首页 首页 云计算 查看内容

企业云安全的审计相关要求

木马童年 2019-3-16 16:15 7 0

在云计算的应用过程中,企业最为关心的莫过于云的安全问题,如同合规要求一样,企业的云安全工作应该包含审计与保证。必须独立地实施审计,并且应该坚定地设计审计以便表现出最佳实践、恰当的资源,以及经过检验的协 ...

云计算的应用过程中,企业最为关心的莫过于云的安全问题,如同合规要求一样,企业的云安全工作应该包含审计与保证。必须独立地实施审计,并且应该坚定地设计审计以便表现出最佳实践、恰当的资源,以及经过检验的协议及标准。

对于客户和服务提供商而言,内审和外审以及各种控制措施都是合情合理的、可为云计算效力的角色。在引入云计算的起步阶段,更多的透明度可能是增加利益相关者舒适度的最佳选择。审计是提供保证的方法之一,其保证运营风险管理活动得到彻底地检验和评审。

组织最高级别的治理要素应该采纳并支持审计计划。对至关重要的系统及控制进行定期且独立的审计,包括伴随的审计记录和文档将会支持提升效率和可靠性。许多组织使用成熟度模型作为分析流程有效性的框架。在某些情况下更多采用的是统计性的风险管理方法。并且随着该领域的成熟,可以采用适用于职能部门、或业务线的更具专业性的风险模型。对于云计算而言,我们需要修订和加强这些实践。正如信息技术模型一样,审计需要充分利用云计算的潜力,同时增大范围和规模来管理它诸多的新颖性。

与云计算提供商接洽时会牵涉到客户所属组织内适当的法务、采购以及合同团队。服务的标准条款可能并未涉及合规需求,需要就此进行协商。对于受到高度监管的行业来说,当使用云服务时应该考虑专门的合规要求。理解自身当前要求的组织应该考虑分布式IT模型的影响,包括云服务提供商运营于不同的地理位置以及不同的法律管辖区所带来的影响。

为每项工作负荷确定使用云服务将会如何影响现有的合规要求,特别是当与信息安全有关时。尽管有许多外包服务解决方案,组织仍需理解他们与哪个云服务合作伙伴正在处理并应当处理受监管的信息。受影响的策略以及流程的例子包括活动报告、日志、数据保持、事故响应、控制测试和隐私权策略。

各方都应该理解各自的合同职责。期望值的底线将会由于部署模型而有所不同,在IaaS模型中客户拥有更多的控制权和职责,对于SaaS解决方案而言服务提供商扮演着统治性的角色。特别重要的是彼此受约束的要求和责任,而不仅只是限于客户与他们直接的云服务提供商,而且也是在最终用户与提供商的云服务提供商之间。

遵守法规以及行业规定和要求是关键的,并且必须在要求确认阶段就解决。任何被处理、传输、存储的信息,或是被看作是个人可识别信息或私人信息都面临着世界范围内繁多的合规规定,这些合规可能随国家或地区的不同而有差异。既然云计算被设计为是位于不同地区且可扩展的,解决方案中被存储、处理、传输或是检索的数据可能来自云服务提供商的众多场所或多个数据中心。一些法规明确规定的控制在某些云服务类型下很难、或是根本不可能实现。客户与提供商必须就如何收集、存储,以及共享合规证据达成一致意见。

大家在实际工作中,可以遵循以下一些有益的建议和最佳实践:

建议首选那些具有“云意识”的审计人员,他们熟悉保证虚拟化与云技术的挑战以及优势。建议要求云服务提供商提供SSAE16SOC2或 ISAE3402类型2报告。这些报告将为审计人员和评估人员提供被承认的参考起点。合同应该提供给第三方来评审SLA的度量标准及合规性。

有权审计的条款赋予客户审计云提供商的能力,这支持在频繁地变化的云计算环境与法规内的可追溯性和透明度。使用有权审计的标准化规范来确保对彼此期望值的理解。最终,这个权利应由第三方的认证所取代。使用指定访问权限的透明度条款提供那些身处受到高度监管行业的用户所需要的信息。该协议应该与自动产生或可直接访问的信息,以及推送的信息区分开来。

云提供商应该定期地评审、更新并且发布他们的信息安全文档和GRC流程。这些资料应该包括漏洞分析以及相关的补救措施决策和活动。第三方审计人员应由云提供商和客户事先共同披露或选择。各方应就采用一个共同的IT治理和安全控制认证保证框架达成一致。

在不久的将来,多智时代一定会彻底走入我们的生活,有兴趣入行未来前沿产业的朋友,可以收藏多智时代,及时获取人工智能、大数据、云计算和物联网的前沿资讯和基础知识,让我们一起携手,引领人工智能的未来!

云计算 云安全 服务提供商 风险管理 信息技术 提供商
0
为您推荐
人算不如天算,数据驱动的云计算远超天算啦!

人算不如天算,数据驱动的云计算远超天算啦

在今天的世界, 一切业务数据化,一切数据业务化,只有这样才能迎接这个时代。所以我希…...

业务不到两年增速85%,是哪家公司这么厉害?

业务不到两年增速85%,是哪家公司这么厉害?

核心提示:自从2015年9月的OracleOpenWorld大会上推出全线的SaaS和PaaS产品以来,甲骨…...

打开企业云计算之门的利剑,不容错过?

打开企业云计算之门的利剑,不容错过?

在现实中,很多企事业单位的IT基础设施就处于此层次级别,即:只是采用了虚拟化技术去…...

云计算炙手可热,究竟是谁在背后?

云计算炙手可热,究竟是谁在背后?

核心提示:前不久,万达网络科技集团与美国IBM公司达成合作,借助IBM的云计算技术,进…...

云计算对数据进行智能分析,云计算核心技术有哪些?

云计算对数据进行智能分析,云计算核心技术

随着信息技术不断进步,闪存、磁盘、数据中心、DNA等各种新的存储技术不断出现。即便…...

“云”上存储日渐成熟, 那么最关键的是什么?

“云”上存储日渐成熟, 那么最关键的是什

展望未来,世界并不只是由公有或私有化技术组成,还有许多两者的混合体。因此势必会有…...

云计算开源呈现爆发式增长,如何使用云计算开源技术成为产业链关注的热点?

云计算开源呈现爆发式增长,如何使用云计算

近几年来,在云计算领域,开源技术呈现爆发式的增长,借用云计算领域的主流看法,这个…...

云计算提供了基础平台,云计算产业进入2.0

云计算提供了基础平台,云计算产业进入2.0

云计算引发了软件开发部署模式的创新,成为承载各类应用的关键基础设施,并为大数据、…...

私有云的建设是一个需要长期迭代的过程,我们都还在路上!

私有云的建设是一个需要长期迭代的过程,我

伴随着IT新技术的发展,像虚拟化、云计算和大数据对大家来说已经不再陌生了。在企业里…...

大家都要向云计算转型,为什么?

大家都要向云计算转型,为什么?

我们曾经开玩笑说硬件也要向云计算转型,软件也要向云计算转型,系统集成商也要向云计…...