如同合規(guī)要求一樣�,企業(yè)的云安全工作應該包含審計與保證。必須獨立地實施審計���,并且應該堅定地設計審計以便表現出最佳實踐、恰當的資源���,以及經過檢驗的協議及標準�。
對于客戶和服務提供商而言���,內審和外審以及各種控制措施都是合情合理的���、可為云計算效力的角色。在引入云計算的起步階段���,更多的透明度可能是增加利益相關者舒適度的最佳選擇。審計是提供保證的方法之一����,其保證運營風險管理活動得到徹底地檢驗和評審�����。
組織最高級別的治理要素(例如董事會和管理層)應該采納并支持審計計劃���。對至關重要的系統及控制進行定期且獨立的審計,包括伴隨的審計記錄和文檔將會支持 提升效率和可靠性���。 許多組織使用成熟度模型(例如CMM、PTQM)作為分析流程有效性的框架�����。在某些情況下更多采用的是統計性的風險管理方法(例如用于金融服務的巴塞爾協 議和償付能力標準)。并且隨著該領域的成熟�����,可以采用適用于職能部門��、或業(yè)務線的更具專業(yè)性的風險模型���。 對于云計算而言�����,我們需要修訂和加強這些實踐���。正如信息技術模型一樣����,審計需要充分利用云計算的潛力�����,同時增大范圍和規(guī)模來管理它諸多的新穎性�����。
當接洽(云計算)提供商時會牽涉到客戶所屬組織內適當的法務��、采購以及合同團隊��。服務的標準條款可能并未涉及合規(guī)需求����,需要就此進行協商��。
對于受到高度監(jiān)管的行業(yè)(例如金融業(yè)、醫(yī)療行業(yè))來說��,當使用云服務時應該考慮專門的合規(guī)要求�����。理解自身當前要求的組織應該考慮分布式IT模型的影響����,包括云服務提供商運營于不同的地理位置以及不同的法律管轄區(qū)所帶來的影響。
為每項工作負荷(例如整套的應用和數據)���,確定使用云服務將會如何影響現有的合規(guī)要求����,特別是當與信息安全有關時����。盡管有許多外包服務解決方案��,組織仍需理解他們與哪個云服務合作伙伴正在處理并應當處理受監(jiān)管的信息����。受影響的策略以及流程的例子包括活動報告、日志�、數據保持、事故響應�、控制測試和隱私權策略����。
各方都應該理解各自的合同職責。期望值的底線將會由于部署模型而有所不同����,在IaaS模型中客戶擁有更多的控制權和職責���,對于SaaS解決方案而言服務提供商扮演著統治性的角色���。特別重要的是彼此受約束的要求和責任�����,而不僅只是限于客戶與他們直接的云服務提供商,而且也是在最終用戶與提供商的云服務提供商之間��。
遵守法規(guī)以及行業(yè)規(guī)定和要求(例如法規(guī)�����、技術�、法律����、合規(guī)����、風險和安全等方面)是關鍵的��,并且必須在要求確認階段就解決。任何被處理��、傳輸���、存儲的信息, 或是被看作是個人可識別信息(Personal Identifiable Information�,簡稱PII)或私人信息都面臨著世界范圍內繁多的合規(guī)規(guī)定,這些合規(guī)可能隨國家或地區(qū)的不同而有差異���。既然云計算被設計為是位于 不同地區(qū)且可擴展的�����,解決方案中被存儲�、處理���、傳輸或是檢索的數據可能來自云服務提供商的眾多場所或多個數據中心。一些法規(guī)明確規(guī)定的控制在某些云服務類 型(例如地理上的要求可能與分布式的存儲不一致)下很難、或是根本不可能實現�。客戶與提供商必須就如何收集�、存儲�����,以及共享合規(guī)證據(如審計日志����、活動報 告、系統配置)達成一致意見����。
在實際工作中�,可以遵循以下一些有益的建議和最佳實踐:
建議首選那些具有“云意識”的審計人員,他們熟悉保證虛擬化與云技術的挑戰(zhàn)以及優(yōu)勢��。
建議要求云服務提供商提供SSAE 16 SOC2 或 ISAE 3402 類型2報告�����。這些報告將為審計人員和評估人員提供被承認的參考起點����。
合同應該提供給第三方(例如由雙方選擇的中間方)來評審SLA的度量標準及合規(guī)性�����。
有權審計的條款賦予客戶審計云提供商的能力��,這支持在頻繁地變化的云計算環(huán)境與法規(guī)內的可追溯性和透明度�����。使用有權審計的標準化規(guī)范來確保對彼此期望值的理解。最終�����,這個權利應由第三方的認證(例如ISO/IEC 27001或27017認證)所取代�����。
使用指定訪問權限的透明度條款提供那些身處受到高度監(jiān)管行業(yè)的用戶(包括那些可將不合規(guī)作為刑事訴訟依據的行業(yè))所需要的信息���。該協議應該與自動產生或可直接訪問的信息(例如日志、報告),以及推送的信息(例如系統架構����、審計報告)區(qū)分開來。
云提供商應該定期(或是按需)地評審����、更新并且發(fā)布他們的信息安全文檔和GRC(Governance, Risk and Compliance,治理��、風險和合規(guī)�,簡稱GRC)流程���。這些資料應該包括漏洞分析以及相關的補救措施決策和活動��。
第三方審計人員應由云提供商和客戶事先共同披露或選擇��。
各方應就采用一個共同的IT治理和安全控制認證保證框架(例如ISO或COBIT標準)達成一致。
來源:CIO時代網
版權及免責聲明:凡本網所屬版權作品���,轉載時須獲得授權并注明來源“中國產業(yè)經濟信息網”��,違者本網將保留追究其相關法律責任的權力�����。凡轉載文章,不代表本網觀點和立場����。版權事宜請聯系:010-65363056。
延伸閱讀
