惠普FLow MFP是企業(yè)文印安全的保障
由于許多云計(jì)算部署中缺少對基礎(chǔ)設(shè)施的物理控制,因此與傳統(tǒng)的企業(yè)擁有基礎(chǔ)設(shè)施相比���,服務(wù)水平協(xié)議(SLA)�、合同需求及提供商文檔化在風(fēng)險(xiǎn)管理中會扮演更重要的角色�����。 由于云計(jì)算中的按需提供和多租戶特點(diǎn)�����,傳統(tǒng)形式的審計(jì)和評估可能并不適用���,或需要更改����。例如��,一些提供商限制脆弱性評估和滲透測試��,而其他的則限制提供審計(jì)日志和實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)���。如果這些在內(nèi)部策略中都是要求的�,那么就需要尋找替代的評估方法、某些具體的合同免責(zé)條款���,或?qū)ふ遗c風(fēng)險(xiǎn)管理需求更一致的替代提供商����。
至于對組織的關(guān)鍵功能使用云服務(wù)���,風(fēng)險(xiǎn)管理方法應(yīng)該包括識別和評估資產(chǎn)��、識別和分析威脅和弱點(diǎn)及其對資產(chǎn)(風(fēng)險(xiǎn)和事件場景)的潛在影響��、分析事件/場景的可能性��、管理層批準(zhǔn)的風(fēng)險(xiǎn)接受水平和標(biāo)準(zhǔn)���、多種風(fēng)險(xiǎn)處置(控制、避免���、轉(zhuǎn)嫁���、接受)計(jì)劃的開發(fā)。風(fēng)險(xiǎn)處置計(jì)劃的結(jié)果應(yīng)作為服務(wù)合約的一部分�。
提供商和用戶的風(fēng)險(xiǎn)評估方法應(yīng)一致�,影響分析標(biāo)準(zhǔn)和可能性定義也一致�����。用戶和提供商應(yīng)共同開發(fā)云服務(wù)的風(fēng)險(xiǎn)場景��,這應(yīng)該固化在提供商為用戶服務(wù)的設(shè)計(jì)中和用戶的云服務(wù)風(fēng)險(xiǎn)評估中�����。
資產(chǎn)清單應(yīng)盤點(diǎn)支持云服務(wù)且在提供商控制下的資產(chǎn)�����。用戶和提供商的資產(chǎn)分類和評估方案(evaluation scheme)應(yīng)一致����。
提供商及其服務(wù)都應(yīng)該是風(fēng)險(xiǎn)評估的主題����。云服務(wù)的使用、使用的特定服務(wù)和部署模型�����,都應(yīng)該與組織的風(fēng)險(xiǎn)管理目標(biāo)及業(yè)務(wù)目標(biāo)一致。
如果提供商不能演示證明其服務(wù)的全面有效的風(fēng)險(xiǎn)管理流程�����,用戶應(yīng)詳細(xì)評估該供應(yīng)商����,以及是否可以使用用戶自身的能力來補(bǔ)償潛在的風(fēng)險(xiǎn)管理差距。
云服務(wù)的用戶應(yīng)詢問管理層對云服務(wù)的風(fēng)險(xiǎn)容忍和可接受的殘余風(fēng)險(xiǎn)是否已經(jīng)有所定義���。
信息風(fēng)險(xiǎn)管理建議
信息風(fēng)險(xiǎn)管理(IRM)是將暴露(exposure)與風(fēng)險(xiǎn)聯(lián)系的法則����,也是通過數(shù)據(jù)所有者的風(fēng)險(xiǎn)容忍對其進(jìn)行管理的能力����。如此,對于設(shè)計(jì)用以保護(hù)信息資產(chǎn)的機(jī)密性�����、完整性和可用性(CIA)的信息技術(shù)資源��,信息風(fēng)險(xiǎn)管理是最優(yōu)先的決策支持方法����。
采用風(fēng)險(xiǎn)管理框架模型來評估IRM�,用成熟模型來評估IRM模型的有效性�����。
建立適當(dāng)?shù)暮贤枨蠛图夹g(shù)控制��,來收集信息風(fēng)險(xiǎn)決策所需要的數(shù)據(jù)(例如��,信息使用�����、訪問控制�、安全控制����、位置等)。
在開發(fā)云計(jì)算項(xiàng)目需求前���,采用用以確定風(fēng)險(xiǎn)暴露的流程��。雖然了解暴露和管理能力所需的信息類別比較一般化����,但實(shí)際收集的指標(biāo)對于云計(jì)算SPI模型是特定的,是可以按照服務(wù)來采集的�。 在使用SaaS時(shí),絕大多數(shù)信息都由服務(wù)提供商提供����。組織應(yīng)在SaaS服務(wù)合同責(zé)任中制定分析信息的收集流程。
當(dāng)采用PaaS時(shí)��,建立類似上述SaaS服務(wù)的信息采集能力�。在可能的地方,包括進(jìn)部署和從控制中采集信息的能力�,建立對這些控制的有效性進(jìn)行測試的合同條款。
當(dāng)使用IaaS服務(wù)提供商時(shí)�,在合同中為風(fēng)險(xiǎn)分析需求信息“植入”信息透明性。
云服務(wù)提供商應(yīng)包括指標(biāo)和控制來幫助用戶實(shí)施他們的信息風(fēng)險(xiǎn)管理需求�。第三方管理建議用戶應(yīng)該將云服務(wù)和安全視為供應(yīng)鏈安全問題。這意味著在盡可能的程度上檢查和評估提供商的供應(yīng)鏈(服務(wù)提供商的關(guān)聯(lián)和依賴關(guān)系)�。這也意味著檢查提供商自己的第三方管理。
對第三方服務(wù)提供商的評估應(yīng)具體指向提供商在事件管理�、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)等方面的策略、流程和規(guī)程;還應(yīng)包括對共用場地和備份設(shè)施的審查�����。這應(yīng)包括審查提供商是否遵從其自身策略和規(guī)程的內(nèi)部評估,評估提供商在這些領(lǐng)域?yàn)槠淇刂频目冃Ш陀行蕴峁┬畔⒌闹笜?biāo)體系��。
用戶的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃應(yīng)包括提供商服務(wù)失效的場景���,及提供商的第三方服務(wù)和第三方服務(wù)依賴能力的失效場景�。對計(jì)劃中這部分的測試應(yīng)與云提供商協(xié)調(diào)����。
對提供商的信息安全安全管理�、風(fēng)險(xiǎn)管理和合規(guī)結(jié)構(gòu)及流程的全面評估應(yīng)包括:
要求文檔清晰記錄如何評估設(shè)施和服務(wù)的風(fēng)險(xiǎn)、審計(jì)控制弱點(diǎn)����、評估頻率及如何及時(shí)消減控制弱點(diǎn)。
要求定義提供商認(rèn)為的關(guān)鍵服務(wù)和信息安全成功因素��、關(guān)鍵績效指標(biāo)KPI�����,及如何測量這些與IT服務(wù)和信息安全管理相關(guān)的內(nèi)容�。
審查提供商的法律、法規(guī)、行業(yè)及合同需求的獲得�����、評估及溝通流程是否全面�����。
對整個(gè)合同或服務(wù)條款做盡職調(diào)查來確定角色����、職責(zé)和可糾責(zé)性。確保法律審查����,包括評估在國外或州司法管轄之外的地區(qū)當(dāng)?shù)睾贤瑮l款和法律是否可以強(qiáng)制執(zhí)行。
定義應(yīng)有的職責(zé)需求是否包括了所有云提供商關(guān)系的重大方面�,例如提供商的財(cái)政狀況、名譽(yù)(如參考檢查)��、控制�、關(guān)鍵人員、災(zāi)難恢復(fù)計(jì)劃和測試�����、保險(xiǎn)、通信能力及轉(zhuǎn)包商的使用��。
總結(jié)
隨著云計(jì)算逐漸發(fā)展成為一種可行的且具有高性價(jià)比的整體系統(tǒng)���、甚至整體商業(yè)流程外包方式��,云計(jì)算應(yīng)用的安全管理和企業(yè)風(fēng)險(xiǎn)控制就需要提到相應(yīng)的議事日程上來了���,在云計(jì)算中,有效地安全管理和企業(yè)風(fēng)險(xiǎn)控制是從良好開發(fā)的信息安全安全管理過程得到的�,是組織的全面企業(yè)安全管理責(zé)任應(yīng)有的注意。良好開發(fā)的信息安全安全管理過程會使信息安全管理程序一直可依據(jù)業(yè)務(wù)伸縮��、可在組織內(nèi)重復(fù)���、可測量、可持續(xù)���、可防御��、可持續(xù)改進(jìn)且具有成本效益����。
