在云計(jì)算中，有效地安全管理和企業(yè)風(fēng)險(xiǎn)控制是從良好開發(fā)的信息安全安全管理過程得到的，是組織的全面企業(yè)安全管理要注意的。本文給出了在云計(jì)算中有關(guān)安全管理、企業(yè)風(fēng)險(xiǎn)控制和信息風(fēng)險(xiǎn)管理的意見和建議。 在云計(jì)算中，有效地安全管理和企業(yè)風(fēng)險(xiǎn)控制是從良好開發(fā)的信息安全安全管理過程得到的，是組織的全面企業(yè)安全管理要注意的。本文給出了在云計(jì)算中有關(guān)安全管理、企業(yè)風(fēng)險(xiǎn)控制和信息風(fēng)險(xiǎn)管理的意見和建議。

在云計(jì)算中，有效地安全管理和企業(yè)風(fēng)險(xiǎn)控制是從良好開發(fā)的信息安全安全管理過程得到的，是組織的全面企業(yè)安全管理要注意的。良好開發(fā)的信息安全安全管理過程會(huì)使信息安全管理程序一直可依據(jù)業(yè)務(wù)伸縮、可在組織內(nèi)重復(fù)、可測(cè)量、可持續(xù)、可防御、可持續(xù)改進(jìn)且具有成本效益。

云計(jì)算中的安全管理和企業(yè)風(fēng)險(xiǎn)控制的基本問題關(guān)系到識(shí)別和實(shí)施適當(dāng)?shù)慕M織架構(gòu)、流程及控制來維持有效的信息安全安全管理、風(fēng)險(xiǎn)管理及合規(guī)性。組織還應(yīng)確保在任何云部署模型中，都有適當(dāng)?shù)男畔踩灤┯谛畔⒐?yīng)鏈，包括云計(jì)算服務(wù)的供應(yīng)商和用戶，及其支持的第三方供應(yīng)商。

安全管理建議

一部分從云計(jì)算服務(wù)節(jié)省的費(fèi)用必須投資到提升提供商的安全能力、應(yīng)用的安全控制和正在進(jìn)行的詳細(xì)評(píng)估和審計(jì)檢查中，以確保能夠持續(xù)滿足需求。

不管是什么服務(wù)或部署模型，云計(jì)算服務(wù)的用戶和提供商都應(yīng)開發(fā)健壯的信息安全安全管理。信息安全安全管理應(yīng)由用戶和提供商協(xié)作來達(dá)到支持業(yè)務(wù)使命和信息安全程序的一致目標(biāo)。服務(wù)模型可以調(diào)整協(xié)同信息安全安全管理和風(fēng)險(xiǎn)管理中定義的角色和職責(zé)（基于各自對(duì)用戶和提供商的控制范圍），部署模型可能定義責(zé)任和預(yù)期（基于風(fēng)險(xiǎn)評(píng)估）。

用戶組織應(yīng)包括審查具體的信息安全安全管理架構(gòu)和流程，及具體的信息安全控制，作為未來提供商組織的部分應(yīng)有的責(zé)任（due diligence）。應(yīng)該評(píng)估提供商的安全安全管理流程和能力的充足性、成熟度及與用戶信息安全管理流程的連續(xù)性。提供商的信息安全控制應(yīng)基于風(fēng)險(xiǎn)確定并清晰地支持這些管理流程。

用戶和提供商間的協(xié)同安全管理架構(gòu)和流程是很必要的，既是部分服務(wù)交付（services delivery）的設(shè)計(jì)和開發(fā)，也是風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理協(xié)議，然后作為服務(wù)協(xié)議的一部分。

在建立服務(wù)水平協(xié)議（SLA）及合同契約義務(wù)時(shí)應(yīng)包括安全部門，來確保安全需求在合同層面上是可強(qiáng)制執(zhí)行的。

在遷移進(jìn)云端前，測(cè)量績(jī)效和信息安全管理有效性的指標(biāo)體系和標(biāo)準(zhǔn)都應(yīng)建立起來。至少，組織應(yīng)理解并文檔化他們當(dāng)前的指標(biāo)，及運(yùn)營(yíng)遷移進(jìn)云時(shí)，這些指標(biāo)會(huì)如何變動(dòng)，因?yàn)樵铺峁┥炭赡苁褂貌煌模ㄓ锌赡懿患嫒荩┲笜?biāo)。

只要有可能，所有服務(wù)水平協(xié)議（SLA）和合同中都應(yīng)該包含安全指標(biāo)和標(biāo)準(zhǔn)（尤其是那些法律和合規(guī)性需求相關(guān)的）。這些標(biāo)準(zhǔn)和指標(biāo)應(yīng)是文檔記錄的并是可證明的（可審計(jì)）。

企業(yè)風(fēng)險(xiǎn)控制建議

和任何新業(yè)務(wù)流程一樣，遵循風(fēng)險(xiǎn)管理的***實(shí)踐很重要。實(shí)踐應(yīng)該與云服務(wù)的具體用途相匹配，這些用途可能從無意的和臨時(shí)的數(shù)據(jù)處理到處理高敏感性數(shù)據(jù)的關(guān)鍵業(yè)務(wù)流程。對(duì)企業(yè)風(fēng)險(xiǎn)控制和信息風(fēng)險(xiǎn)管理的全面討論超出了本指南的范疇，以下列舉了一些云特有的建議，可以整合進(jìn)已有的風(fēng)險(xiǎn)管理和流程。

由于許多云計(jì)算部署中缺少對(duì)基礎(chǔ)設(shè)施的物理控制，因此與傳統(tǒng)的企業(yè)擁有基礎(chǔ)設(shè)施相比，服務(wù)水平協(xié)議、合同需求及提供商文檔化在風(fēng)險(xiǎn)管理中會(huì)扮演更重要的角色。

由于云計(jì)算中的按需提供和多租戶特點(diǎn)，傳統(tǒng)形式的審計(jì)和評(píng)估可能并不適用，或需要更改。例如，一些提供商限制脆弱性評(píng)估和滲透測(cè)試，而其他的則限制提供審計(jì)日志和實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)。如果這些在內(nèi)部策略中都是要求的，那么就需要尋找替代的評(píng)估方法、某些具體的合同免責(zé)條款，或?qū)ふ遗c風(fēng)險(xiǎn)管理需求更一致的替代提供商。

至于對(duì)組織的關(guān)鍵功能使用云服務(wù)，風(fēng)險(xiǎn)管理方法應(yīng)該包括識(shí)別和評(píng)估資產(chǎn)、識(shí)別和分析威脅和弱點(diǎn)及其對(duì)資產(chǎn)（風(fēng)險(xiǎn)和事件場(chǎng)景）的潛在影響、分析事件/場(chǎng)景的可能性、管理層批準(zhǔn)的風(fēng)險(xiǎn)接受水平和標(biāo)準(zhǔn)、多種風(fēng)險(xiǎn)處置（控制、避免、轉(zhuǎn)嫁、接受）計(jì)劃的開發(fā)。風(fēng)險(xiǎn)處置計(jì)劃的結(jié)果應(yīng)作為服務(wù)合約的一部分。

提供商和用戶的風(fēng)險(xiǎn)評(píng)估方法應(yīng)一致，影響分析標(biāo)準(zhǔn)和可能性定義也一致。用戶和提供商應(yīng)共同開發(fā)云服務(wù)的風(fēng)險(xiǎn)場(chǎng)景，這應(yīng)該固化在提供商為用戶服務(wù)的設(shè)計(jì)中和用戶的云服務(wù)風(fēng)險(xiǎn)評(píng)估中。

資產(chǎn)清單應(yīng)盤點(diǎn)支持云服務(wù)且在提供商控制下的資產(chǎn)。用戶和提供商的資產(chǎn)分類和評(píng)估方案（evaluation scheme）應(yīng)一致。

提供商及其服務(wù)都應(yīng)該是風(fēng)險(xiǎn)評(píng)估的主題。云服務(wù)的使用、使用的特定服務(wù)和部署模型，都應(yīng)該與組織的風(fēng)險(xiǎn)管理目標(biāo)及業(yè)務(wù)目標(biāo)一致。

如果提供商不能演示證明其服務(wù)的全面有效的風(fēng)險(xiǎn)管理流程，用戶應(yīng)詳細(xì)評(píng)估該供應(yīng)商，以及是否可以使用用戶自身的能力來補(bǔ)償潛在的風(fēng)險(xiǎn)管理差距。

云服務(wù)的用戶應(yīng)詢問管理層對(duì)云服務(wù)的風(fēng)險(xiǎn)容忍和可接受的殘余風(fēng)險(xiǎn)是否已經(jīng)有所定義。