惠普FLow MFP是企業(yè)文印安全的保障
由于許多云計算部署中缺少對基礎設施的物理控制����,因此與傳統(tǒng)的企業(yè)擁有基礎設施相比,服務水平協(xié)議(SLA)�、合同需求及提供商文檔化在風險管理中會扮演更重要的角色。 由于云計算中的按需提供和多租戶特點�����,傳統(tǒng)形式的審計和評估可能并不適用���,或需要更改�����。例如���,一些提供商限制脆弱性評估和滲透測試,而其他的則限制提供審計日志和實時監(jiān)控數(shù)據(jù)�。如果這些在內部策略中都是要求的,那么就需要尋找替代的評估方法�����、某些具體的合同免責條款,或尋找與風險管理需求更一致的替代提供商�����。
至于對組織的關鍵功能使用云服務����,風險管理方法應該包括識別和評估資產��、識別和分析威脅和弱點及其對資產(風險和事件場景)的潛在影響�、分析事件/場景的可能性、管理層批準的風險接受水平和標準�、多種風險處置(控制、避免���、轉嫁�����、接受)計劃的開發(fā)��。風險處置計劃的結果應作為服務合約的一部分�。
提供商和用戶的風險評估方法應一致,影響分析標準和可能性定義也一致��。用戶和提供商應共同開發(fā)云服務的風險場景����,這應該固化在提供商為用戶服務的設計中和用戶的云服務風險評估中。
資產清單應盤點支持云服務且在提供商控制下的資產����。用戶和提供商的資產分類和評估方案(evaluation scheme)應一致。
提供商及其服務都應該是風險評估的主題�。云服務的使用、使用的特定服務和部署模型����,都應該與組織的風險管理目標及業(yè)務目標一致。
如果提供商不能演示證明其服務的全面有效的風險管理流程����,用戶應詳細評估該供應商,以及是否可以使用用戶自身的能力來補償潛在的風險管理差距�����。
云服務的用戶應詢問管理層對云服務的風險容忍和可接受的殘余風險是否已經(jīng)有所定義��。
信息風險管理建議
信息風險管理(IRM)是將暴露(exposure)與風險聯(lián)系的法則,也是通過數(shù)據(jù)所有者的風險容忍對其進行管理的能力���。如此�����,對于設計用以保護信息資產的機密性����、完整性和可用性(CIA)的信息技術資源�,信息風險管理是最優(yōu)先的決策支持方法���。
采用風險管理框架模型來評估IRM�����,用成熟模型來評估IRM模型的有效性�。
建立適當?shù)暮贤枨蠛图夹g控制�����,來收集信息風險決策所需要的數(shù)據(jù)(例如��,信息使用、訪問控制���、安全控制����、位置等)�����。
在開發(fā)云計算項目需求前��,采用用以確定風險暴露的流程����。雖然了解暴露和管理能力所需的信息類別比較一般化,但實際收集的指標對于云計算SPI模型是特定的���,是可以按照服務來采集的�。 在使用SaaS時����,絕大多數(shù)信息都由服務提供商提供。組織應在SaaS服務合同責任中制定分析信息的收集流程。
當采用PaaS時����,建立類似上述SaaS服務的信息采集能力。在可能的地方��,包括進部署和從控制中采集信息的能力���,建立對這些控制的有效性進行測試的合同條款�����。
當使用IaaS服務提供商時����,在合同中為風險分析需求信息“植入”信息透明性��。
云服務提供商應包括指標和控制來幫助用戶實施他們的信息風險管理需求����。第三方管理建議用戶應該將云服務和安全視為供應鏈安全問題��。這意味著在盡可能的程度上檢查和評估提供商的供應鏈(服務提供商的關聯(lián)和依賴關系)�����。這也意味著檢查提供商自己的第三方管理。
對第三方服務提供商的評估應具體指向提供商在事件管理��、業(yè)務連續(xù)性和災難恢復等方面的策略�、流程和規(guī)程;還應包括對共用場地和備份設施的審查。這應包括審查提供商是否遵從其自身策略和規(guī)程的內部評估���,評估提供商在這些領域為其控制的績效和有效性提供信息的指標體系�。
用戶的業(yè)務連續(xù)性和災難恢復計劃應包括提供商服務失效的場景���,及提供商的第三方服務和第三方服務依賴能力的失效場景�。對計劃中這部分的測試應與云提供商協(xié)調�。
對提供商的信息安全安全管理、風險管理和合規(guī)結構及流程的全面評估應包括:
要求文檔清晰記錄如何評估設施和服務的風險�、審計控制弱點、評估頻率及如何及時消減控制弱點��。
要求定義提供商認為的關鍵服務和信息安全成功因素����、關鍵績效指標KPI,及如何測量這些與IT服務和信息安全管理相關的內容��。
審查提供商的法律、法規(guī)�����、行業(yè)及合同需求的獲得�、評估及溝通流程是否全面。
對整個合同或服務條款做盡職調查來確定角色��、職責和可糾責性���。確保法律審查�,包括評估在國外或州司法管轄之外的地區(qū)當?shù)睾贤瑮l款和法律是否可以強制執(zhí)行�����。
定義應有的職責需求是否包括了所有云提供商關系的重大方面�����,例如提供商的財政狀況��、名譽(如參考檢查)��、控制�、關鍵人員、災難恢復計劃和測試����、保險、通信能力及轉包商的使用����。
總結
隨著云計算逐漸發(fā)展成為一種可行的且具有高性價比的整體系統(tǒng)、甚至整體商業(yè)流程外包方式�,云計算應用的安全管理和企業(yè)風險控制就需要提到相應的議事日程上來了,在云計算中����,有效地安全管理和企業(yè)風險控制是從良好開發(fā)的信息安全安全管理過程得到的,是組織的全面企業(yè)安全管理責任應有的注意�。良好開發(fā)的信息安全安全管理過程會使信息安全管理程序一直可依據(jù)業(yè)務伸縮、可在組織內重復�、可測量、可持續(xù)���、可防御�����、可持續(xù)改進且具有成本效益��。
