云控制矩阵 4.0
控制项模式云安全联盟云控制矩阵,为云服务提供商和用户提供云安全控制框架。
定义并实施一个流程,用于进行内部评估,以至少每年确认标准、政策、程序和服务级别协议活动的符合性和有效性。
CSP 与 CSC(租户)之间的服务协议必须至少包含以下双方同意的条款和/或条件:• 业务关系和提供服务的范围、特征及地点 • 信息安全要求(包括 SSRM) • 变更管理流程 • 日志记录和监控能力 • 事件管理和沟通程序 • 审计权和第三方评估 • 服务终止 • 互操作性和可移植性要求 • 数据隐私
实施、操作,并审计或评估组织负责的 SSRM 部分。
根据 SSRM,描述所有 CSA CCM 控制的共享所有权和适用于云服务提供的情况。
审查并验证组织使用的所有云服务产品的SSRM文档。
向CSC提供SSRM指南,详细说明SSRM在整个供应链中的适用性信息。
在组织内建立、记录、批准、传达、应用、评估和维护共享安全责任模型(SSRM)应用的政策和程序。至少每年审查和更新一次这些政策和程序。在组织内建立、记录、批准、传达、应用、评估和维护共享安全责任模型(SSRM)应用的政策和程序。至少每年审查和更新一次这些政策和程序。
在组织内建立、记录、批准、传达、应用、评估和维护共享安全责任模型(SSRM)应用的政策和程序。至少每年审查和更新一次这些政策和程序。在组织内建立、记录、批准、传达、应用、评估和维护共享安全责任模型(SSRM)应用的政策和程序。至少每年审查和更新一次这些政策和程序。
在整个云服务供应链中应用、记录、实施和管理供应商安全风险管理(SSRM)。
至少每年审查一次CSP与CSC之间的供应链协议。
为供应链中的所有组织定义并实施定期开展安全评估的流程。
定期审查组织供应链合作伙伴的IT治理政策和程序。
开发并维护所有供应链关系的清单。
CSP会定期审查其供应链中所有组织相关的风险因素。
实施政策,要求供应链中的所有云服务提供商遵守信息安全、保密、访问控制、隐私、审计、人员政策以及服务水平要求和标准。