云安全联盟：面向云客户的SaaS治理最佳实践（2022）（67页）.pdf

1、面向云客户的SaaS治理最佳实践 2022 云安全联盟大中华区版权所有3序言序言据 Statista 预测，到 2022 年全球企业服务 SaaS 市场规模将超 1700 亿美元，SaaS 成了真正的“软件终结者”。国内 SaaS 虽然起步较晚但也已经在 2019 年进入了旺盛期，CRM、ERP、HCM、OA、财务、客服、电子签等垂直领域的 SaaS 蓬勃发展。传统软件厂商也纷纷向 SaaS 转型。尤其是新冠疫情爆发以来，很多企业不得不选择远程办公和使用线上 SaaS 应用，疫情成为 SaaS 发展强有力的助推剂。随着 SaaS 的普及，企业软件的安全风险从传统软件转移到了 SaaS 应用。企

2、业的云安全治理范围也从原来的 IaaS 基础设施层和 PaaS 平台层延伸到了 SaaS 应用层。因此，CSA 在发布 CAST 云应用安全可信标准与认证之后，又发布了面向云客户的 SaaS 治理最佳实践（以下简称实践）白皮书，供 SaaS 从业人员及相关的 IT 或安全从业人员参考。实践充分关注到了 SaaS 环境中的数据保护、SaaS 生命周期的风险以及处置等内容。而且基于安全策略、安全组织、资产管理、访问控制、加密和密钥管理、安全运维、网络安全、供应商管理、事件管理、合规等多个安全控制域为业界提供一整套用于 SaaS 治理的指南。实践围绕 SaaS 治理中最核心的问题“确保谁在什么场景下

3、、拥有什么样的权限、可以访问什么数据”，并从评估、采用、使用和终止四个阶段给出了具体措施和建设，同时针对日常应用场景进行了延伸的安全考量。随着数字化转型和数字经济发展浪潮的强势来袭，企业级 SaaS 的需求量也在与日俱增。各行业也正在大力构建新的数字生产力，发挥数字协同效应，为企业发展提供新的动力。相信通过实践中提出的详尽而实用的治理指引，组织及相关从业人员能够掌握 SaaS 治理的最佳方法和路线，提高 SaaS 安全治理水平，合理管控 SaaS 安全风险，切实保护 SaaS 中的数据安全。李雨航 Yale LiCSA 大中华区主席兼研究院院长 2022 云安全联盟大中华区版权所有4致谢致谢面

4、向云客户的SaaS治理最佳实践(SaaS Governance Best Practices for Cloud Customers)由CSA软件SaaS工作组专家编写，CSA大中华区秘书处组织翻译并审校。中文版翻译专家中文版翻译专家（排名不分先后）：组 长：组 长：郭鹏程翻译组：翻译组：陈 强侯 俊茆正华 王永霞 薛 琨杨天识审校组：审校组：陈 皓郭鹏程姚凯研究协调员：研究协调员：江瞿天感谢以下单位对本文档的支持与贡献：感谢以下单位对本文档的支持与贡献：北京北森云计算股份有限公司北京启明星辰信息安全技术有限公司上海派拉软件股份有限公司深圳市魔方安全科技有限公司神州数码集团股份有限公司腾讯云计

5、算（北京）有限责任公司英文版本编写专家英文版本编写专家完成项目领导完成项目领导:Chris HughesTim BachMichael RozaAnthony SmithWalter HaydockAndreas PeterAndrew LuhrmannJames UnderwoodAlistair CockeramSaan Vandendriessche完成贡献者完成贡献者:Bryan SolariSai HonigAmit KandpalJessica ShouseAbhishek Vyas审核审核:Jerich BeasonKapil BarejaOr EmanuelUdith Wick

6、ramasuriyaPriya Pandey最初的领导和贡献者最初的领导和贡献者:Akin AkinbosoyeYao Sing TaoJ.R.SantosMickey LawVani MurthyZeal SomaniPaul LanoisMichael RozaCSA 全球员工全球员工:Shamun Mahmud在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSA GCR秘书处给与雅正!联系邮箱：researchc-；国际云安全联盟CSA公众号。2022 云安全联盟大中华区版权所有5目录序言序言.3致谢致谢.41.引言1.引言.71.1 范围.71.2 适宜读者.82.概述概述.82.