HPX-GOV GDS Digital Service Manual 中文翻譯網站 (beta) by 英國政府數位服務策略研究小組 UK GDS Study Group
安全使用第三方雲端服務
雲端優先
政府針對公共部門執行雲端優先的IT策略。該政策明示:
公家機關應該優先考慮與充分評估可能的雲端解決方案 – 在考慮其他任何選項之前
還有最重要的是:
這個原則是由中央政府力推並授權給其他更多的公家機關執行,但是各部門仍有權自由選擇其他取代雲端的方案,如果他們能夠證明這些方案更具經濟效益。
雲端安全原則
決定交給第三方來負責管理這些服務也帶來一連串新的資安挑戰。有鑑於此,英國國家資訊主管機關-資安技術顧問部門制定一套指導方針。
導言包含如何制定這套指導方針,以及如何用來建立雲端系統與供應者之間的互信。
這份指導方針首先列舉出14項原則,用來分析雲端基礎系統的安全性。
- 傳輸過程中的資料保護
- 資產保護與修復
- 消費者區隔
- 治理
- 維運安全
- 人員安全
- 安全發展
- 供應鏈安全
- 消費者管理安全
- 身份和身份驗證
- 外部介面保護
- 安全服務執行
- 消費者的稽核資訊條款
- 消費者使用服務安全
執行雲端安全原則
這份指導方針也包含上述每項原則的執行指南
- 原則說明 – 它是什麼以及為何它是重要的
- 許多執行目標 – 如何滿足這些原則
- 為達執行目標可採取許多方法,連帶不同的剩餘風險
這份指導方針並未複製現行那些機構所制定的標準,而是盡可能地參考所有可用的資料,尤其是:
並非所有的原則都適用於所有服務
這份指導方針還包括如何與現有的的風險管理流程整合的各項建議。
這些建議強調:
哪些是相關的安全原則?
這14項原則不該視為適用任何情形的逐項確認清單。
延伸閱讀
譯者:劉盈秀
校稿者:
原始出處:https://www.gov.uk/service-manual/operations/cloud-security