Tổng quan

Tiêu chuẩn ISO / IEC 27036-4: 2016

Giới thiệu

Tài liệu này cung cấp hướng dẫn về bảo mật thông tin cho khách hàng sử dụng dịch vụ đám mây và nhà cung cấp dịch vụ đám mây. Ứng dụng của nó sẽ dẫn đến

- Tăng cường hiểu biết và định nghĩa về bảo mật thông tin trong các dịch vụ đám mây
- Khách hàng tăng cường hiểu biết về các rủi ro liên quan đến dịch vụ đám mây để nâng cao đặc điểm kỹ thuật của các yêu cầu bảo mật thông tin
- Tăng khả năng của các nhà cung cấp dịch vụ đám mây để cung cấp sự đảm bảo cho khách hàng rằng họ đã xác định được rủi ro trong (các) dịch vụ của họ và chuỗi cung ứng liên quan và đã thực hiện các biện pháp để quản lý những rủi ro đó.

Tài liệu này nhằm mục đích được sử dụng bởi tất cả các loại tổ chức có được hoặc cung cấp dịch vụ đám mây. Tài liệu này chủ yếu dành cho chủ sở hữu rủi ro trong các khách hàng sử dụng dịch vụ đám mây, những người cuối cùng chấp nhận sử dụng dịch vụ đám mây và cá nhân chịu trách nhiệm về dịch vụ đám mây do nhà cung cấp dịch vụ đám mây cung cấp. Hướng dẫn chủ yếu tập trung vào liên kết ban đầu của khách hàng dịch vụ đám mây đầu tiên và nhà cung cấp dịch vụ đám mây, nhưng các bước chính cần được áp dụng trong toàn bộ chuỗi cung ứng, bắt đầu từ khi nhà cung cấp dịch vụ đám mây đầu tiên thay đổi vai trò của mình thành khách hàng dịch vụ đám mây và như vậy trên. Cách thức mà sự thay đổi vai trò này được lặp lại và cách thức lặp lại các bước tương tự cho mỗi liên kết nhà cung cấp dịch vụ đám mây-khách hàng dịch vụ đám mây mới trong chuỗi là trọng tâm của tài liệu này. Bằng cách thực hiện theo hướng dẫn trong tài liệu này, có thể có một mối liên kết liền mạch của các ưu tiên bảo mật thông tin có thể nhìn thấy được trên toàn bộ chuỗi cung ứng.

Mối quan tâm về bảo mật thông tin liên quan đến các mối quan hệ với nhà cung cấp bao gồm một loạt các tình huống. Các tổ chức muốn nâng cao lòng tin trong việc cung cấp dịch vụ đám mây của họ nên xác định ranh giới tin cậy của họ, đánh giá rủi ro liên quan đến các hoạt động chuỗi cung ứng của họ, sau đó xác định và triển khai các kỹ thuật xác định và giảm thiểu rủi ro thích hợp để giảm nguy cơ lỗ hổng được đưa vào thông qua dịch vụ đám mây của họ cung cấp chuỗi cung ứng. Mối quan tâm về bảo mật thông tin liên quan đến các mối quan hệ với nhà cung cấp bao gồm một loạt các tình huống. Các tổ chức muốn nâng cao lòng tin trong việc cung cấp dịch vụ đám mây của họ nên xác định ranh giới tin cậy của họ, đánh giá rủi ro liên quan đến các hoạt động chuỗi cung ứng của họ, sau đó xác định và triển khai các kỹ thuật xác định và giảm thiểu rủi ro thích hợp để giảm nguy cơ lỗ hổng được đưa vào thông qua dịch vụ đám mây của họ cung cấp chuỗi cung ứng. Mối quan tâm về bảo mật thông tin liên quan đến các mối quan hệ với nhà cung cấp bao gồm một loạt các tình huống. Các tổ chức muốn nâng cao lòng tin trong việc cung cấp dịch vụ đám mây của họ nên xác định ranh giới tin cậy của họ, đánh giá rủi ro liên quan đến các hoạt động chuỗi cung ứng của họ, sau đó xác định và triển khai các kỹ thuật xác định và giảm thiểu rủi ro thích hợp để giảm nguy cơ lỗ hổng được đưa vào thông qua dịch vụ đám mây của họ cung cấp chuỗi cung ứng.

Khung và kiểm soát ISO / IEC 27001 và ISO / IEC 27002 cung cấp một điểm khởi đầu hữu ích để xác định các yêu cầu thích hợp cho khách hàng và nhà cung cấp. ISO / IEC 27017 và ISO / IEC 27018 cung cấp hướng dẫn về cách khách hàng sử dụng dịch vụ đám mây và nhà cung cấp dịch vụ đám mây có thể triển khai, quản lý và vận hành bảo mật thông tin cho dịch vụ đám mây. ISO / IEC 27036 (tất cả các phần) cung cấp thêm chi tiết về các yêu cầu cụ thể được sử dụng để thiết lập và giám sát an toàn thông tin trong các mối quan hệ với nhà cung cấp. Tài liệu này dựa trên tiền đề rằng một khách hàng sử dụng dịch vụ đám mây đã áp dụng bảo mật thông tin chung theo hệ thống quản lý an ninh thông tin (ISMS) ( ISO / IEC 27001). Do đó, phần lớn nội dung tập trung vào nhà cung cấp dịch vụ đám mây và phụ thuộc vào loại khả năng, loại dịch vụ và mô hình triển khai của dịch vụ đám mây thực tế.

Thông thường, các dịch vụ đám mây được mua “nguyên trạng”; khách hàng sử dụng dịch vụ đám mây không có khả năng chỉ định hoặc yêu cầu thay đổi đối với dịch vụ đám mây đang được mua. Tuy nhiên, trong một số trường hợp nhất định, khách hàng có khả năng chỉ định dịch vụ và chi tiết của dịch vụ đó, bao gồm cả các thỏa thuận bảo mật thông tin theo yêu cầu của nhà cung cấp. ISO / IEC 27036 được viết để đề cập đến cả hai trường hợp này. Tài liệu này được viết để đề cập đến vấn đề đầu tiên trong số các trường hợp này và đề cập đến ISO / IEC 27036-1, ISO / IEC 27036-2 và ISO / IEC 27036-3 đối với các trường hợp khi các thỏa thuận an ninh có thể được chỉ định.

Đối với khách hàng sử dụng dịch vụ đám mây, điều này có nghĩa là khi đọc tài liệu này, cần lưu ý rằng nó chỉ giải quyết các quy trình và kiểm soát bảo mật dành riêng cho dịch vụ đám mây là gì. Giả định rằng tất cả các quy trình bảo mật thông tin chung khác và các biện pháp kiểm soát cần thiết cho tổ chức khách hàng sử dụng dịch vụ đám mây đều được áp dụng để xử lý bảo mật thông tin trong dịch vụ đám mây đang hoặc đang được sử dụng. Các quy trình và kiểm soát an toàn thông tin chung được tìm thấy trong các tiêu chuẩn ISO / IEC khác và cụ thể là ISO / IEC 27036-1, ISO / IEC 27036-2 , ISO / IEC 27036-3 , ISO / IEC 27017 và ISO / IEC 27018 .

1 Phạm vi

Tài liệu này cung cấp cho khách hàng dịch vụ đám mây và nhà cung cấp dịch vụ đám mây hướng dẫn về

a) Có được tầm nhìn về các rủi ro bảo mật thông tin liên quan đến việc sử dụng các dịch vụ đám mây và quản lý những rủi ro đó một cách hiệu quả
b) Ứng phó với các rủi ro cụ thể đối với việc mua lại hoặc cung cấp các dịch vụ đám mây có thể có tác động đến bảo mật thông tin đối với các tổ chức sử dụng các dịch vụ này.

Tài liệu này không bao gồm các vấn đề về quản lý tính liên tục / khả năng phục hồi của doanh nghiệp liên quan đến dịch vụ đám mây. ISO / IEC 27031 đề cập đến tính liên tục trong kinh doanh.

Tài liệu này không cung cấp hướng dẫn về cách một nhà cung cấp dịch vụ đám mây nên triển khai, quản lý và vận hành bảo mật thông tin. Hướng dẫn về những điều đó có thể được tìm thấy trong ISO / IEC 27002 và ISO / IEC 27017 .

Phạm vi của tài liệu này là xác định các hướng dẫn hỗ trợ việc thực hiện quản lý an toàn thông tin cho việc sử dụng các dịch vụ đám mây.

2 Tài liệu tham khảo

Các tài liệu sau đây được đề cập đến trong văn bản theo cách mà một số hoặc tất cả nội dung của chúng tạo thành các yêu cầu của tài liệu này. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được tham chiếu (bao gồm mọi sửa đổi) sẽ được áp dụng.

• ISO / IEC 17788 | ITU-T Rec. Y.3500 Công nghệ thông tin - Điện toán đám mây - Tổng quan và từ vựng
• ISO / IEC 27017 | ITU-T Rec. X.1631 Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc thực hành về kiểm soát an toàn thông tin dựa trên ISO / IEC 27002 cho các dịch vụ đám mây
• ISO / IEC 27036-1 Công nghệ thông tin - Kỹ thuật bảo mật - An toàn thông tin trong mối quan hệ với nhà cung cấp - Phần 1: Tổng quan và khái niệm
• ISO / IEC 27036-2 Công nghệ thông tin - Kỹ thuật bảo mật - An toàn thông tin trong mối quan hệ với nhà cung cấp - Phần 2: Yêu cầu
• ISO / IEC 27036-3 Công nghệ thông tin - Kỹ thuật bảo mật - An toàn thông tin trong mối quan hệ với nhà cung cấp - Phần 3: Hướng dẫn về bảo mật chuỗi cung ứng công nghệ thông tin và truyền thông

Xem Preview Tiêu chuẩn ISO / IEC 27036-4: 2016

Download tài liệu miễn phí tại đây!

Để xem được bản full, quý khách có thể đăng ký mua bản full tiêu chuẩn ngay thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và dễ nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây.