在云计算中,有效地安全管理和企业风险控制是从良好开发的信息安全安全管理过程得到的,是组织的全面企业安全管理要注意的。本文给出了在云计算中有关安全管理、企业风险控制和信息风险管理的意见和建议。 在云计算中,有效地安全管理和企业风险控制是从良好开发的信息安全安全管理过程得到的,是组织的全面企业安全管理要注意的。本文给出了在云计算中有关安全管理、企业风险控制和信息风险管理的意见和建议。
在云计算中,有效地安全管理和企业风险控制是从良好开发的信息安全安全管理过程得到的,是组织的全面企业安全管理要注意的。良好开发的信息安全安全管理过程会使信息安全管理程序一直可依据业务伸缩、可在组织内重复、可测量、可持续、可防御、可持续改进且具有成本效益。
云计算中的安全管理和企业风险控制的基本问题关系到识别和实施适当的组织架构、流程及控制来维持有效的信息安全安全管理、风险管理及合规性。组织还应确保在任何云部署模型中,都有适当的信息安全贯穿于信息供应链,包括云计算服务的供应商和用户,及其支持的第三方供应商。
安全管理建议
一部分从云计算服务节省的费用必须投资到提升提供商的安全能力、应用的安全控制和正在进行的详细评估和审计检查中,以确保能够持续满足需求。
不管是什么服务或部署模型,云计算服务的用户和提供商都应开发健壮的信息安全安全管理。信息安全安全管理应由用户和提供商协作来达到支持业务使命和信息安全程序的一致目标。服务模型可以调整协同信息安全安全管理和风险管理中定义的角色和职责(基于各自对用户和提供商的控制范围),部署模型可能定义责任和预期(基于风险评估)。
用户组织应包括审查具体的信息安全安全管理架构和流程,及具体的信息安全控制,作为未来提供商组织的部分应有的责任(due diligence)。应该评估提供商的安全安全管理流程和能力的充足性、成熟度及与用户信息安全管理流程的连续性。提供商的信息安全控制应基于风险确定并清晰地支持这些管理流程。
用户和提供商间的协同安全管理架构和流程是很必要的,既是部分服务交付(services delivery)的设计和开发,也是风险评估和风险管理协议,然后作为服务协议的一部分。
在建立服务水平协议(SLA)及合同契约义务时应包括安全部门,来确保安全需求在合同层面上是可强制执行的。
在迁移进云端前,测量绩效和信息安全管理有效性的指标体系和标准都应建立起来。至少,组织应理解并文档化他们当前的指标,及运营迁移进云时,这些指标会如何变动,因为云提供商可能使用不同的(有可能不兼容)指标。
只要有可能,所有服务水平协议(SLA)和合同中都应该包含安全指标和标准(尤其是那些法律和合规性需求相关的)。这些标准和指标应是文档记录的并是可证明的(可审计)。
企业风险控制建议
和任何新业务流程一样,遵循风险管理的最佳实践很重要。实践应该与云服务的具体用途相匹配,这些用途可能从无意的和临时的数据处理到处理高敏感性数据的关键业务流程。对企业风险控制和信息风险管理的全面讨论超出了本指南的范畴,以下列举了一些云特有的建议,可以整合进已有的风险管理和流程。
由于许多云计算部署中缺少对基础设施的物理控制,因此与传统的企业拥有基础设施相比,服务水平协议、合同需求及提供商文档化在风险管理中会扮演更重要的角色。
由于云计算中的按需提供和多租户特点,传统形式的审计和评估可能并不适用,或需要更改。例如,一些提供商限制脆弱性评估和渗透测试,而其他的则限制提供审计日志和实时监控数据。如果这些在内部策略中都是要求的,那么就需要寻找替代的评估方法、某些具体的合同免责条款,或寻找与风险管理需求更一致的替代提供商。
至于对组织的关键功能使用云服务,风险管理方法应该包括识别和评估资产、识别和分析威胁和弱点及其对资产(风险和事件场景)的潜在影响、分析事件/场景的可能性、管理层批准的风险接受水平和标准、多种风险处置(控制、避免、转嫁、接受)计划的开发。风险处置计划的结果应作为服务合约的一部分。
提供商和用户的风险评估方法应一致,影响分析标准和可能性定义也一致。用户和提供商应共同开发云服务的风险场景,这应该固化在提供商为用户服务的设计中和用户的云服务风险评估中。
资产清单应盘点支持云服务且在提供商控制下的资产。用户和提供商的资产分类和评估方案(evaluation scheme)应一致。
提供商及其服务都应该是风险评估的主题。云服务的使用、使用的特定服务和部署模型,都应该与组织的风险管理目标及业务目标一致。
如果提供商不能演示证明其服务的全面有效的风险管理流程,用户应详细评估该供应商,以及是否可以使用用户自身的能力来补偿潜在的风险管理差距。
云服务的用户应询问管理层对云服务的风险容忍和可接受的残余风险是否已经有所定义。
(责任编辑:蒙遗善)