企業云計算的合規總體需求
企業將其業務從傳統數據中心遷移至云計算數據中心的選擇將使其面臨新的安全挑戰,其中最重要的挑戰之一即遵從眾多監管條例對交付、度量和通信的合規約束。云計算服務用戶和供應商需要理解和掌握當前合規和審核標準、過程和實踐的區別和意義。云計算分布式和虛擬化的特性需要基于具體化的信息和過程實體進行重大的框架調整。
集中化和統一化的管理平臺使云計算本身具備提升透明度和保障能力的潛力。此外,云服務供應商提供的外包方案降低了合規對規模的依賴程度。原本在云計算時代之前成本高昂的企業合規,將由于云服務供應商能夠第一時間提供合規解決方案,使得企業(盈利性和非盈利性)能夠獲得市場準入開展業務。政府和其他原本抵觸IT運維外包的組織考慮到安全性和合規性,將更積極采用云計算模型,其部分合規性需求將通過合約義務而滿足。
此外對于云服務供應商和用戶來說,其監管和審核機構也正在逐漸適應云計算這一新領域。僅有少量法律法規是面向虛擬化環境或者云部署模型的安全性證明而編寫。云計算用戶在向審核機構證明組織合規時將存在挑戰。理解云計算與監管環境的相關性將是任何“云”戰略的關鍵因素。云計算用戶務必考慮并且理解以下幾點:
針對特定的云服務或者服務提供商的監管含義,對適用跨境或者多管轄權的事例給予特別關注;
云服務提供商和用戶的合規責任分配,包括間接提供商(如你所采用云服務提供商的云服務提供商);
云服務提供商的合規呈現能力,包括及時的文檔生成,證據產生以及過程合規;
用戶、服務提供商以及審核機構(用戶和服務提供商雙方)的關系,以確保按照需要的訪問權(適當限制)并與治理要求相對應。
云計算合規應對建議
具體來說,企業在合規方面,應注重如下幾個方面工作:
公司治理:一個組織在股東,董事會和管理層之間達成控制平衡,能提供管理的一致性,方針、指南和控制項的結合應用,并支持有效地決策;
企業風險管理:組織采用方法和過程(框架)來確保作出平衡的決策,該決策基于對組織目標(風險和機遇)相關的特定事件和場景的識別,可能性和影響級別評估,響應策略的采取,進展監控,從而保護和創造股東價值;
合規性和審核保證:通過評估合規狀態來對企業義務(企業社會責任、道德標準,適用法律,法律法規,合約,戰略和方針)的感知和遵循,評估風險和不合規成本以及達成合規的開銷,從而對必要糾正措施進行排序、儲備和發起。
云使用的信息技術受到日益增多的方針和法律法規約束。所有的股東期望組織主動遵守多重的監管準則與要求。IT治理對于滿足相關要求是有必要的,同時,所有組織也需要采取戰略來實現相關要求。 治理包括在外部環境約束下能夠順利達成組織目標的流程和方針。治理對合規活動提出要求,以確保運營完全滿足上述流程和方針。從這層意義上說,合規的重點與外部要求相匹配(法律法規,工業標準),而治理則是與內部要求相匹配(董事會決定、企業方針) 合規可定義為對企業義務(企業社會責任、適用法律,道德指南)的感知和遵循,包括對適當和必要的糾正性措施的評估和排序。在某些高度監管的環境下,透明度可以對內部特定策略進行補充,成為組織效率的優勢而非制約。法律法規通常對信息技術和其治理來說意義重大,特別在監控、管理、防護和發布等方面。IT治理是企業總體治理、企業風險管理、合規和審核/保障的支撐要素。
“云”成為治理和合規的輔助技術,通過管理平臺尤其是內部管理云實現集中化控制和透明度。透過云服務的影響,一定規模以下的組織可以與規模更大,資源優勢更明顯的企業達成同等級別的合規。安全和保障服務成為第三方參與合規評估和通信的一種方法。
任何合規方法都將需要包括IT部門在內的整個組織參與。外部供應商所承擔的角色需要仔細思考,承擔將其直接或者間接納入治理的責任,并在用戶組織內清晰地實現分配。
京公網安備 11010502049343號