日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

如同合規(guī)要求一樣，企業(yè)的云安全工作應(yīng)該包含審計與保證。必須獨(dú)立地實施審計，并且應(yīng)該堅定地設(shè)計審計以便表現(xiàn)出***實踐、恰當(dāng)?shù)馁Y源，以及經(jīng)過檢驗的協(xié)議及標(biāo)準(zhǔn)。

公司主營業(yè)務(wù)：成都網(wǎng)站建設(shè)、網(wǎng)站建設(shè)、移動網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。創(chuàng)新互聯(lián)是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團(tuán)隊有機(jī)會用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)推出五寨免費(fèi)做網(wǎng)站回饋大家。

對于客戶和服務(wù)提供商而言，內(nèi)審和外審以及各種控制措施都是合情合理的、可為云計算效力的角色。在引入云計算的起步階段，更多的透明度可能是增加利益相關(guān)者舒適度的***選擇。審計是提供保證的方法之一，其保證運(yùn)營風(fēng)險管理活動得到徹底地檢驗和評審。

組織***級別的治理要素(例如董事會和管理層)應(yīng)該采納并支持審計計劃。對至關(guān)重要的系統(tǒng)及控制進(jìn)行定期且獨(dú)立的審計，包括伴隨的審計記錄和文檔將會支持提升效率和可靠性。 許多組織使用成熟度模型(例如CMM、PTQM)作為分析流程有效性的框架。在某些情況下更多采用的是統(tǒng)計性的風(fēng)險管理方法(例如用于金融服務(wù)的巴塞爾協(xié)議和償付能力標(biāo)準(zhǔn))。并且隨著該領(lǐng)域的成熟，可以采用適用于職能部門、或業(yè)務(wù)線的更具專業(yè)性的風(fēng)險模型。 對于云計算而言，我們需要修訂和加強(qiáng)這些實踐。正如信息技術(shù)模型一樣，審計需要充分利用云計算的潛力，同時增大范圍和規(guī)模來管理它諸多的新穎性。

當(dāng)接洽(云計算)提供商時會牽涉到客戶所屬組織內(nèi)適當(dāng)?shù)姆▌?wù)、采購以及合同團(tuán)隊。服務(wù)的標(biāo)準(zhǔn)條款可能并未涉及合規(guī)需求，需要就此進(jìn)行協(xié)商。

對于受到高度監(jiān)管的行業(yè)(例如金融業(yè)、醫(yī)療行業(yè))來說，當(dāng)使用云服務(wù)時應(yīng)該考慮專門的合規(guī)要求。理解自身當(dāng)前要求的組織應(yīng)該考慮分布式IT模型的影響，包括云服務(wù)提供商運(yùn)營于不同的地理位置以及不同的法律管轄區(qū)所帶來的影響。

為每項工作負(fù)荷(例如整套的應(yīng)用和數(shù)據(jù))，確定使用云服務(wù)將會如何影響現(xiàn)有的合規(guī)要求，特別是當(dāng)與信息安全有關(guān)時。盡管有許多外包服務(wù)解決方案，組織仍需理解他們哪個云服務(wù)合作伙伴正在處理并應(yīng)當(dāng)處理受監(jiān)管的信息。受影響的策略以及流程的例子包括活動報告、日志、數(shù)據(jù)保持、事故響應(yīng)、控制測試和隱私權(quán)策略。

各方都應(yīng)該理解各自的合同職責(zé)。期望值的底線將會由于部署模型而有所不同，在IaaS模型中客戶擁有更多的控制權(quán)和職責(zé)，對于SaaS解決方案而言服務(wù)提供商扮演著統(tǒng)治性的角色。特別重要的是彼此受約束的要求和責(zé)任，而不僅只是限于客戶與他們直接的云服務(wù)提供商，而且也是在最終用戶與提供商的云服務(wù)提供商之間。

遵守法規(guī)以及行業(yè)規(guī)定和要求(例如法規(guī)、技術(shù)、法律、合規(guī)、風(fēng)險和安全等方面)是關(guān)鍵的，并且必須在要求確認(rèn)階段就解決。任何被處理、傳輸、存儲的信息，或是被看作是個人可識別信息(Personal Identifiable Information，簡稱PII)或私人信息都面臨著世界范圍內(nèi)繁多的合規(guī)規(guī)定，這些合規(guī)可能隨國家或地區(qū)的不同而有差異。既然云計算被設(shè)計為是位于不同地區(qū)且可擴(kuò)展的，解決方案中被存儲、處理、傳輸或是檢索的數(shù)據(jù)可能來自云服務(wù)提供商的眾多場所或多個數(shù)據(jù)中心。一些法規(guī)明確規(guī)定的控制在某些云服務(wù)類型(例如地理上的要求可能與分布式的存儲不一致)下很難、或是根本不可能實現(xiàn)?？蛻襞c提供商必須就如何收集、存儲，以及共享合規(guī)證據(jù)(如審計日志、活動報告、系統(tǒng)配置)達(dá)成一致意見。

在實際工作中，可以遵循以下一些有益的建議和***實踐：

建議***那些具有“云意識”的審計人員，他們熟悉保證虛擬化與云技術(shù)的挑戰(zhàn)以及優(yōu)勢。

建議要求云服務(wù)提供商提供SSAE 16 SOC2 或 ISAE 3402 類型2報告。這些報告將為審計人員和評估人員提供被承認(rèn)的參考起點。

合同應(yīng)該提供給第三方(例如由雙方選擇的中間方)來評審SLA的度量標(biāo)準(zhǔn)及合規(guī)性。

有權(quán)審計的條款賦予客戶審計云提供商的能力，這支持在頻繁地變化的云計算環(huán)境與法規(guī)內(nèi)的可追溯性和透明度。使用有權(quán)審計的標(biāo)準(zhǔn)化規(guī)范來確保對彼此期望值的理解。最終，這個權(quán)利應(yīng)由第三方的認(rèn)證(例如ISO/IEC 27001或27017認(rèn)證)所取代。

使用指定訪問權(quán)限的透明度條款提供那些身處受到高度監(jiān)管行業(yè)的用戶(包括那些可將不合規(guī)作為刑事訴訟依據(jù)的行業(yè))所需要的信息。該協(xié)議應(yīng)該與自動產(chǎn)生或可直接訪問的信息(例如日志、報告)，以及推送的信息(例如系統(tǒng)架構(gòu)、審計報告)區(qū)分開來。

云提供商應(yīng)該定期(或是按需)地評審、更新并且發(fā)布他們的信息安全文檔和GRC(Governance, Risk and Compliance，治理、風(fēng)險和合規(guī)，簡稱GRC)流程。這些資料應(yīng)該包括漏洞分析以及相關(guān)的補(bǔ)救措施決策和活動。

第三方審計人員應(yīng)由云提供商和客戶事先共同披露或選擇。

各方應(yīng)就采用一個共同的IT治理和安全控制認(rèn)證保證框架(例如ISO或COBIT標(biāo)準(zhǔn))達(dá)成一致。

網(wǎng)頁名稱：企業(yè)云安全審計要求與建議
文章起源：http://www.dlmjj.cn/article/djgohej.html