Written by: AWS Community Builder Sheng Hau Wang
在去年10月參加了 BSI 所舉辦的 ISO 27001:2022 的主導稽核員訓練後,把自己使用 AWS 雲服務可能會對應到 ISMS 條款,以上內容僅供我個人對於AWS雲服務多年實務上使用以及對於條款的初步了解,稍微整理了一下,如內容有誤或是您有不一樣的見解,歡迎下面一起討論
在現今數位轉型浪潮下,越來越多組織選擇採用雲端服務,如Amazon Web Services (AWS),以獲取其彈性、可擴展性與成本效益。然而,將資訊資產遷移至雲端環境,也帶來了新的資訊安全挑戰與管理複雜性。
對於已建立或正計劃導入符合ISO 27001標準之ISMS的組織而言,確保雲端服務的使用符合其資訊安全要求至關重要。提供了組織應如何實作資訊安全控制措施的指導方針,本文件旨在協助組織理解在使用AWS服務時,如何將ISO27001的控制措施落實,並為ISMS稽核做好準備。
使用雲端服務的核心概念之一是「共同責任模型」(Shared Responsibility Model)3。在AWS的環境中,AWS負責「雲端本身的安全性」(Security of the Cloud),這包括了基礎設施、硬體、軟體、網路以及託管雲端服務設施的實體場所安全。相對地,組織(即雲端服務客戶)則負責「雲端中的安全性」(Security in the Cloud)。這涵蓋了客戶的資料、平台、應用程式、作業系統、網路組態以及身分與存取管理等方面。
ISMS的目標是依據組織的資訊安全風險評鑑結果,決定並實作一組合適的控制措施.。因此,組織在使用AWS時,必須清楚辨識其在共同責任模型下應負擔的「雲端中的安全性」控制措施,並將這些措施整合到其
整體ISMS框架中。稽核的重點將在於驗證組織是否已識別相關風險,實作了適當的控制措施,並能證明這些控制措施在AWS環境中得到有效執行與持續管理。
ISO 27001:2022版本,特別新增了針對雲端服務的控制條款,並更新及擴展了其他相關控制領域,為組織在雲端環境中的安全管理提供了更具體的指引。
特別關注了雲端服務的使用安全,其核心體現於以下控制措施:
5.23 使用雲端服務之資訊安全 (Information security in the use of cloud services)◦
目的: 規定並管理使用雲端服務之資訊安全性。
說明與應答: 這是最直接相關的條款。組織需證明已建立一套系統化的過程來處理雲端服務的整個生命週期,從「獲取、使用、管理」到「退出」。
▪風險識別與要求事項: 組織應已識別與使用AWS相關的資訊安全風險及要求,並進行風險評鑑。需展示風險評鑑報告,以及針對AWS服務的風險處理計畫,說明殘餘風險如何被接受。
▪選擇與範圍: 需有AWS服務的選擇準則及明確的使用範圍文件。
▪角色與責任: 明確定義組織內部與使用AWS相關的角色與責任,並清晰闡述與AWS之間的共同責任分界。例如,誰負責管理IAM使用者?誰負責組態安全群組?誰負責監控CloudTrail日誌?
▪控制措施實作: 組織需展示如何在AWS環境中實作其負責的控制措施。
•身分識別與存取管理 (Identity and Access Management, IAM): 如何管理AWS帳戶、使用者(IAM Users)、群組(Groups)、角色(Roles)及政策(Policies),對應到5.15、5.16、5.17、5.18條。
•需展示IAM政策設定、使用者權限審查紀錄等。特別是特殊權限的管理 (8.2條)。
•組態管理 (Configuration Management): 如何安全組態AWS服務,如EC2實例、S3儲存桶、VPC網路等,對應到8.9條。需展示AWS服務的組態基準、組態審查紀錄,或使用IaC (Infrastructure as Code) 工具的組態文件。
•資料保護 (Data Protection): 如何保護儲存在AWS服務中的資料,包括分類分級 (5.12條)、傳送安全 (5.14條)、刪除 (8.10條)、遮蔽 (8.11條)、備份 (8.13條) 及加密技術的使用 (8.24條)。
需展示資料分類分級文件、S3加密設定、RDS加密設定、KMS金鑰管理程序、備份策略與測試紀錄等。
•網路安全 (Network Security): 如何保護AWS網路環境,包括網路區隔 (8.22條) 和網路安全控制 (8.20條)。需展示VPC設計圖、安全群組/NACL規則、VPN/Direct Connect安全組態等。
•
日誌與監控 (Logging and Monitoring): 如何收集、保護和分析AWS環境的活動日誌 (8.15條),以及如何監控異常行為 (8.16條)。需展示CloudTrail、CloudWatch Logs、VPC Flow Logs的設定與日誌分析程序、安全監控工具(如GuardDuty, Security Hub) 的使用及告警處理流程。
•資訊安全事故管理: 如何將AWS環境中偵測到的事件(如透過GuardDuty)納入組織的事故管理流程,對應到5.24至5.28條。需展示事故回應計畫中包含雲端環境應急處理的部分,以及事故發生後的日誌分析與證據蒐集流程。
•營運持續及備援 (Business Continuity & Redundancy): 如何利用AWS的多區域、多可用區設計,以及備份服務來滿足營運持續和資訊處理設施備援的需求,對應到5.29及8.14條。需展示營運持續計畫、備援架構設計及測試紀錄。
▪協議審查: 需審查與AWS的服務協議(Terms of Service, SLA等),了解其涵蓋的安全條款,以及組織對供應商的資訊安全保證如何取得及利用。雖然AWS的協議通常不可協商,但組織需證明已理解協議中AWS提供的安全能力和其責任範圍,並將此納入組織的風險評鑑和控制措施設計中
▪供應者關係管理: 雲端服務供應商是組織重要的供應者。因此,與供應者關係相關的條款,如5.19至5.22條,也高度相關。組織需展示如何評估AWS的安全能力(例如,透過AWS的合規認證報告,如SOC 2, ISO 27001認證等,如何在協議中闡明安全要求(即使是標準協議,組織也需理解其中的安全承諾),以及如何監視和審查服務交付。
▪退出策略: 需有從AWS服務退出的計劃或程序。
在 AWS 雲服務環境中實現 ISO 27001:2022 的符合性,是一項需要全面規劃和持續執行的任務。作為主導稽核員,我會著重於組織如何將 ISO 27001 的要求與 AWS 的共享責任模型深度融合。關鍵在於組織對其在雲端中的安全責任有清晰的認知,並能展示如何透過 AWS 的原生安全服務和自身建立的控制措施,有效地管理資訊安全風險。
成功的關鍵不僅在於導入單一的技術解決方案,更在於建立一個健全的治理框架、明確的職責分工、完善的流程管理以及持續的監控與改進機制。組織必須證明其 ISMS 能夠適應雲端環境的動態性,並透過有力的證據(如配置日誌、審計報告、安全事件記錄)來支持其合規聲明。
通過上述的應答策略,組織不僅能滿足 ISO 27001:2022 的要求,更能藉此機會全面強化其在 AWS 雲環境中的資訊安全態勢,為業務的穩健發展提供堅實的保障。
針對 AWS 哪些服務有符合 ISO 27001:200 的規範,可參考官方文件 [1] [2]
AWS 擁有符合 ISO/IEC 27001:2022、27017:2015、27018:2019、27701:2019、22301:2019、20000-1:2018、9001:2015 和 CSA STAR CCM v4.0 的認證。以下列出認證涵蓋的 AWS 服務。
除非明確排除,否則服務的所有功能都已納入。請參閱 AWS 文件以了解服務功能。
[1] 已通過ISO 27001 認證之 AWS 服務列表
[2] ISO/IEC 27001:2022 合規 - Amazon Web Services (AWS)
