知识库分类索引
技术分类
厂商分类

治理和企业风险管理

在云计算中,有效地治理和企业风险管理是从良好开发的信息安全治理过程得到的,是组织的全面企业治理责任应有的注意(due care)。良好开发的信息安全治理过程会使信息安全管理程序一直可依据业务伸缩、可在组织内重复、可测量、可持续、可防御、可持续改进且具有成本效益。

云计算中的治理和企业风险管理的基本问题关系到识别和实施适当的组织架构、流程及控制来维持有效的信息安全治理、风险管理及合规性。组织还应确保在任何云部署模型中,都有适当的信息安全贯穿于信息供应链,包括云计算服务的供应商和用户,及其支持的第三方供应商。

治理建议

· 一部分从云计算服务节省的费用必须投资到提升提供商的安全能力、应用的安全控制和正在进行的详细评估和审计检查中,以确保能够持续满足需求。

• 不管是什么服务或部署模型,云计算服务的用户和提供商都应开发健壮的信息安全治理。信息安全治理应由用户和提供商协作来达到支持业务使命和信息安全程序的一致目标。服务模型可以调整协同信息安全治理和风险管理中定义的角色和职责(基于各自对用户和提供商的控制范围),部署模型可能定义责任和预期(基于风险评估)。

• 用户组织应包括审查具体的信息安全治理架构和流程,及具体的信息安全控制,作为未来提供商组织的部分应有的责任(due diligence)。应该评估提供商的安全治理流程和能力的充足性、成熟度及与用户信息安全管理流程的连续性。提供商的信息安全控制应基于风险确定并清晰地支持这些管理流程。

• 用户和提供商间的协同治理架构和流程是很必要的,既是部分服务交付(services delivery)的设计和开发,也是风险评估和风险管理协议,然后作为服务协议的一部分。

• 在建立服务水平协议(SLA)及合同契约义务时应包括安全部门,来确保安全需求在合同层面上是可强制执行的。

• 在迁移进云端前,测量绩效和信息安全管理有效性的指标体系和标准都应建立起来。至少,组织应理解并文档化他们当前的指标,及运营迁移进云时,这些指标会如何变动,因为云提供商可能使用不同的(有可能不兼容)指标。

• 只要有可能,所有服务水平协议(SLA)和合同中都应该包含安全指标和标准(尤其是那些法律和合规性需求相关的)。这些标准和指标应是文档记录的并是可证明的(可审计)。

企业风险管理建议

和任何新业务流程一样,遵循风险管理的最佳实践很重要。实践应该与云服务的具体用途相匹配,这些用途可能从无意的和临时的数据处理到处理高敏感性数据的关键业务流程。对企业风险管理和信息风险管理的全面讨论超出了本指南的范畴,以下列举了一些云特有的建议,可以整合进已有的风险管理和流程。

• 由于许多云计算部署中缺少对基础设施的物理控制,因此与传统的企业拥有基础设施相比,服务水平协议(SLA)、合同需求及提供商文档化在风险管理中会扮演更重要的角色。

• 由于云计算中的按需提供和多租户特点,传统形式的审计和评估可能并不适用,或需要更改。例如,一些提供商限制脆弱性评估和渗透测试,而其他的则限制提供审计日志和实时监控数据。如果这些在内部策略中都是要求的,那么就需要寻找替代的评估方法、某些具体的合同免责条款,或寻找与风险管理需求更一致的替代提供商。

• 至于对组织的关键功能使用云服务,风险管理方法应该包括识别和评估资产、识别和分析威胁和弱点及其对资产(风险和事件场景)的潜在影响、分析事件/场景的可能性、管理层批准的风险接受水平和标准、多种风险处置(控制、避免、转嫁、接受)计划的开发。风险处置计划的结果应作为服务合约的一部分。

• 提供商和用户的风险评估方法应一致,影响分析标准和可能性定义也一致。用户和提供商应共同开发云服务的风险场景,这应该固化在提供商为用户服务的设计中和用户的云服务风险评估中。

• 资产清单应盘点支持云服务且在提供商控制下的资产。用户和提供商的资产分类和评估方案(evaluati•n scheme)应一致。.

• 提供商及其服务都应该是风险评估的主题。云服务的使用、使用的特定服务和部署模型,都应该与组织的风险管理目标及业务目标一致。

• 如果提供商不能演示证明其服务的全面有效的风险管理流程,用户应详细评估该供应商,以及是否可以使用用户自身的能力来补偿潜在的风险管理差距。

• 云服务的用户应询问管理层对云服务的风险容忍和可接受的残余风险是否已经有所定义。

信息风险管理建议

信息风险管理(IRM)是将暴露(exp•sure)与风险联系的法则,也是通过数据所有者的风险容忍对其进行管理的能力。如此,对于设计用以保护信息资产的机密性、完整性和可用性(CIA)的信息技术资源,信息风险管理是最优先的决策支持方法。

• 采用风险管理框架模型来评估IRM,用成熟模型来评估IRM模型的有效性。

• 建立适当的合同需求和技术控制,来收集信息风险决策所需要的数据(例如,信息使用、访问控制、安全控制、位置等)。

• 在开发云计算项目需求前,采用用以确定风险暴露的流程。虽然了解暴露和管理能力所需的信息类别比较一般化,但实际收集的指标对于云计算SPI模型是特定的,是可以按照服务来采集的。

• 在使用SaaS时,绝大多数信息都由服务提供商提供。组织应在SaaS服务合同责任中制定分析信息的收集流程。

• 当采用PaaS时,建立类似上述SaaS服务的信息采集能力。在可能的地方,包括进部署和从控制中采集信息的能力,建立对这些控制的有效性进行测试的合同条款。

• 当使用IaaS服务提供商时,在合同中为风险分析需求信息“植入”信息透明性。

• 云服务提供商应包括指标和控制来帮助用户实施他们的信息风险管理需求。

第三方管理建议

• 用户应该将云服务和安全视为供应链安全问题。这意味着在尽可能的程度上检查和评估提供商的供应链(服务提供商的关联和依赖关系)。这也意味着检查提供商自己的第三方管理。

• 对第三方服务提供商的评估应具体指向提供商在事件管理、业务连续性和灾难恢复等方面的策略、流程和规程;还应包括对共用场地(c•-l•cati•n)和备份设施的审查。这应包括审查提供商是否遵从其自身策略和规程的内部评估,评估提供商在这些领域为其控制的绩效和有效性提供信息的指标体系。

• 用户的业务连续性和灾难恢复计划应包括提供商服务失效的场景,及提供商的第三方服务和第三方服务依赖能力的失效场景。对计划中这部分的测试应与云提供商协调。

• 对提供商的信息安全治理、风险管理和合规结构及流程的全面评估应包括:

• 要求文档清晰记录如何评估设施和服务的风险、审计控制弱点、评估频率及如何及时消减控制弱点。

• 要求定义提供商认为的关键服务和信息安全成功因素、关键绩效指标KPI,及如何测量这些与IT服务和信息安全管理相关的内容。

• 审查提供商的法律、法规、行业及合同需求的获得、评估及沟通流程是否全面。

• 对整个合同或服务条款做尽职调查(due diligence)来确定角色、职责和可纠责性。确保法律审查,包括评估在国外或州司法管辖之外的地区当地合同条款和法律是否可以强制执行。

• 定义应有的职责(due diligence)需求是否包括了所有云提供商关系的重大方面,例如提供商的财政状况、名誉(如参考检查)、控制、关键人员、灾难恢复计划和测试、保险、通信能力及转包商的使用。

相关新闻