CSA 面向云客户的SaaS治理最佳实践在线下载,免费下载

面向云客户的 SaaS治理最佳实践 SaaS 工作组的官方永久地址 https://cloudsecurityalliance.org/ research/working-groups/saas-governance/ @2022 云安全联盟大中华区-保留所有权利。本文档发布在云安全联盟大中华区官网(http://www.c-csa.cn)，您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b) 本文内容不得篡改; (c)不得对本文进行转发散布; (d)不得删除文中商标、版权声明或其他声明；（e）引用本报告内容时，请注明来源于云安全联盟。 © 2022 云安全联盟大中华区版权所有 2 序言据 Statista 预测，到 2022 年全球企业服务 SaaS 市场规模将超 1700 亿美元，SaaS 成了真正的 “软件终结者”。国内 SaaS 虽然起步较晚但也已经在 2019 年进入了旺盛期，CRM、ERP、HCM、 OA、财务、客服、电子签等垂直领域的 SaaS 蓬勃发展。传统软件厂商也纷纷向 SaaS 转型。尤其是新冠疫情爆发以来，很多企业不得不选择远程办公和使用线上 SaaS 应用，疫情成为 SaaS 发展强有力的助推剂。随着 SaaS 的普及，企业软件的安全风险从传统软件转移到了 SaaS 应用。企业的云安全治理范围也从原来的 IaaS 基础设施层和 PaaS 平台层延伸到了 SaaS 应用层。因此，CSA 在发布 CAST 云应用安全可信标准与认证之后，又发布了《面向云客户的 SaaS 治理最佳实践》（以下简称《实践》）白皮书，供 SaaS 从业人员及相关的 IT 或安全从业人员参考。《实践》充分关注到了 SaaS 环境中的数据保护、SaaS 生命周期的风险以及处置等内容。而且基于安全策略、安全组织、资产管理、访问控制、加密和密钥管理、安全运维、网络安全、供应商管理、事件管理、合规等多个安全控制域为业界提供一整套用于 SaaS 治理的指南。《实践》围绕 SaaS 治理中最核心的问题“确保谁在什么场景下、拥有什么样的权限、可以访问什么数据”，并从评估、采用、使用和终止四个阶段给出了具体措施和建设，同时针对日常应用场景进行了延伸的安全考量。随着数字化转型和数字经济发展浪潮的强势来袭，企业级 SaaS 的需求量也在与日俱增。各行业也正在大力构建新的数字生产力，发挥数字协同效应，为企业发展提供新的动力。相信通过《实践》中提出的详尽而实用的治理指引，组织及相关从业人员能够掌握 SaaS 治理的最佳方法和路线，提高 SaaS 安全治理水平，合理管控 SaaS 安全风险，切实保护 SaaS 中的数据安全。李雨航 Yale Li CSA 大中华区主席兼研究院院长 © 2022 云安全联盟大中华区版权所有 3 致谢《面向云客户的SaaS治理最佳实践》 (SaaS Governance Best Practices for Cloud Customers) 由 CSA软件SaaS工作组专家编写，CSA大中华区秘书处组织翻译并审校。中文版翻译专家（排名不分先后）：组长：郭鹏程翻译组：陈强侯俊茆正华王永霞薛琨杨天识审校组：陈皓郭鹏程姚凯研究协调员：江瞿天感谢以下单位对本文档的支持与贡献：北京北森云计算股份有限公司北京启明星辰信息安全技术有限公司上海派拉软件股份有限公司深圳市魔方安全科技有限公司神州数码集团股份有限公司腾讯云计算（北京）有限责任公司英文版本编写专家完成项目领导: Chris Hughes Anthony Smith Andrew Luhrmann Tim Bach Michael Roza Walter Haydock Andreas Peter James Underwood Alistair Cockeram Saan Vandendriessche 完成贡献者: Bryan Solari Sai Honig Jessica Shouse Abhishek Vyas 审核: Jerich Beason Udith Wickramasuriya 最初的领导和贡献者: Akin Akinbosoye Mickey Law Paul Lanois Kapil Bareja Amit Kandpal Or Emanuel Priya Pandey Yao Sing Tao J. R. Santos Vani Murthy Zeal Somani Michael Roza CSA 全球员工: Shamun Mahmud 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSA GCR秘书处给与雅正! 联系邮箱：research@c-csa.cn；国际云安全联盟CSA公众号。 © 2022 云安全联盟大中华区版权所有 4 目录序言 ..................................................................................................................................................................3 致谢 ..................................................................................................................................................................4 1.引言 ..............................................................................................................................................................7 1.1 范围 .................................................................................................................................................7 1.2 适宜读者 .........................................................................................................................................8 2. 概述 ............................................................................................................................................................. 8 2.1 方法 .................................................................................................................................................8 2.2 结构 .................................................................................................................................................9 2.3 SaaS 生命周期注意事项 ................................................................................................................9 3. 信息安全政策 ........................................................................................................................................... 11 3.1 信息安全策略 ................................................................................................................................11 3.2 对信息安全政策的审查 ...............................................................................................................30 4. 信息安全组织 ........................................................................................................................................... 30 4.1 内部组织 .......................................................................................................................................30 4.2 移动设备和远程办公 ...................................................................................................................33 5.资产管理 .......................................................................................................