如今����,合規性是組織的最大考慮因素之一�����。是的�。如果沒有最嚴格的法規標準����,最終用戶和客戶將對組織違規可能造成的災難性影響敞開大門���。不僅如此���,如果組織無法履行其合規性義務���,無論是通過內部流程不完善還是網絡破壞的外部威脅����,組織本身都會面臨嚴重后果����。任何不履行這些義務的人都會看到組織面臨監管罰款�����,訴訟�����,網絡安全事件和重大聲譽損失等后果�����。
曾經有一段時間�,保持數據和詳細信息的安全是采取嚴格的內部部署措施的直接問題�����,即實施加密軟件并確保數據和文件的安全存儲���。但是隨著云服務的出現和大規模采用����,合規性已經變成了更加分散的工作�。正確處理它仍然同樣重要���。因此���,無論您的組織是通過軟件或基礎架構即服務完全擁抱了云���,還是剛剛開始涉足協作工具庫�,確保選中所有合規性框框并確保所有相關標準至關重要滿足最終用戶安全要求����。
為此�����,您需要認識到云的規模和范圍�����。它無處不在�����。它落后于我們所做的許多事情和每天使用的許多應用程序�����,甚至根本沒有考慮過它�����。協作和文件共享應用程序(如Microsoft
Teams和Dropbox)的泛濫看起來像是一堆小麻煩�����,但它們是基于云的解決方案���,無論您是否考慮過�,它們都會測試和挑戰組織的數據和安全程序�。
云合規
支持您的運營的云服務將幫助您確定您作為一個組織需要考慮云合規性的程度�。首先�����,數據傳輸���,存儲����,備份和訪問都將需要云合規性�����,無論您是將它們作為標準使用還是臨時插入和插入�。
盡管合規性曾經只是IT團隊的職責�,但如今�����,它需要與組織中其他部門進行討論����。云合規性涉及內部流程和程序�����,在制定決策時需要考慮監視和審計�,治理�����,安全性�����,數據保護���,風險管理和法律�����。確保數據不再是確保數據存儲在加密的硬盤驅動器上或隱藏在密碼層后面的簡單工作�����,而是組織的考慮因素����。
云合規性和安全性
合規性和安全性是某些組織不愿采用云解決方案的最大原因之一�����。在滿足合規性要求時幾乎不談論安全性幾乎是不可能的�,因為實現合規性所需的系統通常被作為“安全性”措施來實施�。但是�����,是否有理由擔心與云服務相關的安全性和合規性?可以說不是�。
與所有“安全性”一樣�����,無論您是談論內部部署基礎架構還是托管在云中的軟件�����,都是要了解風險并嘗試減輕風險�。在這方面�����,您的內部流程和報告程序����,以及它們如何與您的云服務一起使用以及如何與您的云服務一起使用���,可確保您的組織安全且合規地運行����。無論您從事何種類型的業務����,無論是制造商品還是提供服務���,標準化的運營越多�����,您的效率就越高�。
云合規性也是如此�����。當您將功能轉移到云中時�����,養成習慣����,每次都將其附帶的操作安全性和合規性功能分解�����。這些合規性操作越一致�����,實施安全性和響應審核請求的難度就越大�。
完善內部系統����,即使是在受監管程度最高的行業中運作最封閉的企業�����,也可以在不斷變化的監管環境中競爭并保持合規性���。
云服務提供商的職責
云合規性可確保云服務提供商滿足其客戶的合規性要求�����。在某種程度上���。他們必然會就數據傳輸�,存儲�,備份�,檢索和訪問制定適當的政策和程序�����,但客戶不應假定所有云服務提供商都將符合相同的標準�。他們當然不應該期望服務提供商滿足非常具體或獨特的要求�����。
事實上����,包括AWS和Microsoft
Azure在內的許多云提供商都指出���,云合規性是雙重責任�����,由提供商和客戶共同承擔�。因為盡管云提供商對客戶有一定的合同義務�,但客戶自己要照顧自己的最大利益�。如果出現問題����,使用“外包”作為防御不會走得太遠�。至少���,這意味著在選擇您的云服務提供商時要進行盡職調查�����,然后確保每種服務提供的合規性水平都與您公司的要求保持一致����。
數據合規是共同的責任
它曾經如此簡單:數據存放在數據中心中���,而IT團隊則保證了數據的安全���。如今�,隨著移動設備的普及和BYOD的工作實踐���,重要的公司信息比以往任何時候都擁有更多的位置�����。再加上越來越多地使用基于云的應用程序和服務�,以及對數據進行單一而全面的了解(更不用說確保您滿足所有領域的法規要求)���,這比以往任何時候都更具挑戰性����。
許多組織錯誤地認為����,一旦將數據發送到云����,數據的所有安全性和合規性責任就會轉移到云提供商�。這不是真的�。
一旦組織開始將數據發送到云�,則負責數據安全性和合規性的責任就變成了共同的責任�。
通常���,請考慮以下方面的安全性和合規性責任:
客戶:負責云應用程序中的安全性和合規性
SaaS提供商:負責云中的安全性和合規性
云服務提供商:負責云的安全性和合規性
并且����,除非您的組織購買了“云堆?��!备邔又械姆?����,否則您將承擔實施和使用任何及所有安全性和合規性功能的責任����,并確保將本地策略和過程擴展到云�。
需要考慮的合規要素
在尋求將網絡的任何部分擴展到云時�����,它將很好地為您提供以下與合規性相關問題的答案:
訪問控制:數據安全是合規性的核心���,因此您需要確切地知道誰有權訪問哪些內容����,包括公司內部的人員和為云服務提供商工作的人員(包括第三方承包商)���。
資產管理: Cloud服務提供商將負責管理其自己的基礎架構資產����,而您將仍然負責管理公司的資產�����,包括托管的操作系統和應用程序�。
您將要了解哪些第三方負責審核云合規性����,以及確定您的公司是否有權審核云合規性�。
合規報告����。您的云提供商的報告范圍是什么?您可以在需要時訪問它們嗎?
配置管理:誰應對任何錯誤配置負責?
數據加密:合規性通常依賴于對數據進行加密�����,無論是靜態數據還是移動數據����,您都可能需要在內部以及在云中進行加密�����。
數據位置:您知道數據的位置嗎?審核員可能會要求提供該信息�����,但并非所有云服務提供商都共享該信息���。
數據保護�。您選擇的云提供商將在多大程度上保護您的信息?您是否需要采取進一步措施以確保足夠的保護水平?
數據存儲:什么將存儲在云中���,什么將不會存儲在云中����,為什么?
災難恢復���。發生故障時�,貴公司應遵守哪些法律和法規?您的云服務提供商可以覆蓋您嗎?
盡職調查����。您了解如何處理嗎?
電子發現功能�����。如果您的公司發現自己面臨訴訟�����,您是否可以快速訪問所有必需的數據?
保險公司:許多提供業務中斷或數據丟失保險的保險公司將希望在進行下一步操作之前先了解其潛在的風險及其規模�����,云計算和地理位置通??梢约{入決策過程
安全要求:您的公司需要云服務提供哪種類型的安全性
提供者:出于合規性目的�,您需要了解綁定的安全級別�����。
共享或私有資源�。根據公司的特定要求����,您可能需要在云服務提供商的數據中心中使用私有數據中心套件�。
管理您的業務的法律法規可能涉及服務水平協議�����。在承諾任何事情之前�����,請確保這不會限制您可以使用的服務類型�。
微信掃一掃咨詢