-
-
一、組織應針對涉及雲端服務使用之資訊系統辦理營運衝擊分析,評估雲端服務之韌性及復原能力,並考量雲端服務所涉及資產、資源與資料所在位置,以及雲端服務提供者可提供之復原能力規劃營運持續管理計畫。
-
二、涉及重大性之雲端委外作業,組織規劃雲端服務營運持續之測試或演練計畫時,應以風險基礎方法,決定測試或演練執行頻率與方式。宜考量與雲端服務提供者共同合作擬訂建立使用雲端服務之營運持續測試或演練計畫,並得於情況允許下與雲端服務提供者進行聯合測試或演練。
-
三、組織應建立雲端資料備份機制,並留存備份清冊,備份媒體或檔案應妥善防護,確保資訊之可用性及防止未授權存取。
-
四、組織應建立使用雲端服務之資訊安全事件通報與管理機制。
-
五、組織應於採用雲端服務前,建立終止使用雲端服務之轉移策略及計畫,以確保終止或結束作業委託能順利移轉至另一雲端服務提供者或移回自行處理。
-
六、組織應確保終止委外契約或終止使用雲端服務時,刪除雲端服務提供者留存之資料(如虛擬機映像檔、儲存空間、快取空間、備份媒體、客戶資料或敏感資料),並要求雲端服務提供者出具資料完全刪除之證明。