移动安全 安全管理 应用案例 网络威胁 系统安全 应用安全 数据安全云安全
当前位置: 主页 > 信息安全 > 云安全 >

企业云安然审计要求与建议

时间:2013-09-14 11:51来源:TuZhiJiaMi企业信息安全专家 点击:
犹如合规要求一样,企业的云安然工作应当包含审计与包管。必需自力地实施审计,并且应当果断地设计审计以便表示出最好实践、得当的资本,和颠末查验的和谈及尺度。 对客户和办事供给
Tags信息安全(528)云安全(761)安全审计(18)  

  犹如合规要求一样,企业的云安然工作应当包含审计与包管。必需自力地实施审计,并且应当果断地设计审计以便表示出最好实践、得当的资本,和颠末查验的和谈及尺度。

  对客户和办事供给商而言,内审和外审和各类节制办法都是合情合理的、可为云计较效力的角色。在引进云计较的起步阶段,更多的透明度多是增加好处相干者舒适度的最好选择。审计是供给包管的编制之一,其包管运营风险治理勾当获得完全地查验和评审。

  组织第一流别的治理要素(例如董事会和治理层)应当采取并撑持审计打算。对相当首要的系统及节制进行按期且自力的审计,包含伴随的审计记实和文档将会撑持晋升效力和靠得住性。 良多组织利用成熟度模型(例如CMM、PTQM)作为阐发流程有效性的框架。在某些环境下更多采取的是统计性的风险治理编制(例如用于金融办事的巴塞尔和谈和偿付能力尺度)。并且跟着该范畴的成熟,可以采取合用于本能机能部门、或营业线的更具专业性的风险模型。 对云计较而言,我们需要修订和加强这些实践。正如信息手艺模型一样,审计需要充分操纵云计较的潜力,同时增大年夜范围和范围来治理它诸多的别致性。

  当联系(云计较)供给商时会牵扯到客户所属组织内恰当的法务、采购和合同团队。办事的尺度条目可能并未触及合规需求,需要就此进行协商。

  对遭到高度监管的行业(例如金融业、医疗行业)来讲,当利用云办事时应当考虑专门的合规要求。理解本身当前要求的组织应当考虑漫衍式IT模型的影响,包含云办事供给商运营于不合的地舆位置和不合的法令管辖区所带来的影响。

  为每项工作负荷(例如整套的利用和数据),肯定利用云办事将会若何影响现有的合规要求,出格是当与信息安然有关时。虽然有良多外包办事解决方案,组织仍需理解他们哪个云办事合作火伴正在措置并该当措置受监管的信息。受影响的策略和流程的例子包含勾当陈述、日记、数据保持、变乱响应、节制测试和隐私权策略。

  各方都应当理解各自的合同职责。期看值的底线将会因为摆设模型而有所不合,在IaaS模型中客户具有更多的节制权和职责,对SaaS解决方案而言办事供给商扮演着统治性的角色。出格首要的是彼此受束缚的要乞降责任,而不但只是限于客户与他们直接的云办事供给商,并且也是在最终用户与供给商的云办事供给商之间。

  遵遵律例和行业划定和要求(例如律例、手艺、法令、合规、风险和安然等方面)是关头的,并且必需在要求确认阶段就解决。任何被措置、传输、存储的信息,或是被看作是小我可辨认信息(Personal Identifiable Information,简称PII)或私家信息都面对着世界范围内繁多的合打算定,这些合规可能随国度或地区的不合而有差别。既然云计较被设计为是位于不合地区且可扩大的,解决方案中被存储、措置、传输或是检索的数据可能来自云办事供给商的浩繁场合或多个数据中间。一些律例明白划定的节制在某些云办事类型(例如地舆上的要求可能与漫衍式的存储不一致)下很难、或是底子不成能实现。客户与供给商必需就若何汇集、存储,和共享合规证据(如审计日记、勾当陈述、系统建设)达成一致定见。

  在实际工作中,可以遵守以下一些有益的建议和最好实践:

  建议首选那些具有“云意识”的审计人员,他们熟谙包管虚拟化与云手艺的挑战和优势。

  建议要求云办事供给商供给SSAE 16 SOC2 或 ISAE 3402 类型2陈述。这些陈述将为审计人员和评估人员供给被承认的参考解缆点。

  合同应当供给给第三方(例如由两边选择的中间方)来评审SLA的怀抱尺度及合规性。

  有权审计的条目付与客户审计云供给商的能力,这撑持在频繁地改变的云计较环境与律例内的可追溯性和透明度。利用有权审计的尺度化规范来确保对彼此期看值的理解。最终,这个权力应由第三方的认证(例如ISO/IEC 27001或27017认证)所代替。

  利用指定拜候权限的透明度条目供给那些身处遭到高度监管行业的用户(包含那些可将不合规作为刑事诉讼根据的行业)所需要的信息。该和谈应当与主动产生或可直接拜候的信息(例如日记、陈述),和推送的信息(例如系统架构、审计陈述)辨别隔来。

  云供给商应当按期(或是按需)地评审、更新并且发布他们的信息安然文档和GRC(Governance, Risk and Compliance,治理、风险和合规,简称GRC)流程。这些资料应当包含缝隙阐发和相干的解救办法决定计划和勾当。

  第三方审计人员应由云供给商和客户事前共同透露或选择。

  各方应就采取一个共同的IT治理和安然节制认证包管框架(例如ISO或COBIT尺度)达成一致。

------分隔线----------------------------

推荐内容