GDS Digital Service Manual 中文翻譯網站 (beta)
by HPX-GOV 英國政府數位服務研究小組 GDS Study Group

雲端安全 (Cloud security)

安全使用第三方雲端服務

雲端優先

政府針對公共部門執行雲端優先的IT策略。該政策明示:

公家機關應該優先考慮與充分評估可能的雲端解決方案 – 在考慮其他任何選項之前

還有最重要的是:

這個原則是由中央政府力推並授權給其他更多的公家機關執行,但是各部門仍有權自由選擇其他取代雲端的方案,如果他們能夠證明這些方案更具經濟效益。

雲端安全原則

決定交給第三方來負責管理這些服務也帶來一連串新的資安挑戰。有鑑於此,英國國家資訊主管機關-資安技術顧問部門制定一套指導方針。

導言包含如何制定這套指導方針,以及如何用來建立雲端系統與供應者之間的互信。

這份指導方針首先列舉出14項原則,用來分析雲端基礎系統的安全性。

  1. 傳輸過程中的資料保護
  2. 資產保護與修復
  3. 消費者區隔
  4. 治理
  5. 維運安全
  6. 人員安全
  7. 安全發展
  8. 供應鏈安全
  9. 消費者管理安全
  10. 身份和身份驗證
  11. 外部介面保護
  12. 安全服務執行
  13. 消費者的稽核資訊條款
  14. 消費者使用服務安全

執行雲端安全原則

這份指導方針也包含上述每項原則的執行指南

  • 原則說明 – 它是什麼以及為何它是重要的
  • 許多執行目標 – 如何滿足這些原則
  • 為達執行目標可採取許多方法,連帶不同的剩餘風險

這份指導方針並未複製現行那些機構所制定的標準,而是盡可能地參考所有可用的資料,尤其是:

並非所有的原則都適用於所有服務

這份指導方針還包括如何與現有的的風險管理流程整合的各項建議。
這些建議強調:

哪些是相關的安全原則?

這14項原則不該視為適用任何情形的逐項確認清單。

延伸閱讀

譯者:劉盈秀
校稿者:
原始出處:https://www.gov.uk/service-manual/operations/cloud-security

請留言

你的email信箱不會被發布出來. Required fields are marked *

*