雲計算中的安全管理和企業風險控制

在雲計算中，有效地安全管理和企業風險控制是從良好開發的資訊安全安全管理過程得到的，是組織的全面企業安全管理要注意的。 本文給出了在雲計算中有關安全管理、企業風險控制和資訊風險管理的意見和建議。 在雲計算中，有效地安全管理和企業風險控制是從良好開發的資訊安全安全管理過程得到的，是組織的全面企業安全管理要注意的。 本文給出了在雲計算中有關安全管理、企業風險控制和資訊風險管理的意見和建議。

在雲計算中，有效地安全管理和企業風險控制是從良好開發的資訊安全安全管理過程得到的，是組織的全面企業安全管理要注意的。 良好開發的資訊安全安全管理過程會使資訊安全管理程式一直可依據業務伸縮、可在組織內重複、可測量、可持續、可防禦、可持續改進且具有成本效益。

雲計算中的安全管理和企業風險控制的基本問題關係到識別和實施適當的組織架構、流程及控制來維持有效的資訊安全安全管理、風險管理及合規性。 組織還應確保在任何雲部署模型中，都有適當的資訊安全貫穿于資訊供應鏈，包括雲計算服務的供應商和使用者，及其支援的協力廠商供應商。

安全管理建議

一部分從雲計算服務節省的費用必須投資到提升供應商的安全能力、應用的安全控制和正在進行的詳細評估和審計檢查中，以確保能夠持續滿足需求。

不管是什麼服務或部署模型，雲計算服務的使用者和供應商都應開發健壯的資訊安全安全管理。 資訊安全安全管理應由使用者和供應商協作來達到支援業務使命和資訊安全程式的一致目標。 服務模型可以調整協同資訊安全安全管理和風險管理中定義的角色和職責（基於各自對使用者和供應商的控制範圍），部署模型可能定義責任和預期（基於風險評估）。

使用者組織應包括審查具體的資訊安全安全管理架構和流程，及具體的資訊安全控制，作為未來供應商組織的部分應有的責任（due diligence）。 應該評估供應商的安全安全管理流程和能力的充足性、成熟度及與使用者資訊安全管理流程的連續性。 供應商的資訊安全控制應基於風險確定並清晰地支援這些管理流程。

使用者和供應商間的協同安全管理架構和流程是很必要的，既是部分服務交付（services delivery）的設計和開發，也是風險評估和風險管理協定，然後作為服務協定的一部分。

在建立服務水準協定（SLA）及合同契約義務時應包括安全部門，來確保安全需求在合同層面上是可強制執行的。

在遷移進雲端前，測量績效和資訊安全管理有效性的指標體系和標準都應建立起來。 至少，組織應理解並文檔化他們當前的指標，及運營遷移進雲時，這些指標會如何變動，因為雲供應商可能使用不同的（有可能不相容）指標。

只要有可能，所有服務水準協定（SLA）和合同中都應該包含安全指標和標準（尤其是那些法律和合規性需求相關的）。 這些標準和指標應是文檔記錄的並是可證明的（可審計）。

企業風險控制建議

和任何新業務流程一樣，遵循風險管理的最佳實踐很重要。 實踐應該與雲服務的具體用途相匹配，這些用途可能從無意的和臨時的資料處理到處理高敏感性資料的關鍵業務流程。 對企業風險控制和資訊風險管理的全面討論超出了本指南的範疇，以下列舉了一些雲特有的建議，可以整合進已有的風險管理和流程。

由於許多雲計算部署中缺少對基礎設施的物理控制，因此與傳統的企業擁有基礎設施相比，服務水準協定、合同需求及供應商文檔化在風險管理中會扮演更重要的角色。

由於雲計算中的按需提供和多租戶特點，傳統形式的審計和評估可能並不適用，或需要更改。 例如，一些供應商限制脆弱性評估和滲透測試，而其他的則限制提供審計日誌和即時監控資料。 如果這些在內部策略中都是要求的，那麼就需要尋找替代的評估方法、某些具體的合同免責條款，或尋找與風險管理需求更一致的替代供應商。

至於對組織的關鍵功能使用雲服務，風險管理方法應該包括識別和評估資產、識別和分析威脅和弱點及其對資產（風險和事件場景）的潛在影響、分析事件/場景的可能性、管理層批准的風險接受水準和標準、多種風險處置（控制、避免、轉嫁、 接受）計畫的開發。 風險處置計畫的結果應作為服務合約的一部分。

供應商和使用者的風險評估方法應一致，影響分析標準和可能性定義也一致。 使用者和供應商應共同開發雲服務的風險場景，這應該固化在供應商為使用者服務的設計中和使用者的雲服務風險評估中。

資產清單應盤點支援雲服務且在供應商控制下的資產。 使用者和供應商的資產分類和評估方案（evaluation scheme）應一致。

供應商及其服務都應該是風險評估的主題。 雲服務的使用、使用的特定服務和部署模型，都應該與組織的風險管理目標及業務目標一致。

如果供應商不能演示證明其服務的全面有效的風險管理流程，使用者應詳細評估該供應商，以及是否可以使用使用者自身的能力來補償潛在的風險管理差距。

雲服務的使用者應詢問管理層對雲服務的風險容忍和可接受的殘餘風險是否已經有所定義。

(責任編輯：蒙遺善)