首页
搜索资源
资源分类
资源描述
面向云客户的 SaaS治理最佳实践 SaaS工作组的官方永久地址 https://cloudsecurityalliance.org/ research/working-groups/saas-governance/ @2022云安全联盟大中华区-保留所有权利。本文档发布在云安全联盟大中华区官网( http://www.c-), 您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档:(a)本文只可作个 人信息获取,不可用作商业用途;(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中 商标、版权声明或其他声明;(e)引用本报告内容时,请注明来源于云安全联盟。 ©2022云安全联盟大中华区版权所有 2 序言 据 Statista预测,到 2022年全球企业服务 SaaS市场规模将超 1700亿美元,SaaS成了真正的 “软件终结者”。国内 SaaS虽然起步较晚但也已经在 2019年进入了旺盛期,CRM、ERP、HCM、 OA、财务、客服、电子签等垂直领域的 SaaS蓬勃发展。传统软件厂商也纷纷向 SaaS转型。尤其是 新冠疫情爆发以来,很多企业不得不选择远程办公和使用线上 SaaS应用,疫情成为 SaaS发展强有 力的助推剂。 随着 SaaS的普及,企业软件的安全风险从传统软件转移到了 SaaS应用。企业的云安全治理范 围也从原来的 IaaS基础设施层和 PaaS平台层延伸到了 SaaS应用层。因此,CSA在发布 CAST云应 用安全可信标准与认证之后,又发布了《面向云客户的 SaaS治理最佳实践》(以下简称《实践》) 白皮书,供 SaaS从业人员及相关的 IT或安全从业人员参考。《实践》充分关注到了 SaaS环境中的 数据保护、SaaS生命周期的风险以及处置等内容。而且基于安全策略、安全组织、资产管理、访问 控制、加密和密钥管理、安全运维、网络安全、供应商管理、事件管理、合规等多个安全控制域为 业界提供一整套用于 SaaS治理的指南。《实践》围绕 SaaS治理中最核心的问题“确保谁在什么场 景下、拥有什么样的权限、可以访问什么数据”,并从评估、采用、使用和终止四个阶段给出了具 体措施和建设,同时针对日常应用场景进行了延伸的安全考量。 随着数字化转型和数字经济发展浪潮的强势来袭,企业级 SaaS的需求量也在与日俱增。各行 业也正在大力构建新的数字生产力,发挥数字协同效应,为企业发展提供新的动力。相信通过《实 践》中提出的详尽而实用的治理指引,组织及相关从业人员能够掌握 SaaS治理的最佳方法和路线, 提高 SaaS安全治理水平,合理管控 SaaS安全风险,切实保护 SaaS中的数据安全。 李雨航 Yale Li CSA大中华区主席兼研究院院长 ©2022云安全联盟大中华区版权所有 3 致谢 《面向云客户的SaaS治理最佳实践》(SaaS Governance Best Practices for Cloud Customers)由 CSA软件SaaS工作组专家编写,CSA大中华区秘书处组织翻译并审校。 中文版翻译专家(排名不分先后): 组长:郭鹏程 翻译组:陈强侯俊茆正华王永霞薛琨杨天识 审校组:陈皓郭鹏程姚凯 研究协调员:江瞿天 感谢以下单位对本文档的支持与贡献: 北京北森云计算股份有限公司 上海派拉软件股份有限公司 神州数码集团股份有限公司 北京启明星辰信息安全技术有限公司 深圳市魔方安全科技有限公司 腾讯云计算(北京)有限责任公司 英文版本编写专家 完成项目领导: Chris Hughes Anthony Smith Tim Bach Michael Roza Walter Haydock James Underwood Andreas Peter Andrew Luhrmann Alistair Cockeram Saan Vandendriessche 完成贡献者: Bryan Solari Sai Honig Amit Kandpal Or Emanuel Jessica Shouse 审核: Jerich Beason Abhishek Vyas Kapil Bareja Priya Pandey Yao Sing Tao Vani Murthy Michael Roza Udith Wickramasuriya 最初的领导和贡献者: Akin Akinbosoye Mickey Law J. R. Santos Zeal Somani Paul Lanois CSA全球员工: Shamun Mahmud 在此感谢以上专家。如译文有不妥当之处,敬请读者联系CSA GCR秘书处给与雅正! 联系邮箱:research@c-;国际云安全联盟CSA公众号。 ©2022云安全联盟大中华区版权所有 4 目录 序言3 致谢4 1.引言7 1.1范围.7 1.2适宜读者.8 2.概述. 8 2.1方法.8 2.2结构.9 2.3SaaS生命周期注意事项9 3.信息安全政策. 11 3.1信息安全策略11 3.2对信息安全政策的审查.30 4.信息安全组织. 30 4.1内部组织.30 4.2移动设备和远程办公.33 5.资产管理34 5.1资产责任.34 6.访问控制36 6.1访问控制的业务需求
点击显示更多内容>>
收藏
网站客服QQ:
2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号