雲計算中安全管理和企業風險控制的基本問題

在雲計算中，有效地安全管理和企業風險控制是從良好開發的資訊安全安全管理過程得到的，是組織的全面企業安全管理責任應有的注意。 良好開發的資訊安全安全管理過程會使資訊安全管理程式一直可依據業務伸縮、可在組織內重複、可測量、可持續、可防禦、可持續改進且具有成本效益。

雲計算中的安全管理和企業風險控制的基本問題關係到識別和實施適當的組織架構、流程及控制來維持有效的資訊安全安全管理、風險管理及合規性。 組織還應確保在任何雲部署模型中，都有適當的資訊安全貫穿于資訊供應鏈，包括雲計算服務的供應商和使用者，及其支援的協力廠商供應商。

安全管理建議

一部分從雲計算服務節省的費用必須投資到提升供應商的安全能力、應用的安全控制和正在進行的詳細評估和審計檢查中，以確保能夠持續滿足需求。

不管是什麼服務或部署模型，雲計算服務的使用者和供應商都應開發健壯的資訊安全安全管理。 資訊安全安全管理應由使用者和供應商協作來達到支援業務使命和資訊安全程式的一致目標。 服務模型可以調整協同資訊安全安全管理和風險管理中定義的角色和職責(基於各自對使用者和供應商的控制範圍)，部署模型可能定義責任和預期(基於風險評估)。

使用者組織應包括審查具體的資訊安全安全管理架構和流程，及具體的資訊安全控制，作為未來供應商組織的部分應有的責任(due diligence)。 應該評估供應商的安全安全管理流程和能力的充足性、成熟度及與使用者資訊安全管理流程的連續性。 供應商的資訊安全控制應基於風險確定並清晰地支援這些管理流程。

使用者和供應商間的協同安全管理架構和流程是很必要的，既是部分服務交付(services delivery)的設計和開發，也是風險評估和風險管理協定，然後作為服務協定的一部分。

在建立服務水準協定(SLA)及合同契約義務時應包括安全部門，來確保安全需求在合同層面上是可強制執行的。

在遷移進雲端前，測量績效和資訊安全管理有效性的指標體系和標準都應建立起來。 至少，組織應理解並文檔化他們當前的指標，及運營遷移進雲時，這些指標會如何變動，因為雲供應商可能使用不同的(有可能不相容)指標。

只要有可能，所有服務水準協定(SLA)和合同中都應該包含安全指標和標準(尤其是那些法律和合規性需求相關的)。 這些標準和指標應是文檔記錄的並是可證明的(可審計)。

企業風險控制建議

和任何新業務流程一樣，遵循風險管理的最佳實踐很重要。 實踐應該與雲服務的具體用途相匹配，這些用途可能從無意的和臨時的資料處理到處理高敏感性資料的關鍵業務流程。 對企業風險控制和資訊風險管理的全面討論超出了本指南的範疇，以下列舉了一些雲特有的建議，可以整合進已有的風險管理和流程。

由於許多雲計算部署中缺少對基礎設施的物理控制，因此與傳統的企業擁有基礎設施相比，服務水準協定(SLA)、合同需求及供應商文檔化在風險管理中會扮演更重要的角色。

由於雲計算中的按需提供和多租戶特點，傳統形式的審計和評估可能並不適用，或需要更改。 例如，一些供應商限制脆弱性評估和滲透測試，而其他的則限制提供審計日誌和即時監控資料。 如果這些在內部策略中都是要求的，那麼就需要尋找替代的評估方法、某些具體的合同免責條款，或尋找與風險管理需求更一致的替代供應商。

至於對組織的關鍵功能使用雲服務，風險管理方法應該包括識別和評估資產、識別和分析威脅和弱點及其對資產(風險和事件場景)的潛在影響、分析事件/場景的可能性、管理層批准的風險接受水準和標準、多種風險處置(控制、避免、轉嫁、接受 )計畫的開發。 風險處置計畫的結果應作為服務合約的一部分。

供應商和使用者的風險評估方法應一致，影響分析標準和可能性定義也一致。 使用者和供應商應共同開發雲服務的風險場景，這應該固化在供應商為使用者服務的設計中和使用者的雲服務風險評估中。

資產清單應盤點支援雲服務且在供應商控制下的資產。 使用者和供應商的資產分類和評估方案(evaluation scheme)應一致。.

供應商及其服務都應該是風險評估的主題。 雲服務的使用、使用的特定服務和部署模型，都應該與組織的風險管理目標及業務目標一致。

如果供應商不能演示證明其服務的全面有效的風險管理流程，使用者應詳細評估該供應商，以及是否可以使用使用者自身的能力來補償潛在的風險管理差距。

雲服務的使用者應詢問管理層對雲服務的風險容忍和可接受的殘餘風險是否已經有所定義。

資訊風險管理建議

資訊風險管理(IRM)是將暴露(exposure)與風險聯繫的法則，也是通過資料擁有者的風險容忍對其進行管理的能力。 如此，對於設計用以保護資訊資產的機密性、完整性和可用性(CIA)的資訊技術資源，資訊風險管理是最優先的決策支援方法。

採用風險管理框架模型來評估IRM，用成熟模型來評估IRM模型的有效性。

建立適當的合同需求和技術控制，來收集資訊風險決策所需要的資料(例如，資訊使用、存取控制、安全控制、位置等)。

在開發雲計算專案需求前，採用用以確定風險暴露的流程。 雖然瞭解暴露和管理能力所需的資訊類別比較一般化，但實際收集的指標對於雲計算SPI模型是特定的，是可以按照服務來採集的。

在使用SaaS時，絕大多數資訊都由服務提供者提供。 組織應在SaaS服務合同責任中制定分析資訊的收集流程。

當採用PaaS時，建立類似上述SaaS服務的資訊採集能力。 在可能的地方，包括進部署和從控制中採集資訊的能力，建立對這些控制的有效性進行測試的合同條款。

當使用IaaS服務提供者時，在合同中為風險分析需求資訊「植入」資訊透明性。

雲服務提供者應包括指標和控制來説明使用者實施他們的資訊風險管理需求。 協力廠商管理建議

使用者應該將雲服務和安全視為供應鏈安全問題。 這意味著在盡可能的程度上檢查和評估供應商的供應鏈(服務提供者的關聯和依賴關係)。 這也意味著檢查供應商自己的協力廠商管理。

對協力廠商服務提供者的評估應具體指向供應商在事件管理、業務連續性和災害復原等方面的策略、流程和規程;還應包括對共用場地和備份設施的審查。 這應包括審查供應商是否遵從其自身策略和規程的內部評估，評估供應商在這些領域為其控制的績效和有效性提供資訊的指標體系。

使用者的業務連續性和災害復原計畫應包括供應商服務失效的場景，及供應商的協力廠商服務和協力廠商服務依賴能力的失效場景。 對計畫中這部分的測試應與雲供應商協調。

對供應商的資訊安全安全管理、風險管理和合規結構及流程的全面評估應包括：

要求文檔清晰記錄如何評估設施和服務的風險、審計控制弱點、評估頻率及如何及時消減控制弱點。

要求定義供應商認為的關鍵服務和資訊安全成功因素、關鍵效能指標KPI，及如何測量這些與IT服務和資訊安全管理相關的內容。

審查供應商的法律、法規、行業及合同需求的獲得、評估及溝通流程是否全面。

對整個合同或服務條款做盡職調查來確定角色、職責和可糾責性。 確保法律審查，包括評估在國外或州司法管轄之外的地區當地合同條款和法律是否可以強制執行。

定義應有的職責需求是否包括了所有雲供應商關係的重大方面，例如供應商的財政狀況、名譽(如參考檢查)、控制、關鍵人員、災害復原計畫和測試、保險、通信能力及轉包商的使用。

總結

隨著雲計算逐漸發展成為一種可行的且具有高性價比的整體系統、甚至整體商業流程外包方式，雲計算應用的安全管理和企業風險控制就需要提到相應的議事日程上來了，在雲計算中， 有效地安全管理和企業風險控制是從良好開發的資訊安全安全管理過程得到的，是組織的全面企業安全管理責任應有的注意。 良好開發的資訊安全安全管理過程會使資訊安全管理程式一直可依據業務伸縮、可在組織內重複、可測量、可持續、可防禦、可持續改進且具有成本效益。