ISO27001-2022程序文件之云服務(wù)安全管理程序

云服務(wù)安全管理程序###-ISMS-0316-20231目的：為強(qiáng)化云平臺(tái)服務(wù)的安全管理，切實(shí)保障企業(yè)云平臺(tái)安全穩(wěn)定運(yùn)行，提高其使用效益，特制定本辦法。2適用范圍：適用于公司內(nèi)部配置及其外部購(gòu)買的所有云平臺(tái)服務(wù)。云資源，含云主機(jī)、云數(shù)據(jù)庫(kù)、云存儲(chǔ)、云網(wǎng)絡(luò)、云安全等3管理職責(zé)：信息部：負(fù)責(zé)基于公司云平臺(tái)進(jìn)行企業(yè)信息系統(tǒng)部署、管理維護(hù)等管理活動(dòng)；負(fù)責(zé)負(fù)責(zé)公司云平臺(tái)的安全管理，支撐上云信息系統(tǒng)和數(shù)據(jù)資源進(jìn)行安全管理。4管理辦法：4.1安全要求4.1.1應(yīng)建立公司云平臺(tái)安全管理機(jī)制，針對(duì)企業(yè)自身配置的云平臺(tái)，定期開展網(wǎng)絡(luò)安全等級(jí)保護(hù)評(píng)測(cè)，針對(duì)外購(gòu)云平臺(tái)，必須選購(gòu)國(guó)內(nèi)主要云平臺(tái)或者運(yùn)營(yíng)商的云平臺(tái)。4.1.2應(yīng)定期對(duì)云平進(jìn)行風(fēng)險(xiǎn)評(píng)估，定期進(jìn)行平臺(tái)巡檢、日志審計(jì)、數(shù)據(jù)備份等，定期查看安全運(yùn)行報(bào)告。4.2安全控制公司通過(guò)云服務(wù)申請(qǐng)、巡檢、安全、資源、操作管理等確保云服務(wù)的信息安全。4.2.1云服務(wù)申請(qǐng)使用部門要申請(qǐng)?jiān)品?wù)資源時(shí)，一般進(jìn)行內(nèi)部前置評(píng)審，提交使用申請(qǐng)，經(jīng)相關(guān)部門會(huì)簽之后，由信息安全管理者代表審批后才能夠由云服務(wù)主管部門開通云服務(wù)資源。涉及信息系統(tǒng)的部署，需通過(guò)開通測(cè)試資源，進(jìn)行入云信息系統(tǒng)的測(cè)試和部署，使用部門對(duì)測(cè)試結(jié)果進(jìn)行調(diào)整，通過(guò)后，正式部署上線4.2.2云平臺(tái)巡檢云平臺(tái)主管部門定期巡檢云資源使用情況、操作情況等日志記錄及審計(jì)服務(wù)，定期向使用單位提供監(jiān)測(cè)報(bào)表與報(bào)告，每年需向公司提交云平臺(tái)的監(jiān)測(cè)報(bào)告。4.2.3安全管理使用單位應(yīng)加強(qiáng)入云信息系統(tǒng)自身的安全管理，至少包括：建立信息系統(tǒng)運(yùn)維和安全管理制度；信息系統(tǒng)日常運(yùn)行維護(hù)管理。例如：應(yīng)用開發(fā)、故障處理、配置變更、安全策略優(yōu)化、運(yùn)行監(jiān)控等；信息系統(tǒng)常規(guī)安全保障和監(jiān)控預(yù)警工作。例如：操作系統(tǒng)防病毒管理、滲透測(cè)試、漏洞掃描、源代碼審計(jì)、安全巡檢、應(yīng)急響應(yīng)等。當(dāng)云使用單位出現(xiàn)嚴(yán)重影響云平臺(tái)安全穩(wěn)定運(yùn)行的事件時(shí)，云服務(wù)主管部門可暫時(shí)中斷該部門的云服務(wù)并同步通知該部門和管理者代表，事件處理完畢后恢復(fù)服務(wù)。4.4資源管理云服務(wù)主管部門每月對(duì)使用部門《云服務(wù)資源表》進(jìn)行匯總，同時(shí)進(jìn)行資源變更或系統(tǒng)退出管理，使用涉及云服務(wù)資源不足時(shí)，進(jìn)行內(nèi)部增加ICT基礎(chǔ)設(shè)施的資源或外購(gòu)新的資源。4.5操作管理云平臺(tái)的信息安全事件應(yīng)急處置應(yīng)參照公司信息系統(tǒng)信息安全事件應(yīng)急管理相關(guān)規(guī)定。制定公司云平臺(tái)總體應(yīng)急預(yù)案，并做好預(yù)案修訂工作，定期組織應(yīng)急演練。重大活動(dòng)和突發(fā)事件期間，入云信息系統(tǒng)的運(yùn)行保障按信息系統(tǒng)應(yīng)急預(yù)案進(jìn)行處置。5記錄