在云计算中,有效的安全管理和企业风险控制是从良好发展的信息安全管理过程中获得的,应注意组织的综合企业安全管理。本文对云计算中的安全管理、企业风险控制和信息风险管理提出了意见和建议。在云计算中,有效的安全管理和企业风险控制是从良好发展的信息安全管理过程中获得的,应注意组织的综合企业安全管理。本文对云计算中的安全管理、企业风险控制和信息风险管理提出了意见和建议。
在云计算中,有效的安全管理和企业风险控制是从良好开发的信息安全管理过程中获得的,应注意组织的综合企业安全管理。信息安全管理过程的良好开发将使信息安全管理程序始终可以根据业务扩展、重复、测量、可持续、防御、可持续改进和成本效益进行。
云计算中的安全管理和企业风险控制的基本问题与识别和实施适当的组织结构、过程和控制有关,以保持有效的信息安全管理、风险管理和合规性。组织还应确保在信息供应链中有适当的信息安全,包括云计算服务的供应商和用户,以及支持的第三方供应商。
安全管理建议
云计算服务节省的部分成本必须投资于提高供应商的安全能力、应用程序的安全控制和正在进行的详细评估和审计检查,以确保需求的持续满足。
无论什么服务或部署模型,云计算服务的用户和提供商都应该开发强大的信息安全管理。信息安全管理应由用户和提供商合作,以实现支持业务使命和信息安全程序的一致目标。服务模型可以调整协同信息安全管理和风险管理中定义的角色和责任(基于用户和提供商的控制范围),部署模型可以定义责任和期望(基于风险评估)。
用户组织应包括审查具体的信息安全管理结构和流程,以及具体的信息安全控制,作为未来供应商组织的一部分(due diligence)。评估与用户信息安全管理流程的充分性、成熟度和连续性。供应商的信息安全控制应根据风险确定并明确支持这些管理流程。
需要用户和提供商之间的协同安全管理结构和流程,这不仅是部分服务交付(services delivery)作为服务协议的一部分,设计和开发也是风险评估和风险管理协议。
建立服务水平协议(SLA)合同义务应包括安全部门,以确保合同层面的安全需求可以强制执行。
在迁移到云之前,应建立测量绩效和信息安全管理有效性的指标体系和标准。至少,组织应该了解和文档他们当前的指标,以及这些指标在运营迁移到云中时会如何变化,因为云提供商可能会使用不同的(可能不兼容)指标。
只要有可能,所有服务水平协议(SLA)合同应包括安全指标和标准(特别是与法律和合规要求有关的)。这些标准和指标应记录在文件中并证明(可审计)。
建议企业风险控制
遵循风险管理,就像任何新的业务流程一样***实践非常重要。实践应与云服务的具体用途相匹配,这可能是从无意的和临时的数据处理到处理高敏感性数据的关键业务流程。对企业风险控制和信息风险管理的全面讨论超出了本指南的范围。以下是一些云独特的建议,可以集成到现有的风险管理和流程中。
由于许多云计算部署缺乏对基础设施的物理控制,服务水平协议、合同需求和提供商文档将在风险管理中发挥更重要的作用。
由于云计算中的按需提供和多租户的特点,传统形式的审计和评估可能不适用或需要更改。例如,一些供应商限制脆弱性评估和渗透性测试,而另一些供应商限制审计日志和实时监控数据。如果这些都需要内部策略,则需要寻找替代评估方法、一些具体的合同豁免条款,或更符合风险管理需求的替代供应商。
风险管理方法应包括识别和评估资产、识别和分析威胁和弱点以及对资产(风险和事件场景)的潜在影响、分析事件/场景的可能性、管理层批准的风险接受水平和标准、开发各种风险处置(控制、避免、转移和接受)计划。风险处置计划的结果应作为服务合同的一部分。
提供商和用户的风险评估方法应一致,影响分析标准和可能性定义也应一致。用户和提供商应共同开发云服务的风险场景,这应固化在提供商为用户服务的设计和用户的云服务风险评估中。
资产清单应盘点支持云服务且在提供商控制下的资产。用户和提供商的资产分类和评估方案(evaluation scheme)应一致。
提供商及其服务应是风险评估的主题。云服务的使用和使用的特定服务和部署模型应与组织的风险管理目标和业务目标一致。
如果供应商无法演示证明其服务的全面有效的风险管理流程,用户应详细评估供应商是否能够利用用户自身的能力来弥补潜在的风险管理差距。
云服务用户应询问管理层是否定义了云服务的风险容忍度和可接受的残余风险。