面向云客户的SaaS治理最佳实践

面向云客户的SaaS治理最佳实践 ©2022云安全联盟大中华区版权所有2SaaS工作组的官方永久地址https://cloudsecurityalliance.org/research/working-groups/saas-governance/@2022云安全联盟大中华区-保留所有权利。本文档发布在云安全联盟大中华区官网(http://www.c-csa.cn)，您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权声明或其他声明；（e）引用本报告内容时，请注明来源于云安全联盟。 ©2022云安全联盟大中华区版权所有3序言据Statista预测，到2022年全球企业服务SaaS市场规模将超1700亿美元，SaaS成了真正的“软件终结者”。国内SaaS虽然起步较晚但也已经在2019年进入了旺盛期，CRM、ERP、HCM、OA、财务、客服、电子签等垂直领域的SaaS蓬勃发展。传统软件厂商也纷纷向SaaS转型。尤其是新冠疫情爆发以来，很多企业不得不选择远程办公和使用线上SaaS应用，疫情成为SaaS发展强有力的助推剂。随着SaaS的普及，企业软件的安全风险从传统软件转移到了SaaS应用。企业的云安全治理范围也从原来的IaaS基础设施层和PaaS平台层延伸到了SaaS应用层。因此，CSA在发布CAST云应用安全可信标准与认证之后，又发布了《面向云客户的SaaS治理最佳实践》（以下简称《实践》）白皮书，供SaaS从业人员及相关的IT或安全从业人员参考。《实践》充分关注到了SaaS环境中的数据保护、SaaS生命周期的风险以及处置等内容。而且基于安全策略、安全组织、资产管理、访问控制、加密和密钥管理、安全运维、网络安全、供应商管理、事件管理、合规等多个安全控制域为业界提供一整套用于SaaS治理的指南。《实践》围绕SaaS治理中最核心的问题“确保谁在什么场景下、拥有什么样的权限、可以访问什么数据”，并从评估、采用、使用和终止四个阶段给出了具体措施和建设，同时针对日常应用场景进行了延伸的安全考量。随着数字化转型和数字经济发展浪潮的强势来袭，企业级SaaS的需求量也在与日俱增。各行业也正在大力构建新的数字生产力，发挥数字协同效应，为企业发展提供新的动力。相信通过《实践》中提出的详尽而实用的治理指引，组织及相关从业人员能够掌握SaaS治理的最佳方法和路线，提高SaaS安全治理水平，合理管控SaaS安全风险，切实保护SaaS中的数据安全。李雨航YaleLiCSA大中华区主席兼研究院院长 ©2022云安全联盟大中华区版权所有4致谢《面向云客户的SaaS治理最佳实践》(SaaSGovernanceBestPracticesforCloudCustomers)由CSA软件SaaS工作组专家编写，CSA大中华区秘书处组织翻译并审校。中文版翻译专家（排名不分先后）：组长：郭鹏程翻译组：陈强侯俊茆正华王永霞薛琨杨天识审校组：陈皓郭鹏程姚凯研究协调员：江瞿天感谢以下单位对本文档的支持与贡献：北京北森云计算股份有限公司北京启明星辰信息安全技术有限公司上海派拉软件股份有限公司深圳市魔方安全科技有限公司神州数码集团股份有限公司腾讯云计算（北京）有限责任公司英文版本编写专家完成项目领导:ChrisHughesTimBachMichaelRozaAnthonySmithWalterHaydockAndreasPeterAndrewLuhrmannJamesUnderwoodAlistairCockeramSaanVandendriessche完成贡献者:BryanSolariSaiHonigAmitKandpalJessicaShouseAbhishekVyas审核:JerichBeasonKapilBarejaOrEmanuelUdithWickramasuriyaPriyaPandey最初的领导和贡献者:AkinAkinbosoyeYaoSingTaoJ.R.SantosMickeyLawVaniMurthyZealSomaniPaulLanoisMichaelRozaCSA全球员工:ShamunMahmud在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱：research@c-csa.cn；国际云安全联盟CSA公众号。 ©2022云安全联盟大中华区版权所有5目录序言..................................................................................................................................................................3致谢..................................................................................................................................................................41.引言..............................................................................................................................................................71.1范围.................................................................................................................................................71.2适宜读者.........................................................................................................................................82.概述.............................................................................................................................................................82.1方法.................................................................................................................................................82.2结构.................................................................................................................................................92.3SaaS生命周期注意事项................................................................................................................93.信息安全政策...........................................................................................................................................113.1信息安全策略................................................................................................................................113.2对信息安全政策的审查...............................................................................................................304.信息安全组织...........................................................................................................................................304.1内部组织.......................................................................................................................................304.2移动设备和远程办公...................................................................................................................335.资产管理....................................................................................................................................................345.1资产责任.......................................................................................................................................346.访问控制....................................................................................................................................................366.1访问控制的业务需求...................................................................................................................366.2用户访问管理...............................................................................................................................366.3系统和应用访问控制...................................................................................................................387.加密和密钥管理...............................