企業(yè)在使用云計(jì)算的過程中�����,面臨很大的一個安全方面的問題就是需要應(yīng)對各級主管部門的合規(guī)要求,本文將對企業(yè)云計(jì)算的合規(guī)要求和應(yīng)對方法進(jìn)行詳細(xì)介紹����。
企業(yè)云計(jì)算的合規(guī)總體需求
企業(yè)將其業(yè)務(wù)從傳統(tǒng)數(shù)據(jù)中心遷移至云計(jì)算數(shù)據(jù)中心的選擇將使其面臨新的安全挑戰(zhàn),其中最重要的挑戰(zhàn)之一即遵從眾多監(jiān)管條例對交付�、度量和通信的合規(guī)約束。云計(jì)算服務(wù)用戶和供應(yīng)商需要理解和掌握當(dāng)前合規(guī)和審核標(biāo)準(zhǔn)���、過程和實(shí)踐的區(qū)別和意義�。云計(jì)算分布式和虛擬化的特性需要基于具體化的信息和過程實(shí)體進(jìn)行重大的框架調(diào)整�����。
集中化和統(tǒng)一化的管理平臺使云計(jì)算本身具備提升透明度和保障能力的潛力���。此外�,云服務(wù)供應(yīng)商提供的外包方案降低了合規(guī)對規(guī)模的依賴程度�����。原本在云計(jì)算時(shí)代之前成本高昂的企業(yè)合規(guī)����,將由于云服務(wù)供應(yīng)商能夠第一時(shí)間提供合規(guī)解決方案���,使得企業(yè)(盈利性和非盈利性)能夠獲得市場準(zhǔn)入開展業(yè)務(wù)。政府和其他原本抵觸IT運(yùn)維外包的組織考慮到安全性和合規(guī)性�����,將更積極采用云計(jì)算模型�����,其部分合規(guī)性需求將通過合約義務(wù)而滿足��。
此外對于云服務(wù)供應(yīng)商和用戶來說�����,其監(jiān)管和審核機(jī)構(gòu)也正在逐漸適應(yīng)云計(jì)算這一新領(lǐng)域���。僅有少量法律法規(guī)是面向虛擬化環(huán)境或者云部署模型的安全性證明而編寫。云計(jì)算用戶在向?qū)徍藱C(jī)構(gòu)證明組織合規(guī)時(shí)將存在挑戰(zhàn)�。理解云計(jì)算與監(jiān)管環(huán)境的相關(guān)性將是任何“云”戰(zhàn)略的關(guān)鍵因素。云計(jì)算用戶務(wù)必考慮并且理解以下幾點(diǎn):
針對特定的云服務(wù)或者服務(wù)提供商的監(jiān)管含義����,對適用跨境或者多管轄權(quán)的事例給予特別關(guān)注�;
云服務(wù)提供商和用戶的合規(guī)責(zé)任分配����,包括間接提供商(如你所采用云服務(wù)提供商的云服務(wù)提供商);
云服務(wù)提供商的合規(guī)呈現(xiàn)能力��,包括及時(shí)的文檔生成�,證據(jù)產(chǎn)生以及過程合規(guī);
用戶���、服務(wù)提供商以及審核機(jī)構(gòu)(用戶和服務(wù)提供商雙方)的關(guān)系�����,以確保按照需要的訪問權(quán)(適當(dāng)限制)并與治理要求相對應(yīng)�����。
云計(jì)算合規(guī)應(yīng)對建議
具體來說����,企業(yè)在合規(guī)方面��,應(yīng)注重如下幾個方面工作:
公司治理:一個組織在股東�����,董事會和管理層之間達(dá)成控制平衡,能提供管理的一致性����,方針、指南和控制項(xiàng)的結(jié)合應(yīng)用�����,并支持有效地決策����;
企業(yè)風(fēng)險(xiǎn)管理:組織采用方法和過程(框架)來確保作出平衡的決策,該決策基于對組織目標(biāo)(風(fēng)險(xiǎn)和機(jī)遇)相關(guān)的特定事件和場景的識別����,可能性和影響級別評估,響應(yīng)策略的采取�,進(jìn)展監(jiān)控����,從而保護(hù)和創(chuàng)造股東價(jià)值;
合規(guī)性和審核保證:通過評估合規(guī)狀態(tài)來對企業(yè)義務(wù)(企業(yè)社會責(zé)任���、道德標(biāo)準(zhǔn)�,適用法律,法律法規(guī)�����,合約��,戰(zhàn)略和方針)的感知和遵循����,評估風(fēng)險(xiǎn)和不合規(guī)成本以及達(dá)成合規(guī)的開銷,從而對必要糾正措施進(jìn)行排序����、儲備和發(fā)起。
云使用的信息技術(shù)受到日益增多的方針和法律法規(guī)約束��。所有的股東期望組織主動遵守多重的監(jiān)管準(zhǔn)則與要求����。IT治理對于滿足相關(guān)要求是有必要的,同時(shí)����,所有組織也需要采取戰(zhàn)略來實(shí)現(xiàn)相關(guān)要求��。 治理包括在外部環(huán)境約束下能夠順利達(dá)成組織目標(biāo)的流程和方針�����。治理對合規(guī)活動提出要求��,以確保運(yùn)營完全滿足上述流程和方針�����。從這層意義上說�,合規(guī)的重點(diǎn)與外部要求相匹配(法律法規(guī)���,工業(yè)標(biāo)準(zhǔn))�����,而治理則是與內(nèi)部要求相匹配(董事會決定��、企業(yè)方針) 合規(guī)可定義為對企業(yè)義務(wù)(企業(yè)社會責(zé)任��、適用法律,道德指南)的感知和遵循�,包括對適當(dāng)和必要的糾正性措施的評估和排序��。在某些高度監(jiān)管的環(huán)境下�����,透明度可以對內(nèi)部特定策略進(jìn)行補(bǔ)充��,成為組織效率的優(yōu)勢而非制約�����。法律法規(guī)通常對信息技術(shù)和其治理來說意義重大����,特別在監(jiān)控���、管理����、防護(hù)和發(fā)布等方面���。IT治理是企業(yè)總體治理�����、企業(yè)風(fēng)險(xiǎn)管理�、合規(guī)和審核/保障的支撐要素。
“云”成為治理和合規(guī)的輔助技術(shù)�,通過管理平臺尤其是內(nèi)部管理云實(shí)現(xiàn)集中化控制和透明度。透過云服務(wù)的影響��,一定規(guī)模以下的組織可以與規(guī)模更大��,資源優(yōu)勢更明顯的企業(yè)達(dá)成同等級別的合規(guī)��。安全和保障服務(wù)成為第三方參與合規(guī)評估和通信的一種方法�。
任何合規(guī)方法都將需要包括IT部門在內(nèi)的整個組織參與。外部供應(yīng)商所承擔(dān)的角色需要仔細(xì)思考�,承擔(dān)將其直接或者間接納入治理的責(zé)任,并在用戶組織內(nèi)清晰地實(shí)現(xiàn)分配�����。
來源:CIO時(shí)代網(wǎng)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品�,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力�。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點(diǎn)和立場��。版權(quán)事宜請聯(lián)系:010-65363056。
延伸閱讀
