在雲端控制矩陣中的第五項「資訊安全」,它是整體雲端服務的管理重點,一共包含了34個控制措施。在這些控制措施之中,從高階管理階層的要求開始,同時也兼顧了技術面的安全要求,因此它能夠協助組織建立整體的資安管理架構,以強化所提供雲端服務的資訊安全,以下將說明第11至21個控制措施的要求和所對應ISO 27001標準的內容。
IS-11 資安教育訓練與宣導
從實務上來看,資訊安全的重點之一是要確保所有相關人員,都已具備足夠的安全知識來對抗可能的威脅,這個控制措施就是要求雲端服務應針對所有合約承包商、第三方的使用者和本身的員工,建立一項資訊安全教育訓練與宣導的計畫,尤其是針對有能力存取組織資料的人員,應要求其接受必要的安全訓練,並且定期地更新組織或職務有關的政策、程序及作業流程。
如果組織已導入ISO 27001標準,則可參照本文「5.2.2 訓練、認知及能力」之要求,確保和雲端服務有關的所有人員,都能接受適當的訓練以具備勝任其職務的必要能力,同時也要維持各項和教育訓練有關的記錄。
另外,在附錄「A.8.2.2 資訊安全認知、教育與訓練」也提到,組織應定期依照員工所擔負的不同職務,實施一般性或專業的資訊安全教育訓練,協助員工能夠針對可能的資安事件做出適當反應,並且可採取問卷或考試評量方式,以確認教育訓練的有效性。
IS-12 業界知識與基準評價
雲端服務是一項新興的熱門產業,許多有關資訊安全的做法,不見得在所有的組織都已一一地實踐,因此,有效取得業界相關的安全訊息就顯得十分重要。這個控制措施即是要求組織應透過業者之間的從業關係、專業的安全論壇,或是有許多專家參與的協會,取得業界有關雲端安全的知識與評價方式,確保雲端服務能夠滿足業界的基準與使用者的期待。
在實務方面,建議組織可以加入業界的雲端產業聯盟,並且選派適合的人員參與定期舉辦的研討會活動。在ISO 27001方面,則可參考附錄「A.6.1.7 與特殊利害相關團體的連繫」之要求,由於資訊安全的技術日新月異,所以組織需要經常聽取專家的意見,或是參與專業論壇以取得更新的資訊,盡可能與各種和資訊安全有關的利害團體、專家協會等,保持適當的連繫管道。
IS-13 資訊安全角色與責任
不同的雲端服務,將會有不同的人員牽涉其中,這個控制措施是要求包括合約承包商、員工及第三方的使用者,都要採取文件化方式,記錄和其相關的資訊資產和安全要求。
在「ISO 27001本文5.1(c)」中提到,管理階層應承諾建立資訊安全之各種角色與責任,另外,也可參考附錄「A.6.1.3 資訊安全責任的配置」,管理階層需要指定各部門主管和個人的安全責任,並且界定各項資產的保護與作業流程,唯有執掌角色的定義清楚,才能夠履行所賦予的各項任務。
還有附錄「A.8.1.1 角色與責任」中也要求以書面的方式,說明新進人員的資訊安全責任,例如告知所需遵守的組織資訊安全政策、個人資料保護法、智慧財產權等相關規範,以及資安事件發生時的通報方式等。
IS-14 管理階層之監督
針對管理階層的責任,部門主管或經理對於所負責區域有關的安全政策、作業程序及標準要求,應負起宣導和要求共同遵守的責任。
針對這項要求,ISO 27001本文「5.2.2 訓練、認知及能力」中提到,組織應確保被指定責任的管理人員,有能力去要求、評估工作人員足以履行其職務相關的各項工作,同時也要維持教育訓練、技能資格等之記錄。