如何确保云计算的合规性
时间:2019-08-29 22:37

  云计算的合规性可以确保云计算服务满足用户的合规性要求。但是,采用云计算服务的企业不应假设每个云计算公司都能满足其独特需求,因为他们提供的与合规性相关的服务产品各不相同。

  数据传输、存储、备份、★△◁◁▽▼检索和访问需要符合云计算合规性。虽然IT部门往往负责实施合规性,◆●△▼●但可能(也可能应该)涉及其他职能部门。这种参与包括决策、★-●=•▽监控、审计、△▪▲□△治理、安全、数据保护、风险管理,以及法律。

  合规性是一个非常严肃的话题,应该得到深入的理解,□◁因为合规性失败可能导致监管罚款、诉讼、网络安全事件,以及声誉损害。因此,▼▲了解云计算提供商提供的服务和企业要求的详细信息非常重要。

  本文概述了云计算合规性的注意事项,○▲-•■□并列出了全球三大主要云计算服务提供商Amazon Web Services、Microsoft Azure、Google Cloud中常见的一些服务。有兴趣采购云合规服务的组织应访问相应服务提供商的网站以获取最新信息。

  如果出现问题,•☆■▲◆▼企业将外包作为防御措施是行不通的。实际上,包括AWS和Microsoft Azure在内的云计算提供商强调了云计算合规性是双重责任这一事实。虽然他们对用户有一定的合同责任,但用户必须注意自己的最佳利益。这包括为用户的要求选择正确的服务,正确处理用户控制的配置等。

  资产管理。云计算服务提供商负责管理其基础设施资产,企业负责管理自己的资产,包括托管的操作系统和应用程序。

  系统和数据访问控制。合规性往往涉及数据安全性。企业应该了解哪些人可以采用其云计算服务提供商(包括第三方承包商)的服务,◁☆●•○△☆△◆▲■并访问哪些内容。

  共享或私有资源。根据企业的特定合规性要求,▪…□▷▷•可能需要云计算服务提供商的数据中心中的私有数据中心套件。

  服务水平协议(SLA)。适用于企业的法律和法规可能有服务级别协议要求。▽•●◆这可能会限制其可以使用的服务类型。

  合规性认证和法律认可的替代品。并非所有云计算合规性服务都能够通过认证。如果由于某种原因无法进行认证,云计算提供商可能会找到一种符合标准的方法,●例如遵守更严格的标准。

  事件响应。了解潜在事件的范围以及如果出现这些类型的事件(例如,接收警报和响应速度),◇=△▲应采取何种类型的事件响应。

  电子发现功能。这是一个法律问题,而不是监管问题。如果企业发现自己处于任何类型的诉讼中,将需要快速访问所请求的数据,并且只访问所请求的数据。

  安全要求。企业应该了解通常选择正确的云计算服务所需的安全形式。出于合规性目的,需要了解法律或法规要求的安全级别。

  信息资源。云计算服务提供商提供的信息资源差别很大。提供大量信息的那些可以帮助用户从一开始就成功实现云计算合规性。

  不同的云计算服务提供商以不同方式呈现其云计算合规性服务。◆■一些提供商使用列表而其他提供商使用网格。有些人将事情分类,而有些人则没有。

  例如,AWS公司有三个列表涵盖认证/证明、法律/法规/隐私、◇•■★▼路线/框架。•□▼◁▼微软公司和谷歌公司更喜欢采用用户体验元素。▪•★此外,微软公司还将其合规服务分为全球、★◇▽▼•▼▼▽●▽●政府、行业和地区。

  由于信息的呈现因服务提供商而异,因此用户应仔细审查产品。在合规性方面,假设是危险的,因此IT部门应与上述其他职能部门合作,以确保合规的覆盖范围。

  欧洲的云计算互联网服务提供商(CISPE)这是一家促进高级别安全和数据保护的非营利组织。

  明确合法的海外使用数据法(云计算法案)即2018年颁布的美国联邦法律。

  刑事司法信息服务(CJIS)由执法部门、国家安全部门、情报部门针对云计算技术提出的一套建议。

  1974年“家庭教育权利和隐私法”(FERPA)美国联邦政府颁布的一条法律,管理公共实体(包括潜在雇主、公共资助教育机构、▲●…△政府部门)获取教育信息和记录。

  美国联邦信息处理标准(FIPS)用于批准加密模块的美国政府计算机安全标准。

  ISO 27001一种国际标准,规定了在组织范围内建立、实施、维护、持续改进信息安全管理系统的要求。▷•●

  ISO 27017一种国际标准,为适用于提供和使用云计算服务的信息安全控制提供指导。

  支付卡行业数据安全标准(PCI DSS)包含存储、处理或传输支付卡持卡人数据的任何企业的12项要求的标准。

  系统和组织控制(SOC)1 服务组织控制的报告,可能与用户实体对财务报告的内部控制相关。

  系统和组织控制(SOC)2评估组织与安全性、可用性、处理完整性、机密性或隐私相关的信息系统的报告。

  系统和组织控制(SOC)3与SOC 2不同的报告,没有详细说明所执行的测试,并且旨在用作营销材料。▪▲□◁•●★▽…◇▲=○▼◇…=▲◆◁•