但是擁有很多優勢的云計算技術并不是沒有成本。在云計算領域,有著最為引人關注的因素:那就是安全。
如果人們搜索組織在應用云計算所面臨的陷阱和關注問題時,就會發現安全這個主題將會反復出現。一個希望將使用云服務的公司必須權衡云環境提供的好處,以避免與委托其敏感數據相關的組織所帶來的風險。這些數據往往包括個人身份信息(以下稱為PII),這通常是經常受到審查的數據類別,并受到一些最嚴格的法律和法規要求的約束。
云計算服務提供商的客戶希望確保安全,他們委托一家云計算服務提供商將其個人身份信息(PII)保持至少與他們控制的數據相同的安全標準水平。對于一些組織來說,風險甚至更高,因為這是由某些法律和法規要求規定的,例如電子個人健康信息的“健康保險便攜性和責任法案”(HIPAA)以及敏感財務的金融服務現代化法案(GLBA(GLBA)信息。
許多云服務提供商認為他們對客戶的數據一無所知。然而,如果涉及個人健康信息或敏感財務數據的安全漏洞,云服務提供商可能會在適當的安全和隱私措施不到位的情況下遭遇到高額罰款和聲譽損失。而一個有效的信息安全管理系統具有針對云安全和針對個人身份信息(PII)的隱私的特定控制考慮,這對云服務提供商來說是無價的。
人們可能對信息安全管理系統有什么疑問。要定義一個信息安全管理系統,首先了解一下它不是什么。信息安全管理系統不是指實施信息安全功能的實際“系統”,“應用”或“工具”。
更廣泛的定義如下:信息安全管理系統代表組織解決信息安全問題的整體方法。這包括高層管理人員為了解決這些風險而采取的行動,可以通過執行以下操作來證明其行為:
•采用自上而下的信息安全方法,鼓勵組織內的人員了解信息安全最佳實踐
•根據其組織的獨特威脅和漏洞進行風險評估
•通過使用和選擇內部審計師,主動尋找問題和關注點
•監測和測量信息安全管理系統的性能和有效性
•建立持續改進信息安全管理體系的承諾
•確保實施安全控制并適用于其組織的目標和宗旨
最常用來展示組織有效實施信息安全管理體系的標準是ISO 27001標準。 ISO 27001標準是基本框架,幾乎基于云計算或其他方面的所有服務提供商都可以努力實施。值得注意的是,ISO 27001為實施有效的信息安全管理體系的組織提供了許多好處,但有兩個可能是最相關的,值得一提:
•有效的信息安全管理系統向潛在客戶和當前客戶表明服務組織意味著保護其所托付和負責的數據的業務。
•有效的信息安全管理系統幫助組織建立一種前瞻和主動的方法來解決信息安全問題,而不是通過一般側重于歷史信息的審計文化帶來一種落后的觀念。
上述要點可能足以使任何服務機構考慮實施信息安全管理系統。組織可以通過向客戶展示認真處理信息來享受的聲譽效益難以衡量。組織可以通過在發生安全事件的情況下實施有效的響應程序來節省成本也是無法估量的。當然,古老的格言仍然提醒人們:沒有準備就是準備失敗,這是ISO的本質。
但是,在ISO 27001標準下,這一點并沒有停止,特別是對于交易必須更加重視信息安全的云服務提供商而言。除了符合ISO 27001標準的要求之外,組織還可以實施一系列措施,在處理敏感數據(例如個人身份信息)時增加安全和隱私措施。該標準被稱為ISO 27018,可以根據ISO 27001標準與有效的信息安全管理系統一起實現。
ISO 27018,另外被稱為ISO / IEC 27018:2014,是建立在一個組織的信息安全管理系統的基礎上,通過建立一組專門用于保護PII在公共云中作為PII處理器的基于隱私的控制,重點是保護云中的個人身份信息(PII)。 ISO 27018提供了專門用于保護個人敏感數據的新的控件子集。
以下列出了對某些ISO 27018要求的高級概述:
•為云計算客戶提供訪問,糾正和清除自己的個人身份信息(PII)的能力
•確保數據根據其預期目的進行處理
•刪除臨時文件的步驟
•實施定義的披露程序
•如果使用分包商,提供公開透明的通知
•通過執行違規通知程序,鼓勵云服務提供商問責
•對云服務提供商的更加嚴格的信息安全要求
希望在考慮上述概述之后,更清楚的是,實施符合ISO 27001標準的信息安全系統對于服務機構來說是非常重要的,但云計算服務提供商希望能夠解決其客戶的任何安全隱私問題,將這些控制采用ISO 27018標準可能是組織的最佳選擇。
隨著技術的發展,其潛在的威脅和漏洞也隨之演化。有效的信息安全管理系統為組織提供了一種主動,前瞻性的信息安全方法。鑒于云計算技術自成立以來一直受到安全和隱私問題的困擾,這一點更為重要。因為風險只會繼續增加。
云服務提供商現在可能需要考慮如何使其組織從實施信息安全管理系統中獲益,該系統將其27001控制與ISO 27018目標相一致。
京公網安備 11010502049343號