面向云客户的SaaS治理最佳实践
面向云客户的SaaS治理最佳实践 SaaS工作组的官方永久地址https:/cloudsecurityalliance.org/ research/working-groups/saas-governance/2022云安全联盟大中华区-保留所有权利。本文档发布在云安全联盟大中华区官网( http:/www.c-),您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档:(a)本文只可作个人信息获取,不可用作商业用途;(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权声明或其他声明;(e)引用本报告内容时,请注明来源于云安全联盟。2022云安全联盟大中华区版权所有2 序言据 Statista预测,到 2022年全球企业服务 SaaS市场规模将超 1700亿美元,SaaS成了真正的“软件终结者”。国内 SaaS虽然起步较晚但也已经在 2019年进入了旺盛期,CRM、ERP、HCM、OA、财务、客服、电子签等垂直领域的 SaaS蓬勃发展。传统软件厂商也纷纷向 SaaS转型。尤其是新冠疫情爆发以来,很多企业不得不选择远程办公和使用线上 SaaS应用,疫情成为 SaaS发展强有力的助推剂。随着 SaaS的普及,企业软件的安全风险从传统软件转移到了 SaaS应用。企业的云安全治理范围也从原来的 IaaS基础设施层和 PaaS平台层延伸到了 SaaS应用层。因此,CSA在发布 CAST云应用安全可信标准与认证之后,又发布了面向云客户的 SaaS治理最佳实践(以下简称实践)白皮书,供 SaaS从业人员及相关的 IT或安全从业人员参考。实践充分关注到了 SaaS环境中的数据保护、SaaS生命周期的风险以及处置等内容。而且基于安全策略、安全组织、资产管理、访问控制、加密和密钥管理、安全运维、网络安全、供应商管理、事件管理、合规等多个安全控制域为业界提供一整套用于 SaaS治理的指南。实践围绕 SaaS治理中最核心的问题“确保谁在什么场景下、拥有什么样的权限、可以访问什么数据”,并从评估、采用、使用和终止四个阶段给出了具体措施和建设,同时针对日常应用场景进行了延伸的安全考量。随着数字化转型和数字经济发展浪潮的强势来袭,企业级 SaaS的需求量也在与日俱增。各行业也正在大力构建新的数字生产力,发挥数字协同效应,为企业发展提供新的动力。相信通过实践中提出的详尽而实用的治理指引,组织及相关从业人员能够掌握 SaaS治理的最佳方法和路线,提高 SaaS安全治理水平,合理管控 SaaS安全风险,切实保护 SaaS中的数据安全。李雨航 Yale LiCSA大中华区主席兼研究院院长2022云安全联盟大中华区版权所有3 致谢面向云客户的SaaS治理最佳实践(SaaS Governance Best Practices for Cloud Customers)由CSA软件SaaS工作组专家编写,CSA大中华区秘书处组织翻译并审校。中文版翻译专家(排名不分先后):组长:郭鹏程翻译组:陈强侯俊茆正华王永霞薛琨杨天识审校组:陈皓郭鹏程姚凯研究协调员:江瞿天感谢以下单位对本文档的支持与贡献:北京北森云计算股份有限公司上海派拉软件股份有限公司神州数码集团股份有限公司北京启明星辰信息安全技术有限公司深圳市魔方安全科技有限公司腾讯云计算(北京)有限责任公司英文版本编写专家完成项目领导: Chris HughesAnthony SmithTim BachMichael RozaWalter HaydockJames UnderwoodAndreas PeterAndrew LuhrmannAlistair CockeramSaan Vandendriessche完成贡献者: Bryan SolariSai HonigAmit KandpalOr EmanuelJessica Shouse审核: Jerich BeasonAbhishek VyasKapil BarejaPriya PandeyYao Sing TaoVani MurthyMichael RozaUdith Wickramasuriya最初的领导和贡献者: Akin AkinbosoyeMickey LawJ. R. SantosZeal SomaniPaul LanoisCSA全球员工: Shamun Mahmud在此感谢以上专家。如译文有不妥当之处,敬请读者联系CSA GCR秘书处给与雅正!联系邮箱:researchc-;国际云安全联盟CSA公众号。2022云安全联盟大中华区版权所有4 目录序言.3致谢.41.引言.71.1范围.71.2适宜读者.82.概述. 82.1方法.82.2结构.92.3SaaS生命周期注意事项.93.信息安全政策. 113.1信息安全策略.113.2对信息安全政策的审查.304.信息安全组织. 304.1内部组织.304.2移动设备和远程办公.335.资产管理.345.1资产责任.346.访问控制.366.1访问控制的业务需求.
收藏
编号:341109843
类型:共享资源
大小:1.84MB
格式:DOC
上传时间:2022-11-29
19.9
金贝
- 关 键 词:
-
面向
客户
SaaS
治理
最佳
实践
- 资源描述:
-
面向云客户的
SaaS治理最佳实践
SaaS工作组的官方永久地址
https://cloudsecurityalliance.org/ research/working-groups/saas-governance/
@2022云安全联盟大中华区-保留所有权利。本文档发布在云安全联盟大中华区官网( http://www.c-),
您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档:(a)本文只可作个
人信息获取,不可用作商业用途;(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中
商标、版权声明或其他声明;(e)引用本报告内容时,请注明来源于云安全联盟。
©2022云安全联盟大中华区版权所有
2
序言
据 Statista预测,到 2022年全球企业服务 SaaS市场规模将超 1700亿美元,SaaS成了真正的
“软件终结者”。国内 SaaS虽然起步较晚但也已经在 2019年进入了旺盛期,CRM、ERP、HCM、
OA、财务、客服、电子签等垂直领域的 SaaS蓬勃发展。传统软件厂商也纷纷向 SaaS转型。尤其是
新冠疫情爆发以来,很多企业不得不选择远程办公和使用线上 SaaS应用,疫情成为 SaaS发展强有
力的助推剂。
随着 SaaS的普及,企业软件的安全风险从传统软件转移到了 SaaS应用。企业的云安全治理范
围也从原来的 IaaS基础设施层和 PaaS平台层延伸到了 SaaS应用层。因此,CSA在发布 CAST云应
用安全可信标准与认证之后,又发布了《面向云客户的 SaaS治理最佳实践》(以下简称《实践》)
白皮书,供 SaaS从业人员及相关的 IT或安全从业人员参考。《实践》充分关注到了 SaaS环境中的
数据保护、SaaS生命周期的风险以及处置等内容。而且基于安全策略、安全组织、资产管理、访问
控制、加密和密钥管理、安全运维、网络安全、供应商管理、事件管理、合规等多个安全控制域为
业界提供一整套用于 SaaS治理的指南。《实践》围绕 SaaS治理中最核心的问题“确保谁在什么场
景下、拥有什么样的权限、可以访问什么数据”,并从评估、采用、使用和终止四个阶段给出了具
体措施和建设,同时针对日常应用场景进行了延伸的安全考量。
随着数字化转型和数字经济发展浪潮的强势来袭,企业级 SaaS的需求量也在与日俱增。各行
业也正在大力构建新的数字生产力,发挥数字协同效应,为企业发展提供新的动力。相信通过《实
践》中提出的详尽而实用的治理指引,组织及相关从业人员能够掌握 SaaS治理的最佳方法和路线,
提高 SaaS安全治理水平,合理管控 SaaS安全风险,切实保护 SaaS中的数据安全。
李雨航 Yale Li
CSA大中华区主席兼研究院院长
©2022云安全联盟大中华区版权所有
3
致谢
《面向云客户的SaaS治理最佳实践》(SaaS Governance Best Practices for Cloud Customers)由
CSA软件SaaS工作组专家编写,CSA大中华区秘书处组织翻译并审校。
中文版翻译专家(排名不分先后):
组长:郭鹏程
翻译组:陈强侯俊茆正华王永霞薛琨杨天识
审校组:陈皓郭鹏程姚凯
研究协调员:江瞿天
感谢以下单位对本文档的支持与贡献:
北京北森云计算股份有限公司
上海派拉软件股份有限公司
神州数码集团股份有限公司
北京启明星辰信息安全技术有限公司
深圳市魔方安全科技有限公司
腾讯云计算(北京)有限责任公司
英文版本编写专家
完成项目领导: Chris Hughes
Anthony Smith
Tim Bach
Michael Roza
Walter Haydock
James Underwood
Andreas Peter
Andrew Luhrmann
Alistair Cockeram
Saan Vandendriessche
完成贡献者: Bryan Solari
Sai Honig
Amit Kandpal
Or Emanuel
Jessica Shouse
审核: Jerich Beason
Abhishek Vyas
Kapil Bareja
Priya Pandey
Yao Sing Tao
Vani Murthy
Michael Roza
Udith Wickramasuriya
最初的领导和贡献者: Akin Akinbosoye
Mickey Law
J. R. Santos
Zeal Somani
Paul Lanois
CSA全球员工: Shamun Mahmud
在此感谢以上专家。如译文有不妥当之处,敬请读者联系CSA GCR秘书处给与雅正!
联系邮箱:research@c-;国际云安全联盟CSA公众号。
©2022云安全联盟大中华区版权所有
4
目录
序言..................................................................................................................................................................3
致谢..................................................................................................................................................................4
1.引言..............................................................................................................................................................7
1.1范围.................................................................................................................................................7
1.2适宜读者.........................................................................................................................................8
2.概述............................................................................................................................................................. 8
2.1方法.................................................................................................................................................8
2.2结构.................................................................................................................................................9
2.3SaaS生命周期注意事项................................................................................................................9
3.信息安全政策........................................................................................................................................... 11
3.1信息安全策略................................................................................................................................11
3.2对信息安全政策的审查...............................................................................................................30
4.信息安全组织........................................................................................................................................... 30
4.1内部组织.......................................................................................................................................30
4.2移动设备和远程办公...................................................................................................................33
5.资产管理....................................................................................................................................................34
5.1资产责任.......................................................................................................................................34
6.访问控制....................................................................................................................................................36
6.1访问控制的业务需求............................................................................................
展开阅读全文
金锄头文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
