企業(yè)在使用云計算的過程中��,面臨很大的一個安全方面的問題就是需要應對各級主管部門的合規(guī)要求����,本文將對企業(yè)云計算的合規(guī)要求和應對方法進行詳細介紹。
企業(yè)云計算的合規(guī)總體需求
企業(yè)將其業(yè)務從傳統(tǒng)數據中心遷移至云計算數據中心的選擇將使其面臨新的安全挑戰(zhàn)����,其中最重要的挑戰(zhàn)之一即遵從眾多監(jiān)管條例對交付、度量和通信的合規(guī)約束���。云計算服務用戶和供應商需要理解和掌握當前合規(guī)和審核標準�����、過程和實踐的區(qū)別和意義����。云計算分布式和虛擬化的特性需要基于具體化的信息和過程實體進行重大的框架調整。
集中化和統(tǒng)一化的管理平臺使云計算本身具備提升透明度和保障能力的潛力����。此外,云服務供應商提供的外包方案降低了合規(guī)對規(guī)模的依賴程度��。原本在云計算時代之前成本高昂的企業(yè)合規(guī)����,將由于云服務供應商能夠第一時間提供合規(guī)解決方案,使得企業(yè)(盈利性和非盈利性)能夠獲得市場準入開展業(yè)務����。政府和其他原本抵觸IT運維外包的組織考慮到安全性和合規(guī)性,將更積極采用云計算模型�,其部分合規(guī)性需求將通過合約義務而滿足。
此外對于云服務供應商和用戶來說��,其監(jiān)管和審核機構也正在逐漸適應云計算這一新領域����。僅有少量法律法規(guī)是面向虛擬化環(huán)境或者云部署模型的安全性證明而編寫。云計算用戶在向審核機構證明組織合規(guī)時將存在挑戰(zhàn)���。理解云計算與監(jiān)管環(huán)境的相關性將是任何“云”戰(zhàn)略的關鍵因素��。云計算用戶務必考慮并且理解以下幾點:
針對特定的云服務或者服務提供商的監(jiān)管含義��,對適用跨境或者多管轄權的事例給予特別關注����;
云服務提供商和用戶的合規(guī)責任分配�����,包括間接提供商(如你所采用云服務提供商的云服務提供商)����;
云服務提供商的合規(guī)呈現能力,包括及時的文檔生成��,證據產生以及過程合規(guī)���;
用戶�、服務提供商以及審核機構(用戶和服務提供商雙方)的關系�����,以確保按照需要的訪問權(適當限制)并與治理要求相對應。
云計算合規(guī)應對建議
具體來說��,企業(yè)在合規(guī)方面��,應注重如下幾個方面工作:
公司治理:一個組織在股東�����,董事會和管理層之間達成控制平衡��,能提供管理的一致性���,方針�、指南和控制項的結合應用���,并支持有效地決策���;
企業(yè)風險管理:組織采用方法和過程(框架)來確保作出平衡的決策,該決策基于對組織目標(風險和機遇)相關的特定事件和場景的識別��,可能性和影響級別評估���,響應策略的采取�����,進展監(jiān)控��,從而保護和創(chuàng)造股東價值�����;
合規(guī)性和審核保證:通過評估合規(guī)狀態(tài)來對企業(yè)義務(企業(yè)社會責任�����、道德標準��,適用法律���,法律法規(guī),合約�,戰(zhàn)略和方針)的感知和遵循,評估風險和不合規(guī)成本以及達成合規(guī)的開銷��,從而對必要糾正措施進行排序���、儲備和發(fā)起�����。
云使用的信息技術受到日益增多的方針和法律法規(guī)約束���。所有的股東期望組織主動遵守多重的監(jiān)管準則與要求���。IT治理對于滿足相關要求是有必要的,同時�,所有組織也需要采取戰(zhàn)略來實現相關要求。 治理包括在外部環(huán)境約束下能夠順利達成組織目標的流程和方針��。治理對合規(guī)活動提出要求���,以確保運營完全滿足上述流程和方針��。從這層意義上說�����,合規(guī)的重點與外部要求相匹配(法律法規(guī)�����,工業(yè)標準)�����,而治理則是與內部要求相匹配(董事會決定�����、企業(yè)方針) 合規(guī)可定義為對企業(yè)義務(企業(yè)社會責任����、適用法律�����,道德指南)的感知和遵循���,包括對適當和必要的糾正性措施的評估和排序�。在某些高度監(jiān)管的環(huán)境下�����,透明度可以對內部特定策略進行補充��,成為組織效率的優(yōu)勢而非制約。法律法規(guī)通常對信息技術和其治理來說意義重大�����,特別在監(jiān)控�����、管理����、防護和發(fā)布等方面。IT治理是企業(yè)總體治理����、企業(yè)風險管理、合規(guī)和審核/保障的支撐要素����。
“云”成為治理和合規(guī)的輔助技術,通過管理平臺尤其是內部管理云實現集中化控制和透明度�����。透過云服務的影響,一定規(guī)模以下的組織可以與規(guī)模更大���,資源優(yōu)勢更明顯的企業(yè)達成同等級別的合規(guī)��。安全和保障服務成為第三方參與合規(guī)評估和通信的一種方法���。
任何合規(guī)方法都將需要包括IT部門在內的整個組織參與。外部供應商所承擔的角色需要仔細思考����,承擔將其直接或者間接納入治理的責任,并在用戶組織內清晰地實現分配�����。
來源:CIO時代網
版權及免責聲明:凡本網所屬版權作品�,轉載時須獲得授權并注明來源“中國產業(yè)經濟信息網”���,違者本網將保留追究其相關法律責任的權力����。凡轉載文章�,不代表本網觀點和立場。版權事宜請聯(lián)系:010-65363056。
延伸閱讀
