如同合規(guī)要求一樣,企業(yè)的云安全工作應(yīng)該包含審計(jì)與保證�。必須獨(dú)立地實(shí)施審計(jì),并且應(yīng)該堅(jiān)定地設(shè)計(jì)審計(jì)以便表現(xiàn)出最佳實(shí)踐��、恰當(dāng)?shù)馁Y源�,以及經(jīng)過(guò)檢驗(yàn)的協(xié)議及標(biāo)準(zhǔn)。
對(duì)于客戶(hù)和服務(wù)提供商而言��,內(nèi)審和外審以及各種控制措施都是合情合理的���、可為云計(jì)算效力的角色�����。在引入云計(jì)算的起步階段���,更多的透明度可能是增加利益相關(guān)者舒適度的最佳選擇。審計(jì)是提供保證的方法之一�,其保證運(yùn)營(yíng)風(fēng)險(xiǎn)管理活動(dòng)得到徹底地檢驗(yàn)和評(píng)審。
組織最高級(jí)別的治理要素(例如董事會(huì)和管理層)應(yīng)該采納并支持審計(jì)計(jì)劃���。對(duì)至關(guān)重要的系統(tǒng)及控制進(jìn)行定期且獨(dú)立的審計(jì)��,包括伴隨的審計(jì)記錄和文檔將會(huì)支持 提升效率和可靠性����。 許多組織使用成熟度模型(例如CMM、PTQM)作為分析流程有效性的框架���。在某些情況下更多采用的是統(tǒng)計(jì)性的風(fēng)險(xiǎn)管理方法(例如用于金融服務(wù)的巴塞爾協(xié) 議和償付能力標(biāo)準(zhǔn))�����。并且隨著該領(lǐng)域的成熟�����,可以采用適用于職能部門(mén)����、或業(yè)務(wù)線(xiàn)的更具專(zhuān)業(yè)性的風(fēng)險(xiǎn)模型�。 對(duì)于云計(jì)算而言,我們需要修訂和加強(qiáng)這些實(shí)踐����。正如信息技術(shù)模型一樣�����,審計(jì)需要充分利用云計(jì)算的潛力,同時(shí)增大范圍和規(guī)模來(lái)管理它諸多的新穎性���。
當(dāng)接洽(云計(jì)算)提供商時(shí)會(huì)牽涉到客戶(hù)所屬組織內(nèi)適當(dāng)?shù)姆▌?wù)��、采購(gòu)以及合同團(tuán)隊(duì)�����。服務(wù)的標(biāo)準(zhǔn)條款可能并未涉及合規(guī)需求�����,需要就此進(jìn)行協(xié)商�。
對(duì)于受到高度監(jiān)管的行業(yè)(例如金融業(yè)�、醫(yī)療行業(yè))來(lái)說(shuō),當(dāng)使用云服務(wù)時(shí)應(yīng)該考慮專(zhuān)門(mén)的合規(guī)要求����。理解自身當(dāng)前要求的組織應(yīng)該考慮分布式IT模型的影響,包括云服務(wù)提供商運(yùn)營(yíng)于不同的地理位置以及不同的法律管轄區(qū)所帶來(lái)的影響�����。
為每項(xiàng)工作負(fù)荷(例如整套的應(yīng)用和數(shù)據(jù)),確定使用云服務(wù)將會(huì)如何影響現(xiàn)有的合規(guī)要求����,特別是當(dāng)與信息安全有關(guān)時(shí)。盡管有許多外包服務(wù)解決方案�,組織仍需理解他們與哪個(gè)云服務(wù)合作伙伴正在處理并應(yīng)當(dāng)處理受監(jiān)管的信息。受影響的策略以及流程的例子包括活動(dòng)報(bào)告��、日志�����、數(shù)據(jù)保持���、事故響應(yīng)���、控制測(cè)試和隱私權(quán)策略。
各方都應(yīng)該理解各自的合同職責(zé)�。期望值的底線(xiàn)將會(huì)由于部署模型而有所不同,在IaaS模型中客戶(hù)擁有更多的控制權(quán)和職責(zé)����,對(duì)于SaaS解決方案而言服務(wù)提供商扮演著統(tǒng)治性的角色。特別重要的是彼此受約束的要求和責(zé)任,而不僅只是限于客戶(hù)與他們直接的云服務(wù)提供商�����,而且也是在最終用戶(hù)與提供商的云服務(wù)提供商之間�����。
遵守法規(guī)以及行業(yè)規(guī)定和要求(例如法規(guī)�、技術(shù)����、法律、合規(guī)���、風(fēng)險(xiǎn)和安全等方面)是關(guān)鍵的���,并且必須在要求確認(rèn)階段就解決。任何被處理��、傳輸����、存儲(chǔ)的信息, 或是被看作是個(gè)人可識(shí)別信息(Personal Identifiable Information,簡(jiǎn)稱(chēng)PII)或私人信息都面臨著世界范圍內(nèi)繁多的合規(guī)規(guī)定�����,這些合規(guī)可能隨國(guó)家或地區(qū)的不同而有差異���。既然云計(jì)算被設(shè)計(jì)為是位于 不同地區(qū)且可擴(kuò)展的���,解決方案中被存儲(chǔ)、處理���、傳輸或是檢索的數(shù)據(jù)可能來(lái)自云服務(wù)提供商的眾多場(chǎng)所或多個(gè)數(shù)據(jù)中心��。一些法規(guī)明確規(guī)定的控制在某些云服務(wù)類(lèi) 型(例如地理上的要求可能與分布式的存儲(chǔ)不一致)下很難��、或是根本不可能實(shí)現(xiàn)�?��?蛻?hù)與提供商必須就如何收集�����、存儲(chǔ)���,以及共享合規(guī)證據(jù)(如審計(jì)日志�、活動(dòng)報(bào) 告�、系統(tǒng)配置)達(dá)成一致意見(jiàn)。
在實(shí)際工作中��,可以遵循以下一些有益的建議和最佳實(shí)踐:
建議首選那些具有“云意識(shí)”的審計(jì)人員�,他們熟悉保證虛擬化與云技術(shù)的挑戰(zhàn)以及優(yōu)勢(shì)�。
建議要求云服務(wù)提供商提供SSAE 16 SOC2 或 ISAE 3402 類(lèi)型2報(bào)告。這些報(bào)告將為審計(jì)人員和評(píng)估人員提供被承認(rèn)的參考起點(diǎn)�����。
合同應(yīng)該提供給第三方(例如由雙方選擇的中間方)來(lái)評(píng)審S(chǎng)LA的度量標(biāo)準(zhǔn)及合規(guī)性��。
有權(quán)審計(jì)的條款賦予客戶(hù)審計(jì)云提供商的能力�����,這支持在頻繁地變化的云計(jì)算環(huán)境與法規(guī)內(nèi)的可追溯性和透明度�。使用有權(quán)審計(jì)的標(biāo)準(zhǔn)化規(guī)范來(lái)確保對(duì)彼此期望值的理解。最終���,這個(gè)權(quán)利應(yīng)由第三方的認(rèn)證(例如ISO/IEC 27001或27017認(rèn)證)所取代�。
使用指定訪(fǎng)問(wèn)權(quán)限的透明度條款提供那些身處受到高度監(jiān)管行業(yè)的用戶(hù)(包括那些可將不合規(guī)作為刑事訴訟依據(jù)的行業(yè))所需要的信息。該協(xié)議應(yīng)該與自動(dòng)產(chǎn)生或可直接訪(fǎng)問(wèn)的信息(例如日志���、報(bào)告)�,以及推送的信息(例如系統(tǒng)架構(gòu)���、審計(jì)報(bào)告)區(qū)分開(kāi)來(lái)����。
云提供商應(yīng)該定期(或是按需)地評(píng)審����、更新并且發(fā)布他們的信息安全文檔和GRC(Governance, Risk and Compliance,治理�、風(fēng)險(xiǎn)和合規(guī),簡(jiǎn)稱(chēng)GRC)流程�。這些資料應(yīng)該包括漏洞分析以及相關(guān)的補(bǔ)救措施決策和活動(dòng)。
第三方審計(jì)人員應(yīng)由云提供商和客戶(hù)事先共同披露或選擇�����。
各方應(yīng)就采用一個(gè)共同的IT治理和安全控制認(rèn)證保證框架(例如ISO或COBIT標(biāo)準(zhǔn))達(dá)成一致�。
來(lái)源:CIO時(shí)代網(wǎng)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”�����,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章��,不代表本網(wǎng)觀(guān)點(diǎn)和立場(chǎng)���。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056���。
延伸閱讀
