ hổng kỹ thuật
- Yêu cầu nhà cung cấp dịch vụ cung cấp thông tin về các lỗ hổng kỹ thuật có thể ảnh hưởng tới dịch vụ đám mây đang sử dụng. - Khách hàng phải xác định các lỗ hổng kỹ thuật mà họ chịu trách nhiệm với một quy trình rõ ràng để quản lý chúng.
13. An toàn thông tin liên lạc
13.1.3 Sự riêng biệt trong các mạng
- Xác định mức độ đáp ứng yêu cầu của NCC về phân tách mạng cho từng khách hàng trong môi trường dùng chung của điện toán đám mây
14. Mua lại, phát triển và bảo trì hệ thống
14.2.1 Chính sách phát triển an toàn
- Khách hàng sử dụng dịch vụ nên yêu cầu thông tin từ nhà cung cấp dịch vụ đám mây về các thủ tục và quy trình phát triển an toàn của nhà cung cấp.
14.1.1 Phân tích và đặc tả các yêu cầu về an toàn thông tin
- Xác định các yêu cầu của họ về vấn đề an toàn thông tin và đánh giá mức độ đáp ứng của dịch vụ đám mây được cung cấp. - Yêu cầu thông tin về khả năng bảo mật thông tin từ nhà cung cấp.
15. Các mối quan hệ với nhà cung cấp
15.1.1 Chính sách an toàn thông tin cho mối quan hệ nhà cung cấp
- Trong mối quan hệ giữa khách hàng và nhà cung cấp thì nhà cung cấp dịch vụ đám mây được xem là nhà cung cấp theo yêu cầu của chính sách an toàn thông tin. Điều này giúp giảm thiểu những rủi ro liên quan đến truy cập và quản lý dữ liệu khách hàng.
Khách hàng sử dụng dịch vụ phải xác định các vai trò và trách nhiệm an toàn thông tin liên quan đến dịch vụ , như đã mô tả trong thỏa thuận. Điều đó có thể bao gồm các quy trình sau: - Phòng chống mã độc. - Sao lưu. - Kiểm soát mã hóa. - Quản lý sự cố. - Quản lý tuân thủ kỹ thuật. - Bảo mật thông tin. - Kiểm toán. - Thu thập, duy trì và bảo vệ bằng chứng bao gồm nhật ký và dấu vết kiểm toán. - Bảo vệ thông tin khi chấm dứt hợp đồng dịch vụ. - Kiểm soát xác thực và truy cập. - Quản lý định danh và truy cập.
15.1.2 Giải quyết vấn đề bảo mật trong thỏa thuận với nhà cung cấp
16. Quản lý sự cố an toàn thông tin
16.1.1 Trách nhiệm và các thủ tục
- Xác định được sự phân chia trách nhiệm quản lý sự cố an toàn thông tin và đảm bảo sự phân chia đó đáp ứng được các yêu cầu của họ.
16.1.2 Báo cáo các sự kiện an toàn thông tin
Khách hàng sử dụng dịch vụ nên yêu cầu thông tin từ nhà cung cấp dịch vụ đám mây về các quy trình để: - Khách hàng sử dụng dịch vụ báo cáo một sự kiện an toàn thông tin đã được phát hiện tới nhà cung cấp dịch vụ. - Nhà cung cấp dịch vụ nhận báo cáo về một sự kiện an toàn thông tin được phát hiện bởi nhà cung cấp dịch vụ. - Khách hàng sử dụng dịch vụ theo dõi trạng thái của một sự kiện an toàn thông tin được báo cáo.
16.1.7 Thu thập bằng chứng
- Khách hàng sử dụng dịch vụ và nhà cung cấp nên thỏa thuận các phương pháp để đáp ứng các yêu cầu về khả năng thu thập bằng chứng hoặc thông tin từ trong môi trường điện toán đám mây.
18. Sự tuân thủ
18.1.1 Xác định các luật và yêu cầu hợp đồng hiện hành
- Khách hàng sử dụng dịch vụ nên xem xét các luật và quy định liên quan có thể là luật và quy định của các khu vực pháp lý quản lý nhà cung cấp dịch vụ đám mây. - Khách hàng nên yêu cầu bằng chứng của nhà cung cấp dịch vụ tuân thủ các quy định và tiêu chuẩn liên quan cần thiết. - Bằng chứng có thể là chứng nhận được cấp thông qua đánh giá bởi bên thứ ba.
18.1.2 Quyền sở hữu trí tuệ
- Cài đặt phần mềm được cấp phép thương mại trong dịch vụ có thể gây ra vi phạm các điều khoản cấp phép cho phần mềm. Khách hàng sử dụng dịch vụ nên có một quy trình xác định các yêu cầu cấp phép dành riêng cho đám mây trước khi cho phép cài đặt bất kỳ phần mềm được cấp phép nào trong dịch vụ. - Cần chú ý đến tính co giãn của dịch vụ và phần mềm có thể được chạy trên nhiều hệ thống hoặc bộ vi xử lý hơn mức cho phép của điều khoản cấp phép.
18.1.3 Bảo vệ hồ sơ
- Yêu cầu cung cấp thông tin về việc bảo vệ các hồ sơ do nhà cung cấp dịch vụ tập hợp và lưu trữ có liên quan đến việc sử dụng dịch vụ.
18.1.5 Quy định về các kiểm soát mật mã
- Phải xác minh tập hợp các kiểm soát mật mã áp dụng kết hợp với các thỏa thuận, luật và quy định liên quan
18.2.1 Đánh giá độc lập về an toàn thông tin
- Yêu cầu lập thành văn bản bằng chứng : triển khai kiểm soát và hướng dẫn ATTT - Bằng chứng đó có thể bao gồm các chứng nhận dựa vào các tiêu chuẩn liên quan.
PHỤ LỤC A Tập hợp kiểm soát được mở rộng của dịch vụ đám mây
CLD.6.3.1. Các vai trò và trách nhiệm được chia sẻ trong một môi trường điện toán đám mây
- Xác định hoặc mở rộng các chính sách và thủ tục hiện có của mình --> phù hợp với việc sử dụng dịch vụ - Nhận thức được vai trò và trách nhiệm của họ khi sử dụng dịch vụ đám mây.
CLD.8.1.5 Loại bỏ tài sản của khách hàng dịch vụ đám mây
- Yêu cầu mô tả bằng văn bản về việc chấm dứt quy trình dịch vụ: trả lại và xóa tài sản, xóa bản sao khỏi hệ thống NCC
CLD.9.5.2 Máy ảo tăng cường
- Chỉ các phương diện cần thiết được tăng cường (ví dụ: chỉ những cổng, giao thức và dịch vụ cần thiết) - Các biện pháp kỹ thuật phù hợp có hiệu quả (ví dụ: chống mã độc, ghi nhật ký) cho máy ảo được sử dụng.
CLD.12.1.5 An toàn quản trị vận hành
- Một sai sót cũng có thể gây ra thiệt hại không thể phục hồi được đối với tài sản - Lập thành văn bản các quy trình vận hành quan trọng
CLD.12.4.5 Giám sát các dịch vụ đám mây
Khách hàng sử dụng dịch vụ nên yêu cầu thông tin từ nhà cung cấp dịch vụ về khả năng giám sát sẵn sàng cho từng dịch vụ đám mây.
Thanks
cảm ơn mọi người đã lắng nghe!!