企业云计算的合规总体需求
企业将其业务从传统数据中心迁移至云计算数据中心的选择将使其面临新的安全挑战,其中最重要的挑战之一即遵从众多监管条例对交付、度量和通信的合规约束。云计算服务用户和供应商需要理解和掌握当前合规和审核标准、过程和实践的区别和意义。云计算分布式和虚拟化的特性需要基于具体化的信息和过程实体进行重大的框架调整。
集中化和统一化的管理平台使云计算本身具备提升透明度和保障能力的潜力。此外,云服务供应商提供的外包方案降低了合规对规模的依赖程度。原本在云计算时代之前成本高昂的企业合规,将由于云服务供应商能够第一时间提供合规解决方案,使得企业(盈利性和非盈利性)能够获得市场准入开展业务。政府和其他原本抵触IT运维外包的组织考虑到安全性和合规性,将更积极采用云计算模型,其部分合规性需求将通过合约义务而满足。
此外对于云服务供应商和用户来说,其监管和审核机构也正在逐渐适应云计算这一新领域。仅有少量法律法规是面向虚拟化环境或者云部署模型的安全性证明而编写。云计算用户在向审核机构证明组织合规时将存在挑战。理解云计算与监管环境的相关性将是任何“云”战略的关键因素。云计算用户务必考虑并且理解以下几点:
针对特定的云服务或者服务提供商的监管含义,对适用跨境或者多管辖权的事例给予特别关注;
云服务提供商和用户的合规责任分配,包括间接提供商(如你所采用云服务提供商的云服务提供商);
云服务提供商的合规呈现能力,包括及时的文档生成,证据产生以及过程合规;
用户、服务提供商以及审核机构(用户和服务提供商双方)的关系,以确保按照需要的访问权(适当限制)并与治理要求相对应。
云计算合规应对建议
具体来说,企业在合规方面,应注重如下几个方面工作:
公司治理:一个组织在股东,董事会和管理层之间达成控制平衡,能提供管理的一致性,方针、指南和控制项的结合应用,并支持有效地决策;
企业风险管理:组织采用方法和过程(框架)来确保作出平衡的决策,该决策基于对组织目标(风险和机遇)相关的特定事件和场景的识别,可能性和影响级别评估,响应策略的采取,进展监控,从而保护和创造股东价值;
合规性和审核保证:通过评估合规状态来对企业义务(企业社会责任、道德标准,适用法律,法律法规,合约,战略和方针)的感知和遵循,评估风险和不合规成本以及达成合规的开销,从而对必要纠正措施进行排序、储备和发起。
云使用的信息技术受到日益增多的方针和法律法规约束。所有的股东期望组织主动遵守多重的监管准则与要求。IT治理对于满足相关要求是有必要的,同时,所有组织也需要采取战略来实现相关要求。 治理包括在外部环境约束下能够顺利达成组织目标的流程和方针。治理对合规活动提出要求,以确保运营完全满足上述流程和方针。从这层意义上说,合规的重点与外部要求相匹配(法律法规,工业标准),而治理则是与内部要求相匹配(董事会决定、企业方针) 合规可定义为对企业义务(企业社会责任、适用法律,道德指南)的感知和遵循,包括对适当和必要的纠正性措施的评估和排序。在某些高度监管的环境下,透明度可以对内部特定策略进行补充,成为组织效率的优势而非制约。法律法规通常对信息技术和其治理来说意义重大,特别在监控、管理、防护和发布等方面。IT治理是企业总体治理、企业风险管理、合规和审核/保障的支撑要素。
“云”成为治理和合规的辅助技术,通过管理平台尤其是内部管理云实现集中化控制和透明度。透过云服务的影响,一定规模以下的组织可以与规模更大,资源优势更明显的企业达成同等级别的合规。安全和保障服务成为第三方参与合规评估和通信的一种方法。
任何合规方法都将需要包括IT部门在内的整个组织参与。外部供应商所承担的角色需要仔细思考,承担将其直接或者间接纳入治理的责任,并在用户组织内清晰地实现分配。
此外,以下标准分别代表了ISO/IEC 和ITU-T发布的云安全标准:
ISO/IEC 27017:云计算安全和隐私管理系统安全控制
ISO/IEC27036-x:众多标准涉及供应商关系管理信息安全,后续计划将作为云供应链的一部分纳入
ITU-T X.ccsec:通信领域云计算安全指引
ITU-T X.srfcts:基于云的通信服务环境安全要求和框架(X.srfcts)
ITU-T X.sfcse:软件即服务(SaaS)应用环境安全功能要求
CIO之家 www.ciozj.com 公众号:imciow